Autentisering i programvaruapplikationer

Martinsson, Robin, Rosenlund, William

January 2013

Dagens människa är ytterst beroende av webbtjänster och med tiden har det blivit fler och viktigare tjänster som startat upp på internet. Viktiga tjänster som internetbanker. Oftast är det bara ett användarnamn och ett lösenord som krävs för att bli autentiserad så man skulle kunna tro att användarna håller hårt i sina lösenord och att de väljer starka/unika lösenord. För många verkar det dock, enligt källor, vara ett besvär. Borde man ha associeringar för att lätt komma ihåg sitt lösenord eller är det för riskabelt? Det har visat att många tycker om att använda ord som förknippas med webbsidan. LinkedIn hade för ett tag sedan 6,46 miljoner konton hackade då studierna visade att många använt ord som “link”, “work” och “job”; lösenord som är förknippade med sidans innehåll. Det är inte bara ovana användare som slarvar med sina lösenord, det har kommit fram att även många IT-administratörer väljer simpla lösenord eller förvarar viktiga inloggningsuppgifter på lättåtkomliga lappar. Frågan är vems fel det egentligen är. Ska alla som inte har ett starkt och unikt lösenord för varje tjänst skylla sig själva eller är det omänskligt att förvänta sig detta? Finns det alternativa vägar att gå och vad är för- och nackdelarna med dessa metoder? Vad vår litteraturstudie samt enkät påvisar är att vid vissa fall kan alternativa metoder för autentisering behövas. Det vanliga textbaserade lösenordet kanske inte alltid är det ultimata alternativet. Vad är så bra med ersättningarna då? Hur kommer det sig att vi inte ser mer av de biometriska alternativen t. ex? Vi har undersökt de idag mest kända autentiseringsmetoderna med säkerhetsbrister, användarvänlighet och om vissa metoder är i olika syften bättre att använda än dagens lösenordsmetod. Resultatet vi har kommit fram till har visat att användare är villiga att testa nya metoder motiverat utifrån dagens användaresituation. Säkerhetsmässigt är flera metoder bättre än lösenord. Varje metod har sina för- och nackdelar och varför nya metoder inte testas mer är fortfarande oklart.

Autentisering

biometri

lösenord

Computer Sciences

Datavetenskap (datalogi)

Human Computer Interaction

Software Engineering

Programvaruteknik

Säkerhetsmedvetenhet gällande lösenordshantering

Isaksson, Stefan

January 2011

Teknikutvecklingen har gått framåt i en rasande takt de senaste åren. En sak som utvecklats desto långsammare är säkerhetstänkandet kring lösenordshantering. Det är vida känt att organisationer skyddar sig mot externa hot som virus etc. Något som förbises är det mänskliga hotet, människor kan utgöra interna hot mot organisationer medvetet eller omedvetet. I detta arbete kan du läsa vilka skillnader som förekommer samt vilka lärdomar som kan dras mellan tre olika organisationer angreppssätt att hantera användningen av lösenord.

Lösenordshantering

säkerhetstänkande

lärdomar

skillnader

interna och externa hot

lösenord.

Computer Sciences

Datavetenskap (datalogi)

Emulerad single sign-on

Högberg, Per, Malmqvist, Lars

January 2015

The goal of the project was to create an extension to Internet Explorer forStatens Tjänstepensionsverk (SPV) which would give the staff the experience ofSingle sign-on (SSO) to external web service providers as well as manage andupdate their passwords in a secure manner. The survey focused on the providersPalasso, ProCompetence and Wera. The extension was created as a BrowserHelper Object (BHO) with C# in .NET. The solution was implemented as aCOM object in a DLL-file that was running in-process with the browser. Theprogram used a locally stored XML file containing URLs, usernames andencrypted passwords to the providers. When a user came to a login page theprogram collected the HTML elements on the page and populated them withdata from the file and logged in the user. Encryption and decryption was solvedwith a symmetric key that was stored in the program. In the XML file was alsothe date for the latest update of the password. If one month had passed, theprogram either gave the user an indication that the password needed to beupdated, or updated it automatically with a new generated password, dependingon the provider. The conclusion was that the extension worked as planned butthat there were improvements to be made regarding the possibility to add newsites to the system. The project also included an analysis of alternative optionsto solve the problem using JavaScript, Add-in Express, or via a portal page. Theconclusion was that none of these were an equally powerful tool as a BHO.

