Lösenordshantering : Är lösenordspolicyn i en verksamhet tillräcklig för att de anställda ska bedriva säker lösenordshantering enligt ISO-standarder?

Soliman, Galal

January 2018

Lösenord är en viktig del av informationssäkerhet och fungerar som primär autentiseringsmetod för att skydda användarkonton.  Syftet med denna studie är att ta reda på hur väl en verksamhets anställda följer verksamhetens lösenordspolicy och undersöka om lösenordshanteringen sker på ett accepterat och godkänt sätt utifrån ett säkerhetsperspektiv i enlighet med ISO-standarder. Metoden har bestått av en enkätundersökning och intervjuundersökning vars resultat jämförts med relevanta riktlinjer från ISO-standarder och verksamhetens lösenordspolicy, en riskanalys och utvecklandet av ett verktyg för att memorera lösenord. Resultat visade brister på säker lösenordshantering bland verksamhetens anställda. Genom analysen har en rad åtgärder framtagits för att upprätta, återställa och förbättra lösenordshanteringen samt förebyggande åtgärder för den lösenordshantering som redan är godkänd. De slutsatser som dragits utifrån denna studie är att det finns ett behov för förbättring av lösenordshanteringen och utifrån behovet har förslag på både åtgärder och förebyggande åtgärder tagits fram. / Passwords are an important part of information security and works as a primary authentication method to protect user accounts. The purpose of this study is to investigate how an organisation’s employees follow the password policy and investigate if the password management is executed in an acceptable fashion from a security perspective and according to ISO standards. The method consisted of a survey, interviews of which the results has been compared to ISO standards guidelines and the organisation’s password policy, a risk analysis and a development of a tool to memorize passwords. The result showed insufficiency in the password management of the employees. Thru the analysis several actions have been found to constitute, restore and improve the password management and also preventing actions to keep the password management that is already sufficient. The conclusions are that there is a need for improvement of the password management and from these needs proposals for actions have been extracted.

password

password habits

password management

password policy

information security

web development

lösenord

lösenordsvanor

lösenordshantering

lösenordspolicy

informationssäkerhet

webbutveckling

Computer Engineering

Datorteknik

Lösenordshantering vid svenska sjukhus

Gisle, Olivia, Nilsson, Joel

January 2018

Syftet med denna uppsats är att ta reda på hur svenska sjukhus efter lever de riktlinjer som finns om lösenordshantering. För att ta reda på detta har riktlinjer och forskning samlats in om området som har jämförts med vårdpersonals svar om efterlevnad som skickats ut. Områden som behandlades var delning, sparande, byten och styrka av lösenord samt om de anställda blev informerade om riktlinjer gällande lösenordshantering på arbetsplatsen. Efter analys av resultatet nåddes slutsatsen att lösenordshantering efterlevandes olika bra beroende på vilket område det gällde. Lösenordens styrka var generellt bra och de byttes ofta, men informerande av de anställde, sparande och delning av lösenord skedde inte enligt de riktlinjer som finns. / The purpose of this essay is to find out whether or not Swedish hospitals follow the available guidelines regarding password management. To find out the answer guidelines and previous studies were collected and compared to answers about following password guidelines made by employees at participating hospitals. Areas that were covered were, sharing, saving, changing and strength of passwords and if the employees had been informed about the guidelines regarding password management at the workplace. After analysis of the result the conclusion was made that whether or not the hospitals followed the guidelines depended on the covered area. The strength of the passwords were generally good and they were changed often, but informing the employees about guidelines, saving and sharing of passwords did not follow the guidelines.

hospital

password

following guidelines

password management

sjukhus

lösenord

efterlevnad av riktlinjer

lösenordshantering

Information Systems

Var kommer myndigheters lösenordspolicys ifrån? : En kvalitativ studie om deras ursprung / Where does the authorities passwordpolicys come from? : A qualtivative study about their origins

