One key to rule them all : Sårbarheter och spårbara artefakter i säkerhetsnycklar / One key to rule them all : Vulnerabilities and traceable artefacts in security keys

Gunnarsson, Philip, Isenstierna, Emmi

January 2023

Att skydda sin data idag kommer med flera utmaningar då lösenord som enda autentiseringsmetod är otillräcklig. Lösenord är ofta användarvänliga, enkla att hålla koll på och är utan kostnad för användaren. Det går alltid att göra lösenord säkrare men det upplevs ofta som svårhanterligt. I stället för detta kan man även använda ytterligare autentiseringsmetod. Många sidor och tjänster använder idag så kallad två- eller flerfaktorsautentisering genom t.ex. BankID eller säkerhetsnycklar. Med all ny teknik följer nya säkerhetsaspekter att ta hänsyn till, speciellt om denna teknik lämnar efter sig spår som kan utnyttjas av t.ex. hackare. Arbetets syfte är att undersöka spårbara artefakter som är kopplade till de fysiska säkerhetsnycklarna Solo 1 och YubiKey 5 NFC i Windows Registret i Windows 10 Pro N, samt utvärdera om tidigare kända sårbarheter kan bidra till insikter om säkerhetsnycklars säkerhet. Detta genomförs med hjälp av två kvalitativa metoder, dels genom en kartläggning av sårbarheter, dels genom ett experiment. Baserat på de funna sårbarheterna som har hittats så går det inte att säga huruvida de säkerhetsnycklarna skiljer sig i säkerhetsnivå, men det är tydligt att det främst är i firmware och mjukvara där sårbarheterna finns. Huruvida den ena säkerhetsnyckeln är säkrare än den andra går inte att fastställa, samt om en öppen källkod har någon betydelse vad gäller säkerhet. Dessutom går det att konstatera att spårbara artefakter från en säkerhetsnyckel kan hittas i ett Windows operativsystem. Baserat på de funna sårbarheterna som har hittats så går det inte att säga huruvida de säkerhetnycklarna skiljer sig i säkerhetsnivå, men det är tydligt att det främst är i firmware och mjukvara där sårbarheterna finns. Huruvida den ena säkerhets-nyckeln är säkrare än den andra går inte att fastställa, samt om öppen källkod har någon betydelse vad gäller säkerhet. Dessutom går det att konstatera att spår-bara artefakter från en säkerhetsnyckel kan hittas i ett Windows operativsystem. / Protecting your data today comes with several challenges since a password as the only authentication method is insufficient. Passwords are often user-friendly, easy to keep track of, and at no cost for the user. Passwords can always be made more secure, but this task is often perceived as tedious. Instead, additional authentication methods may be used. Many sites and services today use so-called two- or multifactor authentication, e.g. BankID (a type of eID) or security keys. all new technology comes with unique security aspects to consider, especially if this technology leaves behind traces that can be exploited by, e.g., hackers. This study aims to investigate traceable artifacts associated with the physical security key Solo 1 and YubiKey 5 NFC in the Windows Registry in Windows 10 Pro N and to evaluate whether previously known vulnerabilities can contribute to insights into security key security. The study uses two qualitative methods, one mapping out the vulnerabilities and another through an experiment. Based on the vulnerabilities that was found, it is not possible to conclude whether the security keys differ in security level. Still, it is mainly in the firmware and software where the vulnerabilities exist. Whether one security key is more secure than the other is inconclusive, and whether open-source code has any implications regarding security. In addition, it is ascertained that traceable artifacts from a security key can be found in a Windows operating system.

Vulnerabilities

physical security key

SoloKeys

YubiKey

Windows Registry

Registry Editor

Sårbarheter

fysisk säkerhetsnyckel

SoloKeys

YubiKey

Windows Registret

Registereditorn

Övrig annan teknik

Rättssäker autentisering vid digitala examinationer på distans för högre utbildning

Norberg, Camilla, Larsen, Lovisa

January 2022

Studien ämnar att undersöka utmaningar i relation till rättssäkerhet vid digitala examinationer på distans för högre utbildning. Genom att undersöka vilka utmaningar som finns i dagsläget presenteras ett lösningsförslag till de utmaningar relaterade till autentisering av studenter. Teorier gällande rättssäkerhet kopplad till tentamen, informationssäkerhet och autentisering vid digital tentamen används för att diskutera den empiriska data som samlats in under studien. En fallstudie genomfördes på Luleå Tekniska Universitet där data har samlats in genom semi-strukturerade intervjuer med informanter från Luleå Tekniska Universitet. Undersökningen kartlägger de utmaningar som finns kopplat till rättssäkerhet och autentisering av studenter vid digitala examinationer på distans vid Luleå Tekniska Universitet. Slutligen presenteras ett lösningsförslag till de utmaningar som identifierades gällande autentisering.

Digital tentamen

rättssäkerhet

autentisering

multifaktorautentisering

fysisk säkerhetsnyckel

YubiKey

Information Systems

Two-factor Authentication and Digital Signing for an Enterprise System utilizing Yubikey

Hilm, David, Rahim, David

January 2019

The use of a second factor to increase the security of systems is growing and has continued to do so for a long time. This thesis explores options for implementation to use a YubiKey as an authentication method (OTP) as well as for signing digital transactions through a web browser client. Measures of network overhead that occurs in conjunction with Digital Signing of transactions are also disclosed. Our findings show that YubiKey provides flexible and readily available solutions that can be used with only small implementations for OTP authentication. It is also shown that the major concern for implementing a solution for a web browser is to intuitively use certificates stored on a USB-device without installing any plugins or with the use of a third-party application running on the client machine.

Digital signature

Security

Two-factor Authentication

Authentication

Cryptography

YubiKey

JavaScript

WebCrypto

Universal Second Factor

Software Engineering

Programvaruteknik

Webová aplikace využívající vícefaktorovou autentizaci / Web application utilizing multi-factor authentication

Humpolík, Jan

January 2013

In the thesis are described and implemented 5 methods (some with their own proposal) of multifactor authentication in web application environment. The results of the work is the web application and individual authentication methods (which are attached separately) for use in your own web application.