Single sign-on

Internet Explorer

.NET

C#

COM

XML

kryptering

lösenord

säkerhet

Computer Engineering

Datorteknik

Lösenordshantering och lösenordspolicys inom kommuner : Analys av risker och möjligheter / Password management and password policys in municipalities : An analyse of risks and possibilities

Lantz, Peter

January 2015

Lösenord används i många verksamheter och sammanhang som metod för användare att autentisera sigför att komma åt de resurser de har rätt till och behöver för att kunna utföra sitt arbete. Problemet är attanvändare i stor utsträckning väljer svaga lösenord, för att undvika detta krävs lösenordspolicys och andrametoder för att användarna ska välja tillräckligt starka lösenord. Den här studien är avsedd att identifierarisker och möjligheter i arbetet med lösenordshantering och lösenordspolicys på kommuner i Skaraborg.Den metod som används i studien är kvalitativa intervjuer med tre stycken IT-chefer samt ensäkerhetsforskare som ger ytterligare ett perspektiv i studien. I studien har potentiella risker ochmöjligheter identifierats och de främsta riskerna handlar om utbildning av användare samt hurkommunerna säkerställer att de lösenord som väljs av användarna är tillräckligt säkra. Framtida studierskulle kunna utreda om de fynd som gjorts i denna studie är representativa för majoriteten av kommunergenom att utföra en mer omfattande studie eller göra en kvantitativ studie som undersöker detta.

Lösenordspolicy

Lösenordshantering

Lösenord. Risk

Computer Sciences

Datavetenskap (datalogi)

Computer and Information Sciences

Data- och informationsvetenskap

Säkerhetsmedvetenhet : Hur studenter förhåller sig till säkerhet och lösenordshantering / Security Awareness : How students relate to security and password management

Eriksson, Henry, Arvidsson, Erik, Nerén, Jonas

January 2013

I dagens samhälle är lösenord en central del av var människas vardag. Medvetenheten om vikten av ett säkert lösenord och vilka hot mot informationssäkerheten som existerar är en viktig del av en organisations säkerhetsarbete. Arbetet undersökte hur studenter på Linnéuniversitetet hanterar sina lösenord samt hur medvetna de är om existerande hot och attacker som kan äventyra lösenordets integritet. För att samla in data genomfördes en enkätundersökning. Ett program skapades med syfte att betygsätta användarnas lösenord och på ett pedagogiskt vis utbilda dem i hur ett säkert lösenord skapas. Resultaten visade att studenter i hög grad återanvänder lösenord och att det finns skillnader mellan olika grupper i graden av säkerhetsmedvetenhet. De som mottagit någon form av utbildning inom IT-säkerhet har större kunskap om hot och attacker, samt hanterade sina lösenord på ett mer säkert sätt. / In todays society, passwords are a central part in the daily routine of the common man. The importance of a safe password and knowledge of what threats against information security exists, is an important part of an organization’s security. This work studied how students at the Linnaeus University handles their passwords and how aware they are of existing threats and attacks that can compromise the integrity of their password. A survey was done to collect data, and a program was created with the purpose of grading the users passwords and in an educational way teach them how to create a secure password. The results showed that students reuse their passwords frequently and that there are some differences between groups regarding their security awareness. Those who have received some sort of education concerning IT-security had greater knowledge about threats and attacks, and they also handled their passwords with a more secure manner.

