Inloggning : Lösenordskryptering och Brute force attack

Strandberg, Emil

January 2015

This report is the result of a sub-project of a larger project to create a platform formathematical education. The sub-project focuses on authentication with associ-ated security, where security is emphasized. The project environment is Java EE 6where GlassFish 4.0 acts as the server. The project has been divided into threeparts; password encryption, Java EE authentication and brute force attack. Thepassword encryption part focuses on examining different hash functions executionspeed, the result shows that none of the examined hash algorithms is suitable fordirect use. Instead its recommended to use PBKDF2 with salt to encrypt pass-words. The Java EE section constructs a working application where users can reg-ister and login etc. This is performed as a study of the security tools available inJava EE. The result meets the requirement specification and a section on Java EEsecurity tools is presented. The brute force attack section is a theoretical study ofwhat can be done to protect against a brute force attack. The result shows thatCAPTCHAs is not recommended by OWASP and a system using cookies and aform of userblocking is purposed. The various parts are separated as far as possi-ble through the report with the exception that the result of the password encryp-tion section is applied in the Java EE application. / Denna rapport är resultatet av en deluppgift i ett större projekt att skapa en platt-form för undervisning av matematik. Uppgiften fokuserar på inloggning med till-hörande säkerhet. Projektets miljö är Java EE 6 med Glassfish 4.0 som server.Projektet har delats upp i tre underkategorier; Lösenordskryptering, Java EE in-loggning och Brute force attacks. Lösenordskrypterings delen fokuserar på att un-dersöka olika hashfunktioners exekveringshastighet, resultatet visar att ingen avde algoritmer som undersöks lämpar sig att användas direkt. Istället rekommende-ras system som PBKDF2 med SALT för att kryptera lösenord. Java EE avsnittetkonstruerar en fungerande applikation där användare kan registrera sig och loggain med mera. Arbetet utförs som en studie av vilka säkerhetsverktyg som finnstillgängliga i Java EE. Resultatet uppfyller kravspecifikationen och ett avsnitt omJava EEs verktyg presenteras. Brute force attack-avsnittet är en teoretisk studieav vad som kan göras för att skydda sig mot Brute force attacker. Resultatet visaratt robotfilter inte är rekommenderat av OWASP och ett förslag på ett system somanvänder kakor och en form av användarblockering presenteras. De olika delarnaär separerade så långt som möjligt genom rapporten med undantaget att resultatetav lösenordskrypterings avsnittet tillämpas i Java EE applikationen.

Säkerhet i Java EE

Auktorisering

Autentisering

Lösenordskrypte- ring -hashning

Brute force attack

Computer Sciences

Datavetenskap (datalogi)

Autentisering och Riskmedvetande : En studie om Lösenordshantering och Risktagande / Authentication and Risk Consciousness : A study on password management and risk taking

Håkansson, Daniel Clarke, Lundström, Markus

January 2018

Efter regelbundna diskussioner om huruvida autentisering med statiska lösenord är ett bra tillvägagångssätt växte en idé fram om att undersöka hur människor hanterar sina autentiseringsuppgifter. Detta arbete tar sig an uppgiften att kartlägga svagheter i samband med autentisering vad gäller metoden, samt människors säkerhetsmedvetande och risktagande. Under studien genomfördes en enkätundersökning där 100 personer med varierande ålder och sysselsättning svarade fullständigt. Vi frågade hur de värderar, skapar och hanterar lösenord. De svarande fick även ta ställning till ett antal påståenden, vad gäller deras säkerhetsmedvetande och risktagande i samband med autentisering.Resultatet från studien visar att en majoritet återanvänder lösenord i mycket hög grad. Det framkommer också att en övervägande majoritet använder sig av memorering som huvudsaklig teknik för hantering av lösenord. Resultatet visar även att de svarande i hög utsträckning tycker lösenordets komplexitet är viktigare än dess längd. Dessutom kände sig endast 22% av de svarande ej trygga med ett lösenord som är 8 tecken långt, vilket är en låg procentandel eftersom 8 tecken är för svagt idag. Ämnet är dock komplext, en kombination av längd och komplexitet är önskvärt för att skapa ett starkt lösenord, samtidigt som lösenorden skall vara unika för varje enskild tjänst. Att använda memorering som sin huvudsakliga metod är dessvärre i dessa fall ej applicerbart. En bättre strategi är att använda sig av exempelvis en lösenordshanterare eller att memorera en ramsa. Exempelvis ta förstabokstaven från varje ord i en mening, Min katt heter Glenn han har 3 ben Vit nos & Rött koppel vilket kan resultera i MkhGhh3bVn&Rk. En bra början för att förbättra sin lösenordshantering är att först och främst värdera sina autentiseringsuppgifter som värdefulla, läsa på om ämnet, samt därefter ta fram en egen strategi som är lämplig. / After regular discussions about whether authentication with static passwords is a good approach, an idea emerged to investigate how people handle their authentication credentials. This report tackles the task of mapping weaknesses associated with authentication regarding the method, as well as human security awareness and risk taking. During the study, a survey was conducted in which 100 people completely responded, all with varying age and employment. We asked how they value, create, and manage their passwords. The respondents were also tasked to take a position on a number of allegations, regarding their security awareness and risk-taking in connection with authentication.The result of the study shows that the majority reuse passwords to a very high extent. It also appears that a large majority uses memorization as the maintechnique for password management. The result also shows that respondents to a great extent think the complexity of the password is more important than its length. In addition, only 22% of respondents felt unsafe with a password that is 8 characters long, which is a low percentage since 8 characters are too weak today.Though the subject is complex, a combination of length and complexity is desirable to create a strong password. In addition to that the passwords must be unique to each service. Using memorization as its main method is unfortunately not applicable in these cases. A better strategy is to use, for example, a password manager or to generate a memorandum chant. For example, take the first letter of each word in one sentence, My cat is called Glenn he has 3 legs White nose & Redlink which can result in McicGhh3lWn&Rl. A good start to improve one’s password management is to firstly evaluate authentication credentials as valuable, read upon the subject, and then develop a strategy that is appropriate to one’s needs.

