Lösenordspolicy: En Balans Mellan Säkerhet och Användarvänlighet : Användarcentrerad utveckling av lösenordspolicyer för enklare hantering av lösenord / Password Policy: A Balance Between Security and Usability

Persson, Rasmus, Sylvan, Jonathan, Waenerlund, Edvin

January 2024

Lösenord är en av de vanligaste autentiseringsmetoderna idag men vid användning av lösenord så uppkommer det även utmaningar med hantering av lösenord. Till exempel när lösenordspolicyn kräver långa och komplexa lösenord har användare ofta svårt att komma ihåg sina lösenord och använder strategier för att memorera sina lösenord. Syftet med studien är att studera hur användarvänligheten kan förbättras i lösenordpolicyer. Studien beskriver utmaningar som användare upplever vid hantering av lösenord och lösenordspolicyn samt ansvarigas syn på en användarcentrerad utveckling av lösenordspolicyer. Detta har utförts genom semi-strukturerade intervjuer av anställda utan koppling till informationssäkerhetsarbetet samt ansvariga för informationssäkerhetspolicyn på svenska företag och organisationer. Studiens resultat visar att många anställda upplever utmaningar när det kommer till lösenordspolicyer. Den främsta utmaningen anställda upplever är återkommande lösenordsbyten som leder till att användare upplever att det blir svårare att komma ihåg sina lösenord. En del respondenter använder sig därför av riskfyllda strategier för att memorera sina lösenord. Merparten av ansvariga har en positiv syn till att involvera användare i utveckling av lösenordspolicyn eftersom det kan leda till förbättrad förståelse för policyn. Studiens slutsats visar att det finns förbättringspotential i lösenordspolicyer och bidrar med praktiska rekommendationer hur lösenordspolicyer kan förbättras ur en användarvänlighetssynpunkt som framställare kan använda vid utveckling av lösenordspolicyer. Andra användarvänliga rekommendationer föreslås i studiens slutsats för att underlätta hanteringen av lösenord för användare. Studien begränsar sitt omfång med att endast komma med praktiska rekommendationer kring hur lösenordspolicyer kan förbättras och inte hur en lösenordspolicy ska utformas i sin helhet. / Passwords are one the most common authentication methods today, but when using passwords, challenges also arise in password management. For example, when password policies require long and complex passwords, users often struggle to remember their passwords and resort to risky strategies to memorize them. The purpose of the study is to explore how usability can be improved in password policies. The study describes challenges that users face in password management and password policies, as well as the views of policy creators on user-centered development of password policies. The study has been conducted through semi-structured interviews with employees and the ones responsible for the password policy in Swedish companies and organizations. The results of the study show that many employees experience challenges with password policies. The primary challenge employees face is frequent password changes, which makes it harder for users to remember their passwords. Some respondents therefore use strategies to memorize their passwords. The majority of people responsible for the password policy have a positive view of involving users in the development of password policies because it can lead to improved understanding of the policy. The study concludes that there is room for improvement in password policies and provides practical recommendations on how password policies can be improved from a usability perspective that developers of password policies can use when developing password policies. Other usability recommendations are proposed in the study's conclusion to facilitate password management for users. The study limits its scope by only providing practical recommendations on how password policies can be improved, rather than how a password policy should be formulated in its entirety.

Password policy

User-centric

User-friendly

Passwordless authentication

Usability

Lösenordspolicy

Användarcentrerad

Användbarhet

Lösenordsfri autentisering

Användarvänlighet

Information Systems