Naess, Andreas

January 2019

Samhället blir mer digitaliserat och fler människor kopplar upp sig mot Internet. Detta innebär att många arbetsuppgifter som hanterar känsliga uppgifter nu utförs på datorer. Det finns även många tjänster som kräver personligauppgifter för att registrera sig och kontouppgifter för att beställa varor eller prenumerera till tjänsten. Denna information är av intresse för brottslingar som kan använda denna för att tjäna pengar. Som en konsekvens av detta har användningen av lösenord ökat och för att försäkra att starka lösenord skapas följs riktlinjer. Dessa lösenordsriktlinjer skapas och sprids ofta utav myndigheter och andra expertorganisationer. Dock saknar de källor för var riktlinjerna kommer ifrån och en förklarning för hur de skapades. För att belysa detta ämnar studien att eftersöka riktlinjernas ursprung och vad dessa baserades på. Detta är en kvalitativ studie där intervjuer gjorts med informationssäkerhetspecialister från tre myndigheter och en expertorganisation. För att bearbeta data från dessa intervjuer har en tematisk analys utförts för att identifiera de olika källorna som använts vid skapandet av riktlinjerna. Studiens resultat visar att motivationen för riktlinjerna varierar mellan organisationerna. Detta kan observeras genom skillnader i deras målgrupp och fokus. Det har även visat sig att det inte finns några studier att hänvisa till. Dock är ett genomgående mönster att källorna för riktlinjerna ofta verkar vara baserade på de anställdas erfarenheter och expertis. Förutom detta tas inspiration för riktlinjerna från organisationer som NIST. / Society is getting more digitalized and more people are connecting to the Internet. This means that a lot of work that handles sensitive information is now done using computers. There is also a lot of services that requires personal information for registration and bank account information to order wares or subscribe to the service. This information is of interest to criminal who can use it to make money. Because of this the use of passwords has increased and to make sure that strong passwords are created guidelines are adhered to. The password guidelines are created and spread by authorities and expert organizations. However, there are no sources for where the guidelines came from or an explanation for how they were made. To shine a light on this, the study aims to explain the guidelines origins and what they were based on. This is a qualitative study where interviews were done with information security specialists from three governmental bodies and one expert organization. After the interviews were completed and data collected, they were analyzed using thematic analysis to identify the sources that were used during the creation of the guidelines. The study’s results show that the motivation for the guidelines vary. This can be observed through the differences in target group and focus. It also appears like there are no studies which could be referred to. Although there is a consistent pattern that the sources for the guidelines often seems to be based on the experiences and expertise of their employees. Except for this, inspiration is also drawn from organizations such as NIST.

Passwords

Guidelines

Authorities

Password policy

Expert organizations

Lösenord

Riktlinjer

Lösenordspolicy

Myndigheter

Expertorganisationer

Computer and Information Sciences

Data- och informationsvetenskap

Password habits of Sweden

Gustafsson, Daniel

January 2023

The password is the first line of defence in most modern web services, it is therefore critical to choose a strong password. Many previous studies have found patterns to improve in global users password creation but none have researched the patterns of Swedish users in particular. In this project, passwords of Swedish users were gathered from underground forums and analyzed to find if Swedish users create passwords differently from global users and if there are any weak patterns in their passwords. We found that Swedish users often use words or names found in a Swedish NLP corpus in their passwords as well as using lowercase letters more frequently than global users. We also found that several of the most popular Swedish websites use weak password policies which might contribute to Swedish users choosing weak passwords. / Lösenordet är den första försvarslinjen i de flesta moderna nät tjänsterna, det är därför kritiskt att välja ett starkt lösenord. Många tidigare studier har upptäckt mönster som kan förbättras i globala användares lösenord men ingen har tidigare forskat på mönster hos just svenska användare. I det här projektet har vi samlat lösenord av svenska användare från olika undergroundforum och analyserat dem för att ta reda på om svenska användare skapar sina lösenord annorlunda från globala användare och ifall det finns några svaga mönster i lösenorden. Vi fann att svenska användare ofta använder ord eller namn från en svensk NLP korpus i sina lösenord och även att svenska användare använder små bokstäver i högre grad än globala användare. Vi fann även att flera av de mest populära svenska hemsidorna har svaga lösenordspolicys vilken kan bidra till att svenska användare väljer svaga lösenord.