Authentication

Authorization

Security Consciousness

Password

Risk Detection

Identity

Identification

Compromise

Study

Survey

Autentisering

Auktorisering

Säkerhetsmedvetande

Lösenord

Risktagande

Identitet

Identifiering

Kompromettering

Studie

Enkät

Information Systems

Client pressure, does it exist, in which form and what is done to prevent it? / Kundpress, förekommer det, i vilken form och vad gör man åt det?

Moström, Elin, Theander, Lukas

January 2016

The value of real estate is a fundamental part of the economy as it is used both as a collateral for loans as well as a key basis for a company’s annual reports. Today there are more than three million real estates in Sweden, and the market value of these can not be directly observed but have to rather be based on estimates. Thus, it is critical to attain reliable assessment and hire appraisers before making an investment decision or finalising an annual report. However, depending on the purpose and context of a valuation, the client may posses incentives to influence the outcome of the valuation in some direction. Such impact on the valuation of an asset is referred to as “client pressure,” and may come in various forms; expert pressure, information pressure and reward pressure. Does this have a real impact on market values? According to previous scholarly research, both domestic and international, client pressure is an observable phenomenon but its outcome is difficult to accurately assess. The purpose of this thesis is to provide evidence that supports the existence of client pressure within the commercial real estate market in Stockholm, and to establish a framework that may better understand the outcomes that such skewed valuations may lead to. In order to conduct this study, the authors have carried out a number of personal interviews with authorised appraisals, as well as further research into what can be done to prevent client pressure. The results of this study supports the notion that client pressure, primarily that of expert pressure, can be observed in the commercial real estate market in Stockholm. Moreover, what has been accentuated by the interviewed appraisals though is that such pressures do not affect the valuation outcome and that the discussion may actually provide a more accurate valuation as long as the appraisal manages to stay objective. However, several of the appraisals pointed out that they knew of others that have allowed themselves to be influenced. In order to counteract client pressure an authorization has been established by the organization Samhällsbyggarna - a development which has received great support by a large group of appraisals. Ultimately, the research in this study concludes that the best way to counteract client pressure is through knowledge, and our findings lead to the belief that experienced appraisals are willing to help less experienced ones if they are exposed to client pressure. / Värdet på fastigheter är en samhällsangelägenhet och gäller som bland annat säkerhet för lån och underlag för bolags årsresultat. I Sverige finns drygt tre miljoner fastigheter och marknadsvärdet på dessa är ingenting som kan observeras, bara bedömas. Därför har man behov av tillförlitliga bedömningar och anlitar värderingsmän inför såväl investeringsbeslut som årsredovisningar. Vad det bedömda värdet på fastigheten ska användas till kan ge incitament för kunden till att vilja påverka det åt något håll. Beroende på olika egenskaper hos kunden kan försök till att påverka värdet yttra sig i olika former utav press; expertpress, informationspress samt belöningspress. Kan det påverka bedömningen av marknadsvärdet? Pressen finns enligt tidigare forskning, det har undersökts både nationellt och internationellt, men konsekvenserna är svåra att avgöra. Studien i den här uppsatsen har fokuserats på att undersöka om press finns på Stockholmsmarknaden för kommersiella fastigheter och i vilken form den i så fall förekommer. För att ta reda på resultaten har ett antal intervjuer gjorts med aktiva värderare och det har också undersökts vad man i så fall gör för att motverka pressen. Det som kunnat konstateras är att kundpress finns och främst i form av expertpress. Värderarna menar dock att det inte påverkar deras egna bedömningar och att det till och med i vissa fall kan vara nyttigt att få en diskussion med kunden om de använda värdena så länge man fortsatt är objektiv. Flertalet har dock meddelat att de vet om fall där en värderare låtit sig påverkas. För att motverka kundpress finns auktorisering från organisationen Samhällsbyggarna och en stor del av värderarna tycker att det är ett bra stöd. Man motverkar även press med kunskap, erfarna värderare kan gå in och hjälpa de mer oerfarna med argument om man blir utsatt för press.

