Autentisering i programvaruapplikationer

Martinsson, Robin, Rosenlund, William

January 2013

Dagens människa är ytterst beroende av webbtjänster och med tiden har det blivit fler och viktigare tjänster som startat upp på internet. Viktiga tjänster som internetbanker. Oftast är det bara ett användarnamn och ett lösenord som krävs för att bli autentiserad så man skulle kunna tro att användarna håller hårt i sina lösenord och att de väljer starka/unika lösenord. För många verkar det dock, enligt källor, vara ett besvär. Borde man ha associeringar för att lätt komma ihåg sitt lösenord eller är det för riskabelt? Det har visat att många tycker om att använda ord som förknippas med webbsidan. LinkedIn hade för ett tag sedan 6,46 miljoner konton hackade då studierna visade att många använt ord som “link”, “work” och “job”; lösenord som är förknippade med sidans innehåll. Det är inte bara ovana användare som slarvar med sina lösenord, det har kommit fram att även många IT-administratörer väljer simpla lösenord eller förvarar viktiga inloggningsuppgifter på lättåtkomliga lappar. Frågan är vems fel det egentligen är. Ska alla som inte har ett starkt och unikt lösenord för varje tjänst skylla sig själva eller är det omänskligt att förvänta sig detta? Finns det alternativa vägar att gå och vad är för- och nackdelarna med dessa metoder? Vad vår litteraturstudie samt enkät påvisar är att vid vissa fall kan alternativa metoder för autentisering behövas. Det vanliga textbaserade lösenordet kanske inte alltid är det ultimata alternativet. Vad är så bra med ersättningarna då? Hur kommer det sig att vi inte ser mer av de biometriska alternativen t. ex? Vi har undersökt de idag mest kända autentiseringsmetoderna med säkerhetsbrister, användarvänlighet och om vissa metoder är i olika syften bättre att använda än dagens lösenordsmetod. Resultatet vi har kommit fram till har visat att användare är villiga att testa nya metoder motiverat utifrån dagens användaresituation. Säkerhetsmässigt är flera metoder bättre än lösenord. Varje metod har sina för- och nackdelar och varför nya metoder inte testas mer är fortfarande oklart.

Autentisering

biometri

lösenord

Computer Sciences

Datavetenskap (datalogi)

Human Computer Interaction

Software Engineering

Programvaruteknik

Single sign-on : Kerberos i webbapplikationer

Gustafsson Westman, Hans

January 2010

Detta arbete undersöker ett par olika tekniker för att implementera single sign on med Kerberos i webbapplikationer. Undersökningen har gjorts på HTTP-autentisering som bygger på Microsofts NegotiateAuth och Cosign från University of Michigan. Dessa två tekniker har undersökts för att se hur de står sig mot varandra på kriterier såsom komplexitet, arbetsinsats och mjukvarukrav.Resultatet visar att HTTP-autentisering är väldigt simpel att implementera men kräver dock att användarens webbläsare konfigureras för den. Cosign är mer komplext men använder sig av Cookies vilket gör att de flesta webbläsare stödjer tekniken utan extra konfiguration.

Single sign on

Kerberos

NegotiateAuth

HTTP-autentisering

Cosign

Computer Sciences

Datavetenskap (datalogi)

Analys och utvärdering av trådlösa nätverk i Kalmar : En säkerhetsundersökning

Eriksson, Per, Wiklund, William, El-Hajj, Elie

January 2010

Syftet med arbetet är att ta reda på hur väl privatpersoner informeras om hur de ska skydda sina trådlösa nätverk och varför. Genom arbetet ska följande frågor besvaras: - Vid beställning av bredband inklusive trådlös router från en bredbandsleverantör: informerar leverantören sina kunder om att det trådlösa nätverket bör säkras upp och varför? - Blir man informerad om säkerheten när man köper en trådlös router i en lokal affär? - Skyddar invånare i Kalmar generellt sett sina trådlösa nätverk? Genom användning av kvantitativa metoder i form av observationer har vi svarat på två av frågeställningarna. En kvalitativ metod användes genom att vi skickade enkäter via e-post till fem bredbandsleverantörer. Resultaten från vår undersökning visar att majoriteten av invånarna i Kalmar skyddar sina nätverk, men att det är vanligast med en svag kryptering. Undersökningen visar att informationen från lokala affärer och bredbandsleverantörer är bristfällig.