Passwords

Security

Sweden

Natural language processing

NLP

Policy

Pattern mask

Lösenord

Säkerhet

Sverige

Mönster

Computer and Information Sciences

Data- och informationsvetenskap

Autentisering och Riskmedvetande : En studie om Lösenordshantering och Risktagande / Authentication and Risk Consciousness : A study on password management and risk taking

Håkansson, Daniel Clarke, Lundström, Markus

January 2018

Efter regelbundna diskussioner om huruvida autentisering med statiska lösenord är ett bra tillvägagångssätt växte en idé fram om att undersöka hur människor hanterar sina autentiseringsuppgifter. Detta arbete tar sig an uppgiften att kartlägga svagheter i samband med autentisering vad gäller metoden, samt människors säkerhetsmedvetande och risktagande. Under studien genomfördes en enkätundersökning där 100 personer med varierande ålder och sysselsättning svarade fullständigt. Vi frågade hur de värderar, skapar och hanterar lösenord. De svarande fick även ta ställning till ett antal påståenden, vad gäller deras säkerhetsmedvetande och risktagande i samband med autentisering.Resultatet från studien visar att en majoritet återanvänder lösenord i mycket hög grad. Det framkommer också att en övervägande majoritet använder sig av memorering som huvudsaklig teknik för hantering av lösenord. Resultatet visar även att de svarande i hög utsträckning tycker lösenordets komplexitet är viktigare än dess längd. Dessutom kände sig endast 22% av de svarande ej trygga med ett lösenord som är 8 tecken långt, vilket är en låg procentandel eftersom 8 tecken är för svagt idag. Ämnet är dock komplext, en kombination av längd och komplexitet är önskvärt för att skapa ett starkt lösenord, samtidigt som lösenorden skall vara unika för varje enskild tjänst. Att använda memorering som sin huvudsakliga metod är dessvärre i dessa fall ej applicerbart. En bättre strategi är att använda sig av exempelvis en lösenordshanterare eller att memorera en ramsa. Exempelvis ta förstabokstaven från varje ord i en mening, Min katt heter Glenn han har 3 ben Vit nos & Rött koppel vilket kan resultera i MkhGhh3bVn&Rk. En bra början för att förbättra sin lösenordshantering är att först och främst värdera sina autentiseringsuppgifter som värdefulla, läsa på om ämnet, samt därefter ta fram en egen strategi som är lämplig. / After regular discussions about whether authentication with static passwords is a good approach, an idea emerged to investigate how people handle their authentication credentials. This report tackles the task of mapping weaknesses associated with authentication regarding the method, as well as human security awareness and risk taking. During the study, a survey was conducted in which 100 people completely responded, all with varying age and employment. We asked how they value, create, and manage their passwords. The respondents were also tasked to take a position on a number of allegations, regarding their security awareness and risk-taking in connection with authentication.The result of the study shows that the majority reuse passwords to a very high extent. It also appears that a large majority uses memorization as the maintechnique for password management. The result also shows that respondents to a great extent think the complexity of the password is more important than its length. In addition, only 22% of respondents felt unsafe with a password that is 8 characters long, which is a low percentage since 8 characters are too weak today.Though the subject is complex, a combination of length and complexity is desirable to create a strong password. In addition to that the passwords must be unique to each service. Using memorization as its main method is unfortunately not applicable in these cases. A better strategy is to use, for example, a password manager or to generate a memorandum chant. For example, take the first letter of each word in one sentence, My cat is called Glenn he has 3 legs White nose & Redlink which can result in McicGhh3lWn&Rl. A good start to improve one’s password management is to firstly evaluate authentication credentials as valuable, read upon the subject, and then develop a strategy that is appropriate to one’s needs.