Lösenordshantering

lösenord

säkerhetsmedvetenhet

säkerhet

IT-säkerhet

lösenordsanalyserare

lösenordsanalys

lösenordsmätare

Computer Sciences

Datavetenskap (datalogi)

Nulägesanalys av informationssäkerhet gällande lösenord och dess policyer vid svenska lärosäten

Binyamin, Simon, Lundgren, Jakob

January 2017

No description available.

Lösenord

policy

universitet

lärosäte

styrdokument

Information Systems, Social aspects

Utvärdering av valideringstjänst för lösenord byggd på segmenteringsalogritm : Introducering av Moses segmenteringsalgoritm / Evaluation of password validation service based on segmentation algorithm : Introducing the Moses segmentation algorithm

Hjertstedt, Karl

January 2023

Lösenord är viktiga för att skydda användare från otillåten åtkomst till deras tjänster. Sådana tjänster kan både innehålla olika former av personlig information som bankkonto eller streaming tjänster. I denna studie kombineras funktionalitet av två tidigare segmenteringsalgoritmer för att skapa en ny segmenteringsalgoritm kallad Moses Segmenteringsalgoritm (MSA). Efteråt evalueras styrkan av lösenord skapade av användarna med hjälp av två databaser med läckta lösenord, samt användarnas upplevelse av en valideringstjänst som innehåller MSA. Algoritmen jämförs även med Googles lösenordskrav. Resultatet av studien visar på att lösenord som skapats med hjälp av MSA blir aldrig svaga, samt att användarna tycker att lösenord är lätta att skapa. Däremot upplevdelite mer än hälften av användarna att de inte skulle komma ihåg lösenordet med MSA. Användarna ansåg inte alltid att deras lösenord var säkert, även om lösenordet klassificerades som säkert enligt Nordpass lösenordsmätare. / <p>Stavningsjusterad titel: Utvärdering av valideringstjänst för lösenord byggd på segmenteringsalgoritm</p>

Lösenord

Moses segmenteringsalgoritm (MSA)

segmenteringsalgoritm

valideringstjänst

Information Systems, Social aspects

Webbapplikationssäkerhet / Webbapplication security

Eklund Kavtaradze, Gustav

January 2021

Säkerhet i applikationer blir allt viktigare, ju mer allting i samhället blir digitaliserat, för attskydda användare och information. Bara under genomförandet av denna rapport skedde två större informationsläckor av känsliga svenska informationshemligheter. Målsättningen med dennarapport är att ta reda på vad det är för säkerhetsrisker som finns för applikationer, generellaåtgärder som kan implementeras för att åtgärda dessa risker och hur dataskyddsförordningen(GDPR) hör ihop med säkerheten i webbapplikationer. För att komma fram till generella åtgärder gjordes även en säkerhetsutvärderingsmetod som används för att kunna utvärdera hurde olika åtgärderna skyddar applikationer för att dels kunna se att alla delar säkrats samt attde fungerar som de bör. Resultatet av denna rapport ger generell åtgärdslista med åtgärder sombör implementeras i applikationers backend men för att ge en liknande åtgärdslista för frontendkrävs det mer arbete, där frontend åtgärdslistan i denna rapport är minimalistisk. Säkerhets utvärderingsmetoden visade sig även bli en del i de åtgärdslistor för att kunna användas även pådriftsatta applikationer. I resultatet av GDPR-undersökningen framkom det att inga specifikakrav ställs ifrån GDPR, istället har lagen i uppgift att höja prioriteten genom att konsekvenserna som kan uppkomma vid felhantering av användares personuppgifter blir mer påtagliga /kostsamma för organisationen. / Security in applications, to protect users and information, is becoming increasingly importantas society is becoming more digitized. During the duration of this report two major informationleaks, of sensitive Swedish classified information, occurred. The aim of this report is to findwhat security risks exist for webapplications, general measures that can be implemented to address these risks and how The General Data Protection Regulation (GDPR) is related to securityin applications. In order to achieve these general measures a security evaluation method was alsoused to be able to evaluate how the various measures protect webapplications, and function asrequired. The results of this report provide a general list of actions that should be implementedin application backends, but to provide a similar for the frontend more wokrs is required, wherethe frontend action list in this report is minimal. The safety evaluation method also proved to bea part of the action lists in order to be able to test the security even on operational applications.The results of the GDPR survey showed that no specific requirements are set from GDPR,instead the law has the task of raising the priority by making the consequences that can arisefrom incorrect handling of users’ personal data more serious / costly to the organization

