Användning av privata E-legitimationer inom kommunal verksamhet / Use of private E-identification in municipal activities

Bernhardsson, Karl

January 2021

Sverige har legat i framkant med elektronisk identifikation speciellt med BankID som hade cirka 8 miljoner användare 2019. Eftersom BankID är så pass vanligt och uppfyller en god säkerhet, använder vissa kommuner det för deras verksamheter. Att använda BankID som e-legitimation i tjänsten har diskuterats länge och lett en del motstånd från personalen. Syftet med den här studien är att undersöka hur Skaraborgs kommuner använder sig utav privata e-legitimationer. Studien tar upp vilka system privata e-legitimationer används till, varför kommuner har valt det och eventuella problem de stött på. Insamling av data kommer ske med intervjuer som utförs med de ansvariga personer hos kommunerna. Resultatet visar att kommunerna använder privata e-legitimationer som BankID till många olika system, men fanns inget tydligt mönster för vilka system och tjänster det används till. Kommunernas motivering för att använda mobila BankID var dels av ekonomiska skäl där kommunen var tvungen att hålla en budget, samt praktiska skäl då många redan har mobila BankID, vilket underlättade deras implementation. Majoriteten av kommunerna ansåg att använda privata mobila BankID i tjänst inte nödvändigtvis är något negativ eftersom det uppfyller de säkerhetskrav som ställs och är en befintlig lösning som de anställda använder. Resultatet visar även att det finns en del motstånd från personalen vilket har hindrat implementationen för kommuner. I de fall personal inte går med på att använda sitt privata mobila BankID hade de flesta kommuner en alternativ lösning. / Sweden has been at the forefront of electronic identification, especially with BankID, which had approximately 8 million users in 2019. Because mobile BankID is so common and meets good security, some municipalities have used it to identify their employees. Using BankID as e-identification in the workplace has been discussed for a long time and has led to some opposition from employees.The purpose of this study is to investigate how Skaraborg's municipalities use private e-identifications.The study addresses which systems private e-identification is used for, why municipalities have chosen it and any problems they have encountered. The data will be collected through interviews with the responsible employees at the municipalities. The results show that the municipalities use private e-identifications like BankID for many different systems and did not show a clear pattern for which system it was used for. The municipalities'reasoning for using mobile BankID was that partly for financial reasons where the municipality had to follow a budget and practical reasons as many already have mobile BankID, which facilitated their implementation. The majority of the municipalities considered that using private mobile BankID in the workplace is not necessarily something negative as it meets the security requirements set and is easilyaccessíble. The results also show that the employees were against the use of BankID as a identification, which has hindered implementation for municipalities. In cases where staff do not agree to use their private mobile BankID, most municipalities had an alternative solution.

Private e-identificatioin

Mobile BankID

Two factor authentication

municipal operations

Privata e-legitimationer

Mobilt BankID

Tvåfaktorautentisering

kommunal verksamhet

Information Systems

Two-Factor Authentication : Selecting and implementing a two-factor authentication method for a digital assessment platform

Tellini, Niklas, Vargas, Fredrik

January 2017

Two-Factor Authentication (2FA) is a two-step verification process that aims to provide an additional layer of security by requiring the user to authenticate himself/herself using a secondary means (ownership factor or inheritance factor). Without the use of 2FA, an attacker could gain access to a person’s devices or accounts solely by knowing the victim’s password, while with 2FA knowing only this password is insufficient to pass the authentication check. In this project, we analyze different methods in which 2FA could be implemented by a Digital Assessment Platform. These platforms allow test assessments to be built directly into digital content; therefore, an important requirement of these systems is secure authentication. Moreover, it is important to securely protect teachers’ account in order to avoid unauthorized people gaining access to those accounts. We investigate how 2FA could be used to add an extra layer of security to teachers’ accounts, focusing on cost, user experience, ease of use, and deployment of the solution. We arrived at the conclusion that 2FA through an ownership factor is a suitable method and we implemented a solution based upon One-Time Passwords. This thesis project will hopefully benefit Digital Assessment Platforms who wish to implement 2FA by providing broader knowledge regarding this subject. The project should also benefit society by increasing the general knowledge of 2FA, hence leading to more secure services. / Tvåfaktorsautentisering (2FA) är en tvåstegs verifieringsprocess som syftar att ge en extra nivå av säkerhet, i och med att den kräver användaren att autentisera sig själv genom en sekundär faktor (något man äger eller har ärvt). Utan användning av 2FA, kan en förövare få åtkomst till en persons mobila enhet eller konto endast genom att kunna offrets lösenord. Att enbart kunna lösenordet är inte tillräckligt för att en autentiseringsprocess ska vara godkänd om 2FA är implementerad. I det här projektet analyseras olika 2FA som skulle kunna implementeras av en digital utvärderingsplattform. Sådana plattformar  förvandlar tester och prov till digitalt innehåll och kräver därför en säker autentisering. Dessutom är det viktigt att säkra lärarnas konton för att undvika att icke auktoriserade personer loggar in på deras konton. Vi undersöker hur 2FA kan användas för att lägga till en extra nivå av säkerhet på lärarnas konton, med fokus på kostnad, användarupplevelse, lättanvändlighet och utplacering av lösningen. Vi kom fram till att 2FA via en faktor man äger är en passande metod  och vi implementerade sedan en lösning grundad på engångslösenord. Detta projekt kan förhoppningsvis vara till förmån för digitala utvärderingsplattformar  som vill implementera 2FA,  genom att ge en bredare kunskap inom detta område. Projektet skulle kunna gynna allmänheten genom att bidra till ökad generell kunskap om 2FA, och därav leda till säkrare tjänster.