Authentication

Authorization

Security Consciousness

Password

Risk Detection

Identity

Identification

Compromise

Study

Survey

Autentisering

Auktorisering

Säkerhetsmedvetande

Lösenord

Risktagande

Identitet

Identifiering

Kompromettering

Studie

Enkät

Information Systems

Genus och säkerhetsbeteende : En litteraturstudie om kön och säkerhetsbeteende / Gender and security behavior : A literature study on gender and safety behavior

Hadjimuradov, Abdulla

January 2021

Vi lever i en tid där informationstekniken tar större och större plats i vardagen för varje år, både på jobbet och på fritiden. Det är en spännande tid där många delar av det vardagliga livet övergått till att bli mer digitalt. Samtidigt ställer denna digitalisering i allt högre utsträckning krav på användaren när det kommer till säkerheten för den personliga integriteten online. Med tanke på den exponentiella utveckling av digitaliseringen och informationsteknologin det senaste decenniet, är det intressant att söka utröna huruvida säkerhetsbeteendet bland användare har ökat i samma takt eller om säkerhetsbeteendet har halkat efter. Den genomförda litteraturstudien hade som mål att undersöka vilka skillnader relaterat till kön som identifierats inom tidigare informationssäkerhetsforskning. Olika kombinationer av sökbegrepp användes för att söka igenom fem databaser med hjälp av urvalskriterier för att hitta relevanta artiklar. Detta resulterade i 30 accepterade artiklar som genomgick en kvalitativ dataanalys med hjälp av tematisk analys. Undersökningen visade på att tidigare forskning hade identifierat vissa skillnader som relaterade till kön, men också att fler studier gällande könsskillnader inom informationssäkerhet behövs för att kunna förstå sig på mänskliga fel och för att kunna hitta åtgärder som förbättrar säkerhetsbeteendet och säkerhetsmedvetenheten bland människor. / We live in a time where information technology is taking up more and more space in everyday life for each year, both at work and in our free time. This is an exciting time where everything is becoming more digital, at the same time as everything is becoming more digital, demands are also being raised on all users. Given the drastic development of digitalization and information technology in the last decade, it is interesting to identify whether security behavior among users has increased at the same rate or whether security behavior has lagged behind. The aim of the completed literature study was to investigate the differences related to gender that had been identified in previous information security research. Different combinations of search terms are used to search through five databases using selection criteria to find relevant articles. Resulted in 30 accepted articles that underwent a qualitative data analysis using thematic analysis. The study showed that previous research identified certain differences related to gender, but also that more studies regarding gender differences in information security are needed to be able to understand human errors and to be able to find measures that improves security behavior and security awareness among people.

Gender

gender differences

password

phishing

cybersecurity

Kön

könsskillnader

lösenord

phishing

cybersäkerhet

Information Systems, Social aspects

Authentication challenges for people with neurodevelopmental disorders

Chrzan, Patryk

January 2023

We live in a world where we increasingly depend on information technology, as much of our work and education occurs online, often from home. An average user has an increasing amount of accounts for all kinds of online services, making authentication more and more important. As people authenticate several times a day, it is important that everyone is able to use online services and authenticate themselves, including minorities such as individuals with neurodevelopmental disorders. This thesis explores the challenges people with neurodevelopmental disorders have with authentication as well as authentication methods that can help them. This was achieved by doing a systematic literature review on collected bibliography with the help of thematic analysis. 18 studies were analyzed and helped us answer the research questions and give us an overview of the research field. The analysis showed that text-based authentication was a big issue for individuals with neurodevelopmental disorders, where passwords were often highlighted as the culprit. Alternative authentication methods were identified but showed us that there was no easy fix to the issue at hand, and that more had to be done to make authentication more accessible. / Vi lever i en värld där vi är alltmer beroende av informationsteknologi, eftersom mycket av vårt arbete och utbildning nu istället sker online, ofta även hemifrån. En genomsnittlig användare har ett ökande antal konton för alla sorters onlinetjänster, vilket gör autentisering allt viktigare. Då människor autentiserar flera gånger om dagen är det viktigt att alla kan använda onlinetjänster och auntentisera sig, inklusive minoriteter som individer med neuropsykiatriska funktionsnedsättningar. Detta examensarbete utforskar de utmaningar som personer medneuropsykiatriska funktionsnedsättningar har med autentisering samt autentiseringsmetoder som kan hjälpa dem. Detta uppnåddes genom att göra en systematisk litteraturöversikt med insamlad bibliografi med hjälp av tematisk analys. 18 studier analyserades och hjälpte oss att svara på forskningsfrågorna samt ge oss en överblick över forskningsfältet. Analysen visade att textbaserad autentisering var ett stort problem för individer med neuropsykiatriska funktionsnedsättningar, där lösenord ofta lyfts fram som boven. Alternativa autentiseringsmetoder som identifierades visade oss att det inte fanns någon enkel lösning på problemet och att mer behöver göras för att göra autentisering tillgänglig för alla.