Oauth2.0

security

authorization

passwords

JWT

Oauth2.0

säkerhet

autentisering

lösenord

JWT

Computer Systems

Datorsystem

Colour a Symbol : Autentisering för smartphones

Engvall, Markus, Teljing, Johanna

January 2014

Under de senaste åren har den mobila tekniken i stort sett helt gått över till smartphones. Smartphones är i princip mer datorer än telefoner, som vi alltid bär med oss och som innehåller allt mer känslig information. Detta medför att kraven på säkerheten kring enheten ökar. Detta arbete undersöker om det är möjligt att finna en ny metod att låta användaren autentisera sig på, som är säkrare än de som är vedertagna idag, men samtidigt har liknande nivå av användbarhet. Vår idé, som vi arbetar med under namnet Colour a Symbol, baseras på att kombinera symboler och färger i par. För att utveckla idén skapade vi en funktionell prototyp, som sedan utvärderadesmed hjälp av en mindre testgrupp. Empirin visar på att Colour a Symbol har en god användbarhet, om än något för lång inloggningstid. Idéer för att förbättra inloggningstiden presenteras. Teoretiskt sett så är Colour a Symbol säkrare än exempelvis pinkod, men testgruppen var inte tillräckligt stor för att kunna bedöma den praktiska lösenordsrymden. Utformning av symboltema påverkar även förmodligen i hög grad den praktiska lösenordsrymden. Vår slutsats är att idén har en klar potential, men att det behövs ytterligare studier för att finslipa den. / During the past years mobile technology has moved almost entirely to smartphones. Smartphones are in essence more computers than phones, which we always carry with us and that contain ever more sensitive information. This requires that the level of security around the device increases. This study strives to find a new method of authenticating users, that is more secure than those that are established today, but at the same time has a similar level of usability. Our idea, which we work with under the name Colour a Symbol, is based upon making combinations of symbols and colours in pairs. In order to develop the idea we created a functional prototype, that was evaluated by a smaller test group. The empirical data implies that Colour a Symbol has good usability, if only a little too long login time. Ideas as to shorten the login time are suggested. Theoretically, Colour a Symbol is more secure than for an example pincode, but the test group was not large enough to estimate the practical password space. Design of the symbol theme probably also affects the practical password space to a high degree. Our conclusion is that the idea has clear potential, but that further studies are needed to fine-tune it.

Screen lock

unit lock

passwords

graphic passwords

authentication

smartphone

mobile phone

cell phone

security

access

symbols

colours

drag and drop

Skärmlås

enhetslås

lösenord

grafiska lösenord

autentisering

smartphone

mobiltelefon

säkerhet

access

symboler

färg

drag and drop

Modell för lösenordsklassning : Utveckling av lösenordsklassificering / Password classification model : Development of password classification