Trådlösa nätverk

Attackera

Säkerhet

Kryptering

Avlyssna

WEP

WPA

WPA2

Autentisering

Computer Sciences

Datavetenskap (datalogi)

Inloggning : Lösenordskryptering och Brute force attack

Strandberg, Emil

January 2015

This report is the result of a sub-project of a larger project to create a platform formathematical education. The sub-project focuses on authentication with associ-ated security, where security is emphasized. The project environment is Java EE 6where GlassFish 4.0 acts as the server. The project has been divided into threeparts; password encryption, Java EE authentication and brute force attack. Thepassword encryption part focuses on examining different hash functions executionspeed, the result shows that none of the examined hash algorithms is suitable fordirect use. Instead its recommended to use PBKDF2 with salt to encrypt pass-words. The Java EE section constructs a working application where users can reg-ister and login etc. This is performed as a study of the security tools available inJava EE. The result meets the requirement specification and a section on Java EEsecurity tools is presented. The brute force attack section is a theoretical study ofwhat can be done to protect against a brute force attack. The result shows thatCAPTCHAs is not recommended by OWASP and a system using cookies and aform of userblocking is purposed. The various parts are separated as far as possi-ble through the report with the exception that the result of the password encryp-tion section is applied in the Java EE application. / Denna rapport är resultatet av en deluppgift i ett större projekt att skapa en platt-form för undervisning av matematik. Uppgiften fokuserar på inloggning med till-hörande säkerhet. Projektets miljö är Java EE 6 med Glassfish 4.0 som server.Projektet har delats upp i tre underkategorier; Lösenordskryptering, Java EE in-loggning och Brute force attacks. Lösenordskrypterings delen fokuserar på att un-dersöka olika hashfunktioners exekveringshastighet, resultatet visar att ingen avde algoritmer som undersöks lämpar sig att användas direkt. Istället rekommende-ras system som PBKDF2 med SALT för att kryptera lösenord. Java EE avsnittetkonstruerar en fungerande applikation där användare kan registrera sig och loggain med mera. Arbetet utförs som en studie av vilka säkerhetsverktyg som finnstillgängliga i Java EE. Resultatet uppfyller kravspecifikationen och ett avsnitt omJava EEs verktyg presenteras. Brute force attack-avsnittet är en teoretisk studieav vad som kan göras för att skydda sig mot Brute force attacker. Resultatet visaratt robotfilter inte är rekommenderat av OWASP och ett förslag på ett system somanvänder kakor och en form av användarblockering presenteras. De olika delarnaär separerade så långt som möjligt genom rapporten med undantaget att resultatetav lösenordskrypterings avsnittet tillämpas i Java EE applikationen.

Säkerhet i Java EE

Auktorisering

Autentisering

Lösenordskrypte- ring -hashning

Brute force attack

Computer Sciences

Datavetenskap (datalogi)

Lösenordshantering : Systemvetares lösenordsvanor på Internet

Van den Weghe, Matthias, Domeij, Johan

January 2014

Syftet med denna uppsats är att ta reda på hur systemvetares lösenordsvanor ser ut. En kvantitativ enkätundersökning har genomförts med individer med anknytning till systemvetenskap vid Uppsala universitet. Enkäten utformades utifrån tidigare liknande studier och med hänsyn till lösenordsläckor där enkla lösenord visat sig vara vanligt förekommande. Analys av resultatet gav slutsatsen att systemvetare har bättre lösenordsvanor när det kommer till skapande av lösenord än deltagarna i den tidigare studien. Det förekommer dock brister bland systemvetarna gällande sättet att lagra lösenord där de utsätter lösenorden för onödig risk.

