Lösenordspolicyer på populära webbsidor i Sverige. : En fallstudie för att undersöka lösenordspolicyer på 50 av de mest populära webbsidorna i Sverige. / Password policies on popular web sites in Sweden

Persson, Samuel, Håkansson, Erica

January 2020

Today, text-based password is one of the most common ways to verify login to a web page and to protect the account against theft. These password attacks are becoming more and more effective every year, which means that it is important not to let passwords be guessable. The purpose of this study is to investigate how the most popular websites in Sweden handled password policies at present. The implementation of the case study included testing 50 web pages against 26 passwords in order to evaluate how effective the webpages policy was. By collecting data on these 50 webpage password policies, four questions could be answered: How do password policies look, how effective are the webpage's password policies, how have password policies changed over time and how different web categories differ. The results of the case study indicate that several websites need to review their password policy. For example, only 22% of websites met the recommended requirements of NIST 800–63 and only a few webpages made major changes to their password policy over the last 5 years. Web pages that did not use password-based authentication systems are not used in this study. / Idag är text-baserat lösenord ett av de vanligaste sätten att verifiera inloggning mot en webbsida och för att skydda kontot mot stöld. Dessa lösenordsattacker blir allt mer effektiva för varje år vilket innebär att det är viktigt att inte låta lösenord bli gissningsbart. Syftet med denna studie är att undersöka hur de mest populära webbsidorna i Sverige hanterade lösenordspolicyer i dagsläget. Genomförandet av fallstudien inkluderade att testa 50 webbsidor mot 26 lösenord för att utvärdera hur effektiva webbsidornas policy var. Genom att samla in data om dessa 50 webbsidors lösenordspolicyer kunde fyra frågor besvaras: Hur ser lösenordspolicyer ut, hur effektiva är webbsidornas lösenordspolicyer, hur har lösenordspolicyer förändrats med tiden och hur skiljer sig olika webbkategorier. Resultaten från fallstudien visar på att flera webbsidor behöver se över deras lösenordspolicy. Exempelvis var det bara 22% av webbsidorna som uppfyllde de rekommenderade kraven från NIST 800–63 och det var endast ett fåtal webbsidor som har gjort större förändringar i sin lösenordspolicy under 5 års tid. Webbsidor som inte använde sig av lösenordsbaserade autentiseringssystem används ej i denna studie. / <p>På grund av Covid-19 gjordes presentationen på distans via programmet Zoom.</p>

Lösenordspolicy

lösenordsattacker

webbsidor

autentisering

NIST

Information Systems

Lösenordshantering och lösenordspolicys inom kommuner : Analys av risker och möjligheter / Password management and password policys in municipalities : An analyse of risks and possibilities

Lantz, Peter

January 2015

Lösenord används i många verksamheter och sammanhang som metod för användare att autentisera sigför att komma åt de resurser de har rätt till och behöver för att kunna utföra sitt arbete. Problemet är attanvändare i stor utsträckning väljer svaga lösenord, för att undvika detta krävs lösenordspolicys och andrametoder för att användarna ska välja tillräckligt starka lösenord. Den här studien är avsedd att identifierarisker och möjligheter i arbetet med lösenordshantering och lösenordspolicys på kommuner i Skaraborg.Den metod som används i studien är kvalitativa intervjuer med tre stycken IT-chefer samt ensäkerhetsforskare som ger ytterligare ett perspektiv i studien. I studien har potentiella risker ochmöjligheter identifierats och de främsta riskerna handlar om utbildning av användare samt hurkommunerna säkerställer att de lösenord som väljs av användarna är tillräckligt säkra. Framtida studierskulle kunna utreda om de fynd som gjorts i denna studie är representativa för majoriteten av kommunergenom att utföra en mer omfattande studie eller göra en kvantitativ studie som undersöker detta.