Authentication

passwords

neurodevelopmental disorders

cybersecurity

disabilities

Autentisering

lösenord

datasäkerhet

funktionshinder

Information Systems, Social aspects

Har vi verkligen ett säkert beteende på internet? : En kvalitativ studie om hur användare hanterar lösenord på internet och varför de gör som de gör. / Is our behavior on Internet secure? : A qualitative study on how users manage their online password and why they do as they do

Ahlqvist, Klas, Norell, Per-Ivar

January 2022

Introduktion: För att kunna använda möjligheterna som internet erbjuder krävs i många fall ett användarkonto som identifierar och autentiserar användaren. En förutsättning för att det ska vara säkert är att ingen annan har tillgång till användarens kontouppgifter, vilket ställer krav på att användaren har komplexa och unika lösenord. Syfte: I denna studie har vi undersökt vilken kunskap användare har kring säkra lösenord, hur de agerar samt undersökt varför de agerar som de gör. Metod: Studien är genomförd som en kvalitativ intervjustudie med 12 respondenter i varierande ålder och bakgrund. Resultat: Våra resultat visar att användarens kunskaper ofta bygger på äldre, ej längre aktuella, rekommendationer. De har även bristande kunskaper om vad en lösenordsgenerator eller lösenordshanterare är och hur de fungerar. Kunskapsbristerna, kombinerat med önskan om att det ska gå snabbt, medför att användarna ej genomför korrekta hot- och konsekvensbedömningar av riskerna på internet. Diskussion/Slutsats: Kunskaperna hos användarna behöver höjas för att minska riskerna de utsätter sig för. Teknikutvecklingen går fort och ökad kunskap och medvetenhet krävs för ett säkert agerande på internet. / Introduction: An account, that identify and authorize the user, is nowadays almost a condition for the user’s ability to use the many services Internet provides. If the account shall remain safe, only the user should have access to the user account. The user needs to create unique and complex passwords. Aim: In this study we have examined the end-user’s knowledge regarding safe passwords, how they act. We have also examined why they act as they do. Method: This qualitative study was made through interviews with 12 respondents of varying age. Results: Our findings show that the user’s knowledge often is based on older recommendations. They also lack knowledge about what a password generator, or a password manger, is and how they work. The lack of knowledge combined with a high wish of swift Internet usage leads to inadequate threat and impact assessments of Internet risks. Conclusion: The end-user’s knowledge, regarding security online needs to be improved, to reduce their risk exposure. The development of technology is moving fast so a raised awareness is mandatory for a safe Internet behavior.

Internet security

Passwords

Security awareness. Security behavior

User accounts

Användarkonton

Internetsäkerhet

Lösenord

Säkerhetsbeteende

Säkerhetsmedvetande

Computer Sciences

Datavetenskap (datalogi)

Computer and Information Sciences

Data- och informationsvetenskap

Biometriska säkerhetslösningars inverkan på IT-forensik inom polisen : En kvalitativ intervjustudie / Biometric security solution´s  effects on IT-forensics within the swedish police authority : A qualitative interview study