lösenord

lösenordsvanor

lösenordshantering

starka lösenord

autentisering

Information Systems

Rättssäker autentisering vid digitala examinationer på distans för högre utbildning

Norberg, Camilla, Larsen, Lovisa

January 2022

Studien ämnar att undersöka utmaningar i relation till rättssäkerhet vid digitala examinationer på distans för högre utbildning. Genom att undersöka vilka utmaningar som finns i dagsläget presenteras ett lösningsförslag till de utmaningar relaterade till autentisering av studenter. Teorier gällande rättssäkerhet kopplad till tentamen, informationssäkerhet och autentisering vid digital tentamen används för att diskutera den empiriska data som samlats in under studien. En fallstudie genomfördes på Luleå Tekniska Universitet där data har samlats in genom semi-strukturerade intervjuer med informanter från Luleå Tekniska Universitet. Undersökningen kartlägger de utmaningar som finns kopplat till rättssäkerhet och autentisering av studenter vid digitala examinationer på distans vid Luleå Tekniska Universitet. Slutligen presenteras ett lösningsförslag till de utmaningar som identifierades gällande autentisering.

Digital tentamen

rättssäkerhet

autentisering

multifaktorautentisering

fysisk säkerhetsnyckel

YubiKey

Information Systems

Digital lagring och användning av privat information i smarta hem : En studie med användarperspektiv / Digital storage and use of private information in smart homes

Lundgren, Fredrik, Hamberg, André

January 2020

Drömmen om ett smart hem som är helt automatiserat är snart inte en dröm längre. Uppkopplade enheter kan anpassa sig efter sin omgivning och efter givna situationer, vilket exempelvis gör det möjligt för kökslamporna att tändas när garageporten öppnas. Vidare har smarta hem möjligheten att öka livskvaliteten för användare genom att anpassa sig efter deras vanor och beteenden. Om enheterna ska kunna anpassa sig efter användarna och sin omgivning krävs det oerhört mycket information, som i fel händer skulle kunna få förödande konsekvenser för användaren. Dock finns det brister i säkerheten bland enheter och vissa produceras utan säkerhet i åtanke. Det finns flertalet säkerhetsrisker med smarta hem och studien har fokuserat på säkerhetsrisker med fokus på autentisering och beteendeanpassning, med ett användarperspektiv, då det är något som saknas i befintlig litteratur. Frågeställningen som behandlas i studien är: ”Hur ser användare av uppkopplade-enheter i smarta hem på säkerhet utifrån autentisering och beteendeanpassning?”. För att kunna besvara denna frågeställning har en kvantitativ metod tillämpats. En webbenkät utformades och testades i en pre-pilot studie och sedan i en pilotstudie innan den publicerades. Frågorna i enkäten har utvecklats från den teori som presenteras i det teoretiska ramverket. Resultatet visar på att användarna har en hög tilltro till säkerheten hos sina enheter och att en majoritet inte är oroliga över säkerhetsrisker kopplat till autentisering. Respondenterna är mer oroliga över säkerhetsrisker associerade med beteendeanpassning än med autentisering. De respondenterna med hög tillit tenderar att vara villiga att ge ut mer privat information än de med låg tillit. En majoritet är också positivt inställda till att lämna ut mer information för ökad bekvämlighet samt att enheterna använder lagrad information för ökad bekvämlighet.