Lösenordspolicy

Lösenordshantering

Lösenord. Risk

Computer Sciences

Datavetenskap (datalogi)

Computer and Information Sciences

Data- och informationsvetenskap

Lösenordshantering : Är lösenordspolicyn i en verksamhet tillräcklig för att de anställda ska bedriva säker lösenordshantering enligt ISO-standarder?

Soliman, Galal

January 2018

Lösenord är en viktig del av informationssäkerhet och fungerar som primär autentiseringsmetod för att skydda användarkonton.  Syftet med denna studie är att ta reda på hur väl en verksamhets anställda följer verksamhetens lösenordspolicy och undersöka om lösenordshanteringen sker på ett accepterat och godkänt sätt utifrån ett säkerhetsperspektiv i enlighet med ISO-standarder. Metoden har bestått av en enkätundersökning och intervjuundersökning vars resultat jämförts med relevanta riktlinjer från ISO-standarder och verksamhetens lösenordspolicy, en riskanalys och utvecklandet av ett verktyg för att memorera lösenord. Resultat visade brister på säker lösenordshantering bland verksamhetens anställda. Genom analysen har en rad åtgärder framtagits för att upprätta, återställa och förbättra lösenordshanteringen samt förebyggande åtgärder för den lösenordshantering som redan är godkänd. De slutsatser som dragits utifrån denna studie är att det finns ett behov för förbättring av lösenordshanteringen och utifrån behovet har förslag på både åtgärder och förebyggande åtgärder tagits fram. / Passwords are an important part of information security and works as a primary authentication method to protect user accounts. The purpose of this study is to investigate how an organisation’s employees follow the password policy and investigate if the password management is executed in an acceptable fashion from a security perspective and according to ISO standards. The method consisted of a survey, interviews of which the results has been compared to ISO standards guidelines and the organisation’s password policy, a risk analysis and a development of a tool to memorize passwords. The result showed insufficiency in the password management of the employees. Thru the analysis several actions have been found to constitute, restore and improve the password management and also preventing actions to keep the password management that is already sufficient. The conclusions are that there is a need for improvement of the password management and from these needs proposals for actions have been extracted.

password

password habits

password management

password policy

information security

web development

lösenord

lösenordsvanor

lösenordshantering

lösenordspolicy

informationssäkerhet

webbutveckling

Computer Engineering

Datorteknik

Var kommer myndigheters lösenordspolicys ifrån? : En kvalitativ studie om deras ursprung / Where does the authorities passwordpolicys come from? : A qualtivative study about their origins

Naess, Andreas

January 2019

Samhället blir mer digitaliserat och fler människor kopplar upp sig mot Internet. Detta innebär att många arbetsuppgifter som hanterar känsliga uppgifter nu utförs på datorer. Det finns även många tjänster som kräver personligauppgifter för att registrera sig och kontouppgifter för att beställa varor eller prenumerera till tjänsten. Denna information är av intresse för brottslingar som kan använda denna för att tjäna pengar. Som en konsekvens av detta har användningen av lösenord ökat och för att försäkra att starka lösenord skapas följs riktlinjer. Dessa lösenordsriktlinjer skapas och sprids ofta utav myndigheter och andra expertorganisationer. Dock saknar de källor för var riktlinjerna kommer ifrån och en förklarning för hur de skapades. För att belysa detta ämnar studien att eftersöka riktlinjernas ursprung och vad dessa baserades på. Detta är en kvalitativ studie där intervjuer gjorts med informationssäkerhetspecialister från tre myndigheter och en expertorganisation. För att bearbeta data från dessa intervjuer har en tematisk analys utförts för att identifiera de olika källorna som använts vid skapandet av riktlinjerna. Studiens resultat visar att motivationen för riktlinjerna varierar mellan organisationerna. Detta kan observeras genom skillnader i deras målgrupp och fokus. Det har även visat sig att det inte finns några studier att hänvisa till. Dock är ett genomgående mönster att källorna för riktlinjerna ofta verkar vara baserade på de anställdas erfarenheter och expertis. Förutom detta tas inspiration för riktlinjerna från organisationer som NIST. / Society is getting more digitalized and more people are connecting to the Internet. This means that a lot of work that handles sensitive information is now done using computers. There is also a lot of services that requires personal information for registration and bank account information to order wares or subscribe to the service. This information is of interest to criminal who can use it to make money. Because of this the use of passwords has increased and to make sure that strong passwords are created guidelines are adhered to. The password guidelines are created and spread by authorities and expert organizations. However, there are no sources for where the guidelines came from or an explanation for how they were made. To shine a light on this, the study aims to explain the guidelines origins and what they were based on. This is a qualitative study where interviews were done with information security specialists from three governmental bodies and one expert organization. After the interviews were completed and data collected, they were analyzed using thematic analysis to identify the sources that were used during the creation of the guidelines. The study’s results show that the motivation for the guidelines vary. This can be observed through the differences in target group and focus. It also appears like there are no studies which could be referred to. Although there is a consistent pattern that the sources for the guidelines often seems to be based on the experiences and expertise of their employees. Except for this, inspiration is also drawn from organizations such as NIST.

