Opombe
V doktorski disertaciji se osredotočamo na najpogostejši način avtentikacije in sicer kombinacija uporabniškega imena in gesla. Razloga za tako pogosto uporabo tega avtentikacijskega mehanizma sta njegova preprostost in nizki stroški za implementacijo. Čeprav so gesla tako uporabna, imajo veliko težav. Morris in Thompson sta pred skoraj štirimi desetletij prvič ugotovila, da so tekstovna gesla slaba točka varnosti informacijskega sistema. Prišla sta do zaključka, da so uporabniki ena največjih groženj varnosti informacijskih sistemov. Od takrat naprej, se s temi težavami spopadamo vsak dan. Uporabniki ne upoštevajo predlaganih ukrepov, ki so potrebni, da lahko ostanejo varni in zaščiteni, čeprav se zavedajo varnostnih težav. Zaradi tega, ker je to raziskovalno področje s katerim se eksperti za varnost ukvarjajo že dolgo časa, smo v tej disertaciji hoteli identificirati probleme povezane s tekstovnimi gesli, ter identificirati možne predlagane rešitve. Za ta namen smo najprej naredili sistematični pregled literature na področju tekstovnih gesel in njihovo varnost. S tem smo hoteli oceniti trenutno stanje gesel glede na njihovo moč, načine upravljanja z gesli, ter ali so uporabniki še vedno "najšibkejša povezava". Iz sistematičnega pregleda literature smo ugotovili, da je ena izmed manj raziskovanih rešitev proaktivno preverjanje gesel. S pomočjo proaktivnega preverjalnika gesel bi uporabniku omejili katera gesla lahko izbira in jih uporablja - odobrili bi le gesla, ki jih je težje uganiti. Da je lahko proaktivno preverjanje gesla bolj učinkovito je potrebno, da je preverjalnik zmožen preveriti verjetnost, da bo to geslo izbrano s strani uporabnika. Za ta namen, boljši preverjalniki ponavadi uporabljajo določena orodja za izračun vejretnosti oz. moči gesla. Da bi ugotovili kateri način je najbolj ustrezen za izračun moči gesla, smo pregledali podobne rešitve skozi zgodovino. Ugotovili smo, da so Markovi modeli ena najpogostejših metod, ki se uporabljajo za ocenjevanje moči gesla, čeprav se pri uporabi lahko srečamo z določenimi težavami, kot sta "redkost" in "prekomerno prileganje" (angl. sparsity and over-fitting). Pri pregledu podobnih rešitev smo ugotovili, da se Markovi modeli večinoma usposabljajo samo na enem naboru podatkov. To bi lahko omejilo zmogljivost modela z vidika pravilne določitve slabih ali zelo močnih gesel. Ker so nabori podatkov o usposabljanju pomembni pri razvoju modelov, je jasno, da bodo imeli nekaj učinka pri končnem ocenjevanju gesla. V naši disertaciji raziskujemo, kako pomemben je ta učinek na končno moč gesla. V glavnem se osredotočamo na raziskovanje učinka različnih, vendar podobnih nizov podatkov na oceno moči. Za potrebe naše študije smo analizirali javno dostopne nabore "skupnih gesel" in jih obdelovali glede na frekvenčno porazdelitev črk, ki jih ta gesla vsebujejo. Na podlagi teh nizov podatkov in frekvenčne porazdelitve smo zgradili različne Markove modele. To nam je pomagalo ugotoviti, ali je en Markov model dovolj ali pa je potrebnih več modelov za učinkovito preverjanje več različnih gesel. Rezultati so pokazali statistične razlike med modeli. Bolj podrobno smo ugotovili, da: - različni Markovi modeli (usposobljeni na različnih podatkovnih zbirkah) so pokazali statistično različne rezultate, ko so bili testirani na istem naboru gesel, - potrebnih je več različnih podatkovnih zbirk, da lahko izračunamo moč čim večjega števila gesel, saj je en "univerzalni" model usposobljen na enem "univerzalnem" naboru gesel, manj učinkovit pri razvrščanju gesel v različnih kategorijah (tj. šibka, srednja, močna), - različni Markovi modeli 1. in 2. reda v večini primerov niso dali statistično različnih rezultatov - na splošno, lahko Markove modele uporabimo kot osnovo za izdelavo učinkovitejšega preverjalnika gesel, ki uporablja več različnih in specifičnih Markovih modelov, kar bi lahko bilo bolj učinkovito, če želimo zajeti širši obseg gesel.