Internet of Things

Smarta hem

Användarperspektiv

Autentisering

Beteendeanpassning

Säkerhet

Information Systems

Webbapplikationssäkerhet / Webbapplication security

Eklund Kavtaradze, Gustav

January 2021

Säkerhet i applikationer blir allt viktigare, ju mer allting i samhället blir digitaliserat, för attskydda användare och information. Bara under genomförandet av denna rapport skedde två större informationsläckor av känsliga svenska informationshemligheter. Målsättningen med dennarapport är att ta reda på vad det är för säkerhetsrisker som finns för applikationer, generellaåtgärder som kan implementeras för att åtgärda dessa risker och hur dataskyddsförordningen(GDPR) hör ihop med säkerheten i webbapplikationer. För att komma fram till generella åtgärder gjordes även en säkerhetsutvärderingsmetod som används för att kunna utvärdera hurde olika åtgärderna skyddar applikationer för att dels kunna se att alla delar säkrats samt attde fungerar som de bör. Resultatet av denna rapport ger generell åtgärdslista med åtgärder sombör implementeras i applikationers backend men för att ge en liknande åtgärdslista för frontendkrävs det mer arbete, där frontend åtgärdslistan i denna rapport är minimalistisk. Säkerhets utvärderingsmetoden visade sig även bli en del i de åtgärdslistor för att kunna användas även pådriftsatta applikationer. I resultatet av GDPR-undersökningen framkom det att inga specifikakrav ställs ifrån GDPR, istället har lagen i uppgift att höja prioriteten genom att konsekvenserna som kan uppkomma vid felhantering av användares personuppgifter blir mer påtagliga /kostsamma för organisationen. / Security in applications, to protect users and information, is becoming increasingly importantas society is becoming more digitized. During the duration of this report two major informationleaks, of sensitive Swedish classified information, occurred. The aim of this report is to findwhat security risks exist for webapplications, general measures that can be implemented to address these risks and how The General Data Protection Regulation (GDPR) is related to securityin applications. In order to achieve these general measures a security evaluation method was alsoused to be able to evaluate how the various measures protect webapplications, and function asrequired. The results of this report provide a general list of actions that should be implementedin application backends, but to provide a similar for the frontend more wokrs is required, wherethe frontend action list in this report is minimal. The safety evaluation method also proved to bea part of the action lists in order to be able to test the security even on operational applications.The results of the GDPR survey showed that no specific requirements are set from GDPR,instead the law has the task of raising the priority by making the consequences that can arisefrom incorrect handling of users’ personal data more serious / costly to the organization

Oauth2.0

security

authorization

passwords

JWT

Oauth2.0

säkerhet

autentisering

lösenord

JWT

Computer Systems

Datorsystem

En undersökning och implementering för att hitta lämpligast teknik vid e-postläsning : En jämförelse mellan Outlook Mail REST API, Gmail API och IMAP4 baserat på prestanda och säkerhet