Client pressure

valuation

real estate appraisal

market value

authorization of valuers

Kundpress

värdering

fastighetsvärdering

marknadsvärde

auktorisering av värderare

Engineering and Technology

Teknik och teknologier

Auktorisering i system för digitalt bevarande

Dyk, Olivia

January 2019

The purpose is to investigate, analyze and clarify the relationship between authorization and security policy for digital preservation system. Information security comes into focus when digital preservation systems are discussed. The handling of electronic documents in digital preservation systems is now widespread and a large part of many activities. This means that the business must ensure that it protects against the loss of information stored in the digital preservation system. Authorization and security policy are relevant to archive and information science because digital objects in digital preservation system are to be protected from unauthorized access. With a qualitative method the research will go through security policy, systems and models for access architecture. With open approach and open questions, the research will be summarized with a discussion on the most important conclusions for access management for digital preservation system, which are mainly built on roles. It is of great importance that the company uses roles and authorization levels to ensure that everyone knows with certainty what to do and what they cannot do. / Syftet är att undersöka, analysera och klargöra relationen mellan auktorisering och säkerhetspolicy för system för digitalt bevarande. Informationssäkerhet kommer i fokus när system för digitalt bevarande diskuteras. Hanteringen av elektroniska dokument i system för digitalt bevarande är nu utbrett och en stor del av många aktiviteter. Det innebär att verksamheten måste se till att den skyddar mot förlust av information som lagras i system för digitalt bevarande. Auktorisering och säkerhetspolicy är relevant för arkiv- och informationsvetenskap eftersom digitala objekt i system för digitalt bevarande ska skyddas mot obehörig åtkomst. Med en kvalitativ metod kommer forskningen att gå igenom säkerhetspolicy, system och modeller för åtkomstarkitektur. Med öppet tillvägagångssätt och öppna frågor kommer forskningen slutligen att sammanfattas med en diskussion om de viktigaste slutsatserna för åtkomsthantering för system för digitalt bevarande, som huvudsakligen bygger på roller. Det är av stor vikt att företaget använder roller och auktoriseringsnivåer för att säkerställa att alla med säkerhet vet vad de ska göra och vad de inte får göra.

Authorization

Security Policy

Access Control

Information system

Digital preservation system

Auktorisering

Säkerhetspolicy

Åtkomstkontroll

Informationssystem

System för digitalt bevarande

Information Systems, Social aspects

Implementation and Analysis of Authentication and Authorization Methods in a Microservice Architecture : A Comparison Between Microservice Security Design Patterns for Authentication and Authorization Flows / Implementation och Analys av Autentisering och Auktoriseringsmetoder i en Microservicearkitektur : En Jämförelse Mellan Säkerhetsdesignmönster för Autentisering och Auktorisering i Microservices

