Tarkime, žmogus sukūrė simbolių seką „NoExIt911“ ir panaudojo ją kaip el. pašto, el. parduotuvės ir el. mokėjimo sistemos slaptažodį. Įsilaužėliui sunku nulaužti tokio sudėtingumo žodį, bet turėdamas vienintelį slaptažodį jis kelia grėsmę aukos privatumui bei finansams. Tokia saugumo spraga pasitaiko ne tik namų vartotojams, bet ir didelėms puslapių talpinimo įstaigoms. Kaip pavyzdį pateiksiu sistemos administratoriaus prisijungimo slaptažodžio naudojimas duomenų bazei, kurios nustatymai ne visada yra patikimai apsaugoti.

Apsisaugojimui nuo to yra vienintelis būdas – naudoti kintantį slaptažodį. Vartotojas sukuria tam tikrą algoritmą, pagal kurį generuos slaptuosius žodžius iš pradinių duomenų. Pavyzdžiui slaptažodžiui sukūrėme algoritmą: „serverio vardo balsiai + priebalsiai + balsių ir priebalsių skaičius“. Toliau registruojame el. pašto dėžutę www.pastodeze.lt svetainėje. Pradiniai duomenys – „pastodeze“ (siūlyčiau naudoti tik serverio vardą be „www“ ir „lt“). Tuomet sugeneruotas kodas – „aoeepstdz45“. Įspūdingai – maža tikimybė įsilaužėliui atspėti, o kompiuterinei laužyklei daug valandų darbo. Taigi saugu ir patikima.

Šis skaičiavimas yra nuobodus ir lėtas, be to tinklalapio adresas neretai susideda iš 20 ar daugiau simbolių. Kompiuterių pagalba slaptažodžių generavimą įmanoma automatizuoti. Vienas iš saugiausių pastarųjų metų įrenginių, kuris didžiuojasi populiarumu bankininkystėje, yra kodų generatorius Digipass. Tuo tarpu namų vartotojams siūloma patikima programinė įranga, generuojanti kodus pagal pradinius duomenis(dažniausiai vartotojo vardas ir slaptas žodis). Pagrindiniu jos trūkumu yra vienodų algoritmų naudojimas generuojant slaptažodžius.

Įsivaizduokime tobulesnę programą, kuri leistų vartotojui pirmojo paleidimo metu sukurti tam tikrą slaptų žodžių generavimo algoritmą. Tai būtų panašu į elementarųjį programavimą, kuris nereikalautų programų kūrimo žinių – galima nustatyti, kurias raides atskirti, pakeisti vietomis, kokius atlikti skaičiavimus. Sekantį kartą paleidus programą būtų įvedamas tik tinklalapio adresas arba vartotojo vardas (t.y. pradiniai duomenys) ir gaunamas sugeneruotas žodis. Jos pagrindiniu trūkumu būtų patikimos programos ir algoritmo apsaugos stoka.

Visų programų-generatorių trūkumas yra mobilumas. Generatorių galima įdiegti į mobilųjį telefoną, į delninuką, tačiau vartotojas bus nuolat priklausomas nuo įrenginio. Todėl saugiausius slaptažodžius be jokių pašalinių priemonių vartotojas privalo kurti pats ir nepamiršti, jog saugumas tai ne tik raidžių bei skaitmenų seka, bet ir racionalus jos naudojimas.

Ježy Jurgelianecas

eSecurity.lt