Two-Factor Authentication

Security

One-Time Passwords

Access control

Digital Assessment Platform

Två-stegs autentisering

Säkerhet

Engångslösenord

Åtkomst kontroll

Digital bedömningsplattform

Communication Systems

Kommunikationssystem

“Vad har användare för behov när det gäller hantering av lösenord?” : En användarundersökning gjord på Apple användare i syfte för att förstå vilka behov användare har för lösenordshantering / “What needs do users have when it comes to password management?” : A user study conducted on Apple users in order to understand what needs users have in password management

Hrafnsdóttir, Eva, Rocksten, Rebecca

January 2021

The method an individual uses to handle their passwords is an important measure to be able to protect their sensitive information from data intrusion. The amount of passwords a person uses is increasing rapidly, this leads to the individual having problems with remembering all of them. Using a password manager that stores all passwords, as well as creating unique strong passwords for different websites is a common solution for this problem.  This study aims to deepen the understanding of the individual's password management. Apple’s own password manager iCloud Keychain has been used as the platform of study. This study aims to seek answers on how secure the common user feels towards iCloud Keychain, as well as user experience point of views. How user friendly is the program and what challenges do users experience?  The study is primarily based on a questionnaire, which forms the basis for in-depth interviews with both a selected focus group as well as an expert interview.  The results show divided opinions about the level of security the users feel towards iCloud Keychain, and where connections can be seen based on users previous knowledge in the field. The conclusion includes that iCloud Keychain is quite a strong candidate on the market for password management but it has some issues when it comes to the overall user experience. Areas for development to create an even stronger candidate include amongst others, opening for use on a wider number of platforms, that is; unlocking the program from Apple's ecosystem. / Individens hantering av sina lösenord är en viktig åtgärd för att kunna skydda sin känsliga information från dataintrång. I dagsläget använder människor sig av ett större antal lösenord, vilket gör det svårare att komma ihåg dem. Att använda sig av en lösenordshanterare som samlar alla lösenord, samt även skapar unika lösenord för varje hemsida gör det säkrare för individen.  I denna studie fördjupas förståelsen för individens hantering av lösenord och dess användning av just Apples egna lösenordshanteringsprogram iCloud Nyckelring. Frågor kring användarens känsla av säkerhet gentemot programmet undersöks. Även användarvänligheten och utmaningar med användandet är några av huvudsakerna som undersöks.  Studien bygger framförallt på en enkät, som lägger grunden till en fördjupad intervju med en fokusgrupp samt en expertintervju.  Resultaten påvisar delade meningar kring säkerheten med iCloud Nyckelring, där samband kan dras utifrån om användaren har tidigare kunskap inom området eller inte. Slutsatsen inkluderar att iCloud Nyckelring är en ganska stark kandidat på marknaden för lösenordshantering, men den har vissa problem när det kommer till den övergripande användarupplevelsen. Utvecklingsområden för att skapa en ännu starkare kandidat är till exempel att öppna för användning på ett större antal plattformar, det vill säga; låsa upp programmet från Apples ekosystem.

End to end encryption

Two factor authentication

User experience

User interface

Password management

Keychain

Apple

End-to-end-kryptering

Tvåfaktorsautentisering

Användarupplevelse

Användargränssnitt

Lösenordshantering

Nyckelring

Apple

Media and Communication Technology

Medieteknik