Passwords

Guidelines

Authorities

Password policy

Expert organizations

Lösenord

Riktlinjer

Lösenordspolicy

Myndigheter

Expertorganisationer

Computer and Information Sciences

Data- och informationsvetenskap

Password Security Assessment of IoT-Devices

Seyum Wolde, Mehir, Hussain, Adeel

January 2022

With the rapid development of the IoT (Internet of Things) and the integration of connected devices into our households, IoT security is becoming more important. This technology allows the user to accomplish tasks and store information in a more effective way. Due to this large development, various solutions are being established to make sure that only an authorised user gains access to these functions. Among these solutions, passwords have become the most prominent one today. Since passwords allow a user to protect sensitive data and authorise access to their devices, they have become the target of various cyberattacks. Different password policies have therefore been established to strengthen passwords and prevent unauthorised access. In response to this emerging problem, the study conducted in this report has evaluated authentication systems in four categories of smart home devices to assess if they meet security regulations according to best practices. A compilation of the password requirements in these devices has been made and they have been categorized in terms of password security from very weak to very strong. Multiple instances of weak policies were discovered in all of the examined categories and important password features are missing in a majority of them. / Med den hastiga utvecklingen av sakernas internet (IoT) och integrationen av anslutna enheter till hushållet blir IoT säkerhet alltmer viktigt. Denna teknologi tillåter användare att åstadkomma uppgifter och lagra information på ett mer effektivt sätt. På grund av denna stora utveckling har många lösningar skapats för att säkerställa att endast en auktoriserad användare erhålls tillgång. Bland dessa lösningar är lösenord den mest förekommande idag. Eftersom att lösenord tillåter användaren att skydda känslig information och auktorisera tillgång till deras enheter har dem blivit en lockande måltavla för diverse cyberattacker. Ett flertal lösenordspolicys har därför etablerats för att förstärka lösenord och förhindra obehörig tillgång. Som svar på detta framväxande problem, har undersökningen som utförts i denna rapport utvärderat autentiseringssystem i fyra kategorier av smarta hem enheter med mål att bedöma ifall de uppfyller säkerhetsföreskrifter i enighet med bästa praxis. En lista med lösenordskrav i enheterna har skapats och dessa enheter har blivit kategoriserade enligt lösenordssäkerhet från väldigt svag till väldigt stark. Flera olika instanser av svaga policys har upptäckts i alla undersökta kategorier och viktiga lösenordsfunktioner saknas i en majoritet av grupperna.

Passwords

Password Policy

Information Security

Authentication

Smart Home

Application Security

IoT Device

Device Security

Lösenord

Lösenordspolicy

Informationssäkerhet

Autentisering

Smarta Hem

Applikationssäkerhet

IoT-Enhet

Enhetssäkerhet

Computer and Information Sciences

Data- och informationsvetenskap