Bartha, Lars

January 2018

Lösenord har länge varit den metod som föredragits av användare för att skydda användarkonton och känslig information. I strävan till att finna enklare, snabbare och säkrare autentiseringsmetoder har biometriska säkerhetslösningar snabbt vuxit i popularitet. Mobiltelefoner har traditionellt skyddats med hjälp av lösenord men har på senare tid även börjat inkludera någon form av biometrisk sensor för autentisering.   Genom att utföra en kvalitativ intervjustudie med IT-forensiker som arbetar på Polismyndigheten inom olika distrikt i Västra Götalands län undersökte denna studie forskningsfrågan: hur har biometriska säkerhetslösningar i jämförelse med lösenord påverkat IT-forensikerns arbete på Polismyndigheten? Studien visar att biometrisk utrustning inte ger extra säkerhet i jämförelse med lösenord, eftersom en bakomliggande säkerhetskod alltid finns till hands ifall den biometriska sensorn slutar fungera. Därmed dras biometriska enheter med samma sorts svagheter som alltid funnits med lösenord. Nyckelord: biometri, lösenord, säkerhet, etik, juridik, IT-forensik. / Passwords have long been the users’ preferred method of choice to protect user accounts and sensitive data. In a strive to find simpler, quicker and more secure forms of authentication methods, biometric security solutions have seen an increased in popularity. Most mobile phones now include a type of biometrical sensors as an option for authentication. By conducting a qualitative interview study with IT-forensics employed by the police force in different districts in Västra Götaland county, this study aims to investigate the research question: How have biometric security solutions in comparison to passwords influenced the working methods of IT-forensics at the Swedish Police Authority? The study shows that biometric security solutions give no added benefit to security in comparison to passwords, because there is always an underlying security code that is ready to be used in case the biometric authentication fails to work. Therefore, biometric devices suffer from the same kinds of weaknesses that have always plagued passwords. Keywords: biometrics, passwords, security, ethics, law, IT-forensics.

biometrics

passwords

security

ethics

law

IT-forensics

biometri

lösenord

säkerhet

etik

juridik

IT-forensik

Computer Systems

Datorsystem

Computer Sciences

Datavetenskap (datalogi)

Lingvistisk knäckning av lösenordsfraser / Linguistical passphrase cracking

Sparell, Peder

January 2015

För att minnas långa lösenord är det inte ovanligt att användare rekommenderas att skapa en mening som sedan sätts ihop till ett långt lösenord, en lösenordsfras. Informationsteoretiskt sett är dock ett språk väldigt begränsat och förutsägbart, varför enligt Shannons definition av informationsteori en språkriktig lösenordsfras bör vara relativt lätt att knäcka. Detta arbete riktar in sig på knäckning av språkriktiga lösenordsfraser, dels i syfte att avgöra i vilken grad det är tillrådligt att basera en lösenordspolicy på lösenordsfraser för skydd av data, dels för att allmänt tillgängliga effektiva metoder idag saknas för att knäcka så långa lösenord. Inom arbetet genererades fraser för vidare användning av tillgängliga knäckningsprogram, och språket i fraserna modelleras med hjälp av en Markov-process. I denna process byggs fraserna upp genom att det används antal observerade förekomster av följder av bokstäver eller ord i en källtext, så kallade n-gram, för att avgöra möjliga/troliga nästkommande bokstav/ord i fraserna. Arbetet visar att genom att skapa modeller över språket kan språkriktiga lösenordsfraser knäckas på ett praktiskt användbart sätt jämfört med uttömmande sökning. / In order to remember long passwords, it is not uncommon users are recommended to create a sentence which then is assembled to form a long password, a passphrase. However, theoretically a language is very limited and predictable, why a linguistically correct passphrase according to Shannon's definition of information theory should be relatively easy to crack. This work focuses on cracking linguistically correct passphrases, partly to determine to what extent it is advisable to base a password policy on such phrases for protection of data, and partly because today, widely available effective methods to crack these long passwords are missing.  Within the work of this thesis, phrases were generated for further processing by available cracking applications, and the language of the phrases were modeled using a Markov process. In this process, phrases were built up by using the number of observed instances of subsequent characters or words in a source text, known as n-grams, to determine the possible/probable next character/word in the phrases. The work shows that by creating models of language, linguistically correct passphrases can be broken in a practical way compared to an exhaustive search.

passwords

information security

cyber security

IT forensics

passphrases

markov chains

n-gram

entropy

cracking

lösenord

informationssäkerhet

it-säkerhet

it-forensik

lösenordsfraser

markovkedjor

n-gram

entropi

knäckning

Computer Sciences

Datavetenskap (datalogi)