Arvidsson, Isac

January 2020

Tekniker för att hämta e-post har sedan länge varit svåra att hantera på grund av brist på en tydlig standard. E-post kan variera i vilka headers som följer med och vilken storlek som är tillåten. De kan även vara skillnader på hur mailet är kodat vilket kan bidra till att mailet inte lyckas parsas på rätt sätt. Äldre tekniker som IMAP4 och POP3 förlitar sig på en bristande autentiseringsprocess som inte är önskvärd. Projektet kommer därför studera de nyare teknikerna Outlook Mail REST API och Gmail API för att jämföra dem mot IMAP4. Syftet är att på ett säkrare och effektivare sätt kunna läsa epost och integrera dem med ett ärendehanteringssystem. e-postöverföringar ska kunna schemaläggas med specifikationer som sparas i en konfigurationsfil. För att uppnå syftet implementerades tre prototyper som använde varsin teknik för att läsa e-post. För att jämföra teknikerna på prestanda gjordes tidsmätningar. En jämförelse på säkerhet genomfördes genom att sätta upp den information som måste sparas i konfigurationsfilen. En jämförelse på funktionalitet genomfördes genom att jämföra en lista på funktioner som bestämdes genom en intervju och därefter se om dem finns på de tre olika teknikerna. Resultatet blev att Outlook Mail API var överlägset bäst när det kommer till prestanda. Den stora anledningen varför var att Outlook API hämtar e-post i plain-text vilket leder till en betydligt kortare tid för att parsa e-post. Gmail API var snabbare än IMAP4 mest troligt för att den använder protokollet http för att hämta epost. Både IMAP4 och Gmail API hämtar e-post i form av MIME-meddelanden vilket ledde till en ungefärligt lika lång tid för parsning. Funktionaliteten för teknikerna var densamma förutom några få skillnader. Outlook API har funktionalitet för att hämta epost i plain-text medan de andra inte har det. Gmail API har inte möjlighet att sortera inkommande e-post. Slutligen kom projektet fram till att Gmail API och Outlook Mail REST API var säkrare än IMAP4 på grund av den modernare autentiseringsprocessen som inte hanterar några lösenord. Både Outlook och Gmail använder Oauth2 som autentiseringsprotokoll. Utifrån resultatet dras slutsatsen att Outlook Mail REST API är den lämpligaste lösningen baserat på dess säkerhet och prestanda. / The process to fetch email has for a long time been a difficult task because of the amount of different standards in email formats. Email can vary in different headers, format, max size and more based on which email supplier sends the mail. Older methods for fetching email as IMAP4 and POP3 still relies upon weak authentication processes. This project will therefore study the new technologies Gmail API and Outlook Mail REST API and compare these to IMAP4. The purpose of this study is to find a more effective and secure way of transferring emails from an email server to the system named Easit GO. Email transfers should be able to be scheduled in such a way that it is specified in a configuration file. To accomplish this three prototypes was implemented. Every prototype used on of the technologies to read email. To compare these prototypes there was a performance test through time measurements. To compare functionality there was a list setup of fixed functions showing which technologies that had support for that specific function. Security was based on the sensitive information that was stored in the configuration file. The result was that Outlook Mail REST API clearly beat the others on performance. This was because of outlooks ability of reading email in plain-text which leads to a substantially shorter parsing time. All of the technologies had similar functionality except for a few things. Outlook API had the possibility of reading email in plain-text which resulted in better performance. Gmail API did not have functionality to sort incoming email on oldest first. The study concluded that Outlook API and Gmail API were more secure than IMAP4 because of no passwords were saved or even used in the prototype. Both Outlook and Gmail used the authentication protocol Oauth2 which is more secure than IMAP4s Basic Authentication. The conclusion points to Outlook Mail REST API being the most suitable solution based on its performance and more modern authentication.

Outlook Mail REST API

Gmail API

IMAP4

Parsning

Java

Autentisering

Oauth2

E-post

Easit GO

Outlook Mail REST API

Gmail API

IMAP4

parsning

Java

Autentisering

Oauth2

E-post

Easit GO

Software Engineering

Programvaruteknik

Biometric Authentication and Penetration of Smartphones

Aronsson, Erik

January 2018

This study aims to examine the function and vulnerabilities of biometric systemsintegrated in smartphones, as well as techniques for circumventing the securityof these systems. These techniques are then used against a selection of smart-phones in order to gauge the resilience of their biometric security. The function,vulnerabilities, and techniques associated with these systems are compiled usinga literature study of published papers and books on the subject. The performedexperiments apply these techniques in the form of presentation attacks directed atthe fingerprint-, face- and iris recognition systems of the examined smartphones.The result of the experiments showed significant differences between the differentsmartphones, where some exhibited flawless security and others showed significantsecurity flaws. Both fingerprint and face recognition systems were successfullycircumvented, while none of the iris recognition systems were breached. No clearlink could be observed between the cost of the device and success rate of attacks,while only devices using the Android operating system were breached. The resultsundeniably showed that some smartphones are vulnerable to the employed tech-niques. It also showed that some of the tested devices had managed to implementmeasures to counteract the applied presentation attacks. The root cause of thevulnerabilities showcased in the experiment is due to the fact that biometric traitscan be copied and reproduced, highlighting a basic flaw of such systems.

biometric

authentication

penetration

iris

face

fingerprint

smarphone

it-forensik

biometri

autentisering

penetration

iris

smartphone

Computer and Information Sciences

Data- och informationsvetenskap