Eriksson, Fredrik

January 2017

I dagens samhälle är datorer ett naturligt inslag i vår vardag. För de flesta anses datorn vara ett verktyg för att hjälpa dem genom arbetet såväl som i vardagen. Dock finns det en mörkare sida där personer använder sig utav datorn för att begå brott. Den så kallade IT-relaterade brottsligheten ökar och ökar och enligt Brå:s rapport från 2016 har en ökning på 949 % skett i Sverige mellan 2006 till 2015 enligt den officiella kriminalstatistiken vad gäller brott som har IT-inslag (Andersson, Hedqvist, Ring &amp; Skarp, 2016). För att få fast förövarna krävs det medel för att kunna bevisa att ett brott har begåtts. Ett sätt att göra detta är att gå in i datorn för att leta efter bevis. Om den misstänkte förövaren känner till att det finns möjlighet för denne att komma att bli granskad vad händer då? Möjligheter finns att förövaren försöker göra det så svårt som möjligt att ta sig in datorn. Detta kan då ske genom att kryptera systemet genom att använda sig av en så kallad krypteringsalgoritm för att låsa hårddisken. Denna kryptering kan vara väldigt svår att dekryptera och det kan vara enklare att försöka få tag i det rätta lösenordet istället. Denna studie har till syfte att utveckla en modell för lösenordsklassificering. Genom denna modell kan strategier som används när användare skapar sina lösenord identifieras och klassificeras. Detta bidrar till en ökad kunskap om strategier användare har när de skapar lösenord. Då fulldiskkryptering börjar bli en vanligare metod för att hindra någon obehörig från att ta sig in i systemet finns förhoppningen om att modellen ska kunna användas och utvecklas till att skapa ett ramverk för att underlätta arbetet för forensikerna hos polisen samt andra rättsvårdande myndigheter. Med denna modell kan olika strategier som olika typer av användare använder sig av när de skapar lösenord vara av sådan karaktär att de kan klassificeras in i en egen kategori. Om en sådan klassificering kan göras skulle det underlätta arbetet för IT-forensikerna och påskynda processen med att knäcka lösenord. Studien utförs genom att använda en kvalitativ metod samt validering utav modellen. Genom kvalitativa intervjuer samlas information in som sedan analyseras och används för att utveckla en modell för lösenordsklassificering. Arbetet med att utveckla en modell för lösenordsklassificering har bestått av en iterativ process där återkoppling gjorts gentemot de olika intervjuobjekten. Ett utkast till en modell med grund i befintlig forskning skapades. Utkastet diskuterades sedan med de olika intervjuobjekten, som deltagit i studien, i en iterativ process där modellen uppdaterades och återkopplades mot de olika intervjuobjekten. Validering av modellen har genomförts genom att fånga in riktiga lösenord som läckts ut på Internet och sedan testa dessa lösenord mot modellen för lösenordsklassificering. / In modern society, computers are a fundamental part of our lives. For most people, the computer is a tool used in work as well as in home activities. Unfortunately, there is a darker side where people use the computer to commit crimes. The so-called IT-related crimes keep rising in numbers and according to the Swedish Brå:s report from 2016 (Andersson, Hedqvist, Ring &amp; Skarp, 2016) the number of crimes related to it has increased with 949% in Sweden between 2006 and 2015 according to official criminal statistics. To arrest the criminals, evidence is needed. One way to collect the evidence is to enter the computer system to collect proof of the suspect. However, if the suspect feels he or she might be a possible target for an investigation, what might happen? It’s possible the suspect tries to make it as difficult as possible to enter the computer system. This can be done by encryption of the system and use a so-called encryption algorithm to lock down the system. This encryption might be very difficult to decrypt and it might be easier so simply trying to find the correct password instead. The purpose of the study is to develop a model for password classification. With this model, it may be possible to identify and to categorize strategies users use to create their passwords. This study could contribute to create a foundation to support the IT-forensics working at the police departments. With this model, different strategies users use when creating passwords could be of a certain type that the strategy could perhaps be ranged and categorized in its own category. If a classification can be made it might ease the workload for several IT-forensics and hurry up the progress decoding the password. The study is conducted by using a qualitative method. By conducting qualitative interviews, information is collected and analyzed. This information will then be used to develop a model for password classification. The work with developing a model for password classification has been an iterative process with collected feedback from the several interview participants. A draft model, based on the existing research was made. The draft of the model was sent out to the interview participants and this draft was discussed and then updated in an iterative process. Feedback of the updated model was collected and applied to the model. The model was then validated by applying real passwords leaked to the Internet and then test these passwords against the model of password classification.

passwords

categorization

classification

strategies

model

computer forensics

lösenord

kategorisering

klassificering

strategier

modell

IT-forensik

Computer Systems

Datorsystem