Tran Florén, Simon

January 2021

Microservices have emerged as an attractive alternative to more classical monolithic software application architectures. Microservices provides many benefits that help with code base comprehension, deployability, testability, and scalability. As the Information technology (IT) industry has grown ever larger, it makes sense for the technology giants to adopt the microservice architecture to make use of these benefits. However, with new software solutions come new security vulnerabilities, especially when the technology is new and vulnerabilities are yet to be fully mapped out. Authentication and authorization are the cornerstone of any application that has a multitude of users. However, due to the lack of studies of microservices, stemming from their relatively young age, there are no standardized design patterns for how authentication and authorization are best implemented in a microservice. This thesis investigates an existing microservice in order to secure it by applying what is known as a security design pattern for authentication and authorization. Different security patterns were tested and compared on performance. The differing levels of security provided by these approaches assisted in identifying an acceptable security versus performance trade-off. Ultimately, the goal was to give the patterns greater validity as accepted security patterns within the area of microservice security. Another goal was to find such a security pattern suitable for the given microservice used in this project. The results showed a correlation between increased security and longer response times. For the general case a security pattern which provided internal authentication and authorization but with some trust between services was suggested. If horizontal scaling was used the results showed that normal services proved to be the best target. Further, it was also revealed that for lower user counts the performance penalties were close to equal between the tested patterns. This meant that for the specific case where microservices sees lower amounts of traffic the recommended pattern was the one that implemented the maximum amount access control checks. In the case for the environment where the research were performed low amounts of traffic was seen and the recommended security pattern was therefore one that secured all services of the microservices. / Mikrotjänster har framträtt som ett mer attraktivt alternativ än mer konventionella mjukvaruapplikationsarkitekturer såsom den monolitiska. Mikrotjänster erbjuder flera fördelar som underlättar med en helhetsförståelse för kodbasen, driftsättning, testbarhet, och skalbarhet. Då IT industrin har växt sig allt större, så är det rimligt att tech jättar inför mikrotjänstarkitekturen för att kunna utnyttja dessa fördelar. Nya mjukvarulösningar medför säkerhetsproblem, speciellt då tekniken är helt ny och inte har kartlagts ordentligt. Autentisering och auktorisering utgör grunden för applikationer som har ett flertal användare. Då mikrotjänster ej hunnit blivit utförligt täckt av undersökning, på grund av sin relativt unga ålder, så finns det ej några standardiserade designmönster för hur autentisering och auktorisering är implementerade till bästa effekt i en mikrotjänst. Detta examensarbete undersöker en existerande mikrotjänst för att säkra den genom att applicera vad som är känt som ett säkerhetsdesignmönster för autentisering och auktorisering. Olika sådana mönster testades och jämfördes baserat på prestanda i olika bakgrunder. De varierade nivåerna av säkerhet från de olika angreppssätten som säkerhetsmönstrena erbjöd användes för att identifiera en acceptabel kompromiss mellan säkerhet mot prestanda. Målet är att i slutändan så kommer detta att ge mönstren en högre giltighet när det kommer till att bli accepterade som säkerhetsdesignmönster inom området av mikrotjänstsäkerhet. Ett annat mål var att hitta den bästa kandidaten bland dessa säkerhetsmönster för den givna mikrotjänsten som användes i projektet. Resultaten visade på en korrelation mellan ökad säkerhet och längre responstider. För generella fall rekommenderas det säkerhetsmönster som implementerade intern autentisering och auktorisering men med en viss del tillit mellan tjänster. Om horisontell skalning användes visade resultaten att de normala tjänsterna var de bästa valet att lägga dessa resurser på. Fortsättningsvis visade resultaten även att för ett lägre antal användare så var den negativa effekten på prestandan nästan likvärdig mellan de olika mönstren. Detta innebar att det specifika fallet då mikrotjänster ser en lägre mängd trafik så är det rekommenderade säkerhetsmönstret det som implementerad flest åtkomstkontroller. I fallet för den miljö där undersökningen tog plats förekom det en lägre mängd trafik och därför rekommenderades det säkerhetsmönster som säkrade alla tjänster närvarande i mikrotjänsten.

Authentication

Authorization

Access control

Microservices

Microservice Security

Security Tokens

Security Patterns

Performance

Autentisering

Auktorisering

Åtkomstkontroll

Mikrotjänster

Mikrotjänstsäkerhet

Säkerhetstokens

Säkerhetsdesignmönster

Prestanda

Belastningstestning

Computer Sciences

Datavetenskap (datalogi)

