Lösenordspolicyer på populära webbsidor i Sverige. : En fallstudie för att undersöka lösenordspolicyer på 50 av de mest populära webbsidorna i Sverige. / Password policies on popular web sites in Sweden

Persson, Samuel, Håkansson, Erica

January 2020

Today, text-based password is one of the most common ways to verify login to a web page and to protect the account against theft. These password attacks are becoming more and more effective every year, which means that it is important not to let passwords be guessable. The purpose of this study is to investigate how the most popular websites in Sweden handled password policies at present. The implementation of the case study included testing 50 web pages against 26 passwords in order to evaluate how effective the webpages policy was. By collecting data on these 50 webpage password policies, four questions could be answered: How do password policies look, how effective are the webpage's password policies, how have password policies changed over time and how different web categories differ. The results of the case study indicate that several websites need to review their password policy. For example, only 22% of websites met the recommended requirements of NIST 800–63 and only a few webpages made major changes to their password policy over the last 5 years. Web pages that did not use password-based authentication systems are not used in this study. / Idag är text-baserat lösenord ett av de vanligaste sätten att verifiera inloggning mot en webbsida och för att skydda kontot mot stöld. Dessa lösenordsattacker blir allt mer effektiva för varje år vilket innebär att det är viktigt att inte låta lösenord bli gissningsbart. Syftet med denna studie är att undersöka hur de mest populära webbsidorna i Sverige hanterade lösenordspolicyer i dagsläget. Genomförandet av fallstudien inkluderade att testa 50 webbsidor mot 26 lösenord för att utvärdera hur effektiva webbsidornas policy var. Genom att samla in data om dessa 50 webbsidors lösenordspolicyer kunde fyra frågor besvaras: Hur ser lösenordspolicyer ut, hur effektiva är webbsidornas lösenordspolicyer, hur har lösenordspolicyer förändrats med tiden och hur skiljer sig olika webbkategorier. Resultaten från fallstudien visar på att flera webbsidor behöver se över deras lösenordspolicy. Exempelvis var det bara 22% av webbsidorna som uppfyllde de rekommenderade kraven från NIST 800–63 och det var endast ett fåtal webbsidor som har gjort större förändringar i sin lösenordspolicy under 5 års tid. Webbsidor som inte använde sig av lösenordsbaserade autentiseringssystem används ej i denna studie. / <p>På grund av Covid-19 gjordes presentationen på distans via programmet Zoom.</p>

Lösenordspolicy

lösenordsattacker

webbsidor

autentisering

NIST

Information Systems