Implementation of healthcare web service and its integration into Outlook

Hoe Oh, Chee, Larsson, Ludvig

January 2022

The healthcare sector is still using paper transcripts for daily tasks that could very well be managed with digital solutions. One of the areas that can utilize digitization are health evaluation forms that patients fill out. This thesis addresses the implementation och the integration of a healthcare service. The product requires that the service’s back-end and database is further developed for later integration into Microsoft Outlook with an Office add-in. In addition, it provides a review on Office add-ins and the ideal API authorization method for the system. An agile methodology is adopted for project management and the chosen software development method is use case driven. To summarize the results, it can be determined that the use cases are successfully implemented and that relevant experience is collected for answering the various aspects regarding Office add-ins. The existing API authorization method was incorrectly implemented, but despite that, the API keys method is deemed suitable for the system. / Vårdsektorn använder sig fortfarande av pappersutskrifter i det dagligt arbetet som mycket väl kan hanteras med digitala lösningar. Ett område som kan ha användning av digitalisering är de självskattningsformulär som patienter fyller i. Detta examensarbete har för avsikt att behandla implementation och integration av en vårdtjänst. Implementationen kräver vidareutveckling av tjänstens backend och databas för att sedan kunna integrera den till Microsoft Outlook med ett Office add-in. Dessutom presenteras en recension av Office add-ins och den ideala methoden för att implementera API auktorisering i systemet. En agil metodik används för projekthantering och den valda mjukvaruutvecklingenmetoden är användarfallsdriven. För att summera resultaten kan det fastställas att samtliga användarfall är implementerade och att relevant erfarenhet är insamlad för att besvara rescensionsaspekterna kring Office add-ins. Den existerande metoden för API auktorisering var felaktigt implementerad, men trots det är det bedömt att API nycklar är lämpligt att använda i systemet.

Office add-in

Fullstack Application

NoSQL

API Authorization Methods

Office add-in

Fullstack Applikation

NoSQL

Metoder för API Auktorisering

Computer and Information Sciences

Data- och informationsvetenskap

Security Management : Fulfillment of the Government Requirements for a component assurance process

Kukuruzovic, Naida

January 2016

Protecting organization’s assets from various security threats is a necessity for every organization. Efficient security management is vital to effectively protect the organization’s assets. However, the process of implementing efficient security management is complex and needs to address many requirements. The problem that this master’s thesis project addressed was to propose a component assurance process for the Swedish Armed Forces. This process has to be followed in order for a solution or product to be approved at a specific component assurance level. This problem was solved by first performing market research regarding security management. Various security management approaches were examined and the top security management solutions were selected. These solutions were then compared with the assurance requirements stated in Swedish Armed Forces’ KSF v3.1 (Swedish: “Krav på IT-säkerhetsförmågor hos IT-system”, English: Requirements for IT security capabilities of IT systems). This documentation lists the requirements for information technology (IT) security capabilities of IT systems. The solution that satisfied the most of these requirements was selected and modified in order to satisfy the full set of requirements. Finally, a component assurance process is proposed. This process may be used to decide which solutions or products can be used, along with the manner in which each solution or product should be used. The impact of having a component assurance process is that all the solutions and products are approved to a specific component assurance level exclusively based on this process. The ability to include such requirements in the acquisition of any product or service provides the Swedish Armed Forces with assurance that all products or services are approved to specific assurance levels in the same manner and hence provides the Swedish society with assurance that procedures within the Swedish Armed Forces are documented and protect the interests of the country and its citizens. / För varje organisation är det nödvändigt att skydda information från olika säkerhetshot. Att ha en effektiv säkerhetshantering är avgörande för att kunna skydda informationen. Denna process är komplex och många krav måste tillfredsställas. Problemet som detta examensarbete avser att lösa handlar om hur införandet av en assuransprocess kommer påverka Försvarsmakten. Denna process måste följas för att en lösning eller produkt ska godkännas till en specifik komponents säkerhetsnivå. Frågeställningen besvaras i första hand av en marknadsundersökning om säkerhetshantering. Olika säkerhetshanteringsstrategier undersöktes och de bästa säkerhetslösningar valdes. Lösningarna jämfördes därefter med de assuranskrav som anges i Försvarsmaktens KSF V3.1 (Krav på IT säkerhetsförmågor hos IT – system) som är den dokumentation som anger kraven för IT säkerhetsfunktioner i ett IT system. Lösningen som uppfyllde de flesta kraven valdes och modifierades för att uppfylla samtliga kraven. Slutligen rekommenderades en komponent assuransprocess, vilken skulle kunna användas för att avgöra vilken lösning eller produkt som skulle kunna användas samt på vilket sätt det skulle kunna användas. Möjligheten att införa sådana krav i förvärvet av vilken produkt eller tjänst det än gäller förser Försvarsmakten med garantier för att alla produkter eller tjänster är godkända enligt särskilda säkringsnivåer på samma sätt och därmed försäkras det svenska samhället att förfaranden inom svenska väpnade krafter dokumenteras samt skyddar landet och dess medborgare. / Säkerhetshantering, informationssäkerhet, autentisering, auktorisering, styrning, riskhantering, följsamhet, användaradministration

Security management

information security

authentication

authorization

governance

risk management

compliance

user management

Säkerhetshantering

informationssäkerhet

autentisering

auktorisering

styrning

riskhantering

följsamhet

användaradministration

Communication Systems

Kommunikationssystem

Computer Sciences

Datavetenskap (datalogi)

Computer Engineering

Datorteknik