Vidare forskning - Slutsatser och rekommendationer

A- Respondent 27 – Om BankID skulle komma Jag har stort förtroende för det, men

6 Slutsatser och rekommendationer

6.3 Vidare forskning

Författarna rekommenderar att framtida forskning bör undersöka privatpersonens underskattning av risker kring lösenord, vårt resultat visar att majoriteten av respondenterna återanvänder lösenord trots att de använder inbyggda lösenordshanterare i sina webbläsare. Detta på grund av att de flesta respondenterna inte nyttjar verktyget fullt ut, utan återanvänder samma lösenord och fyller därefter i det automatiskt vid inloggning på flera olika webbsidor.

Återanvändning av lösenord är ett genomgående tema i hela rapporten. Användare har en tendens att återanvända lösenord på webbsidor alltmer och väljer att inte använda lösenordshanterare på det sätt som de är avsedda att användas på. Därav rekommenderas att ytterligare studera hur återanvändningen av lösenord skulle kunna förhindras med olika tekniker.

Vidare behövs även en djupare analys i användares syn på andra funktioner som lösenordshanterare har att erbjuda, då majoriteten i vår studie enbart använder sig av funktionen autofyll. Frågan blir då om detta kan bero på hur verktyget är presenterat för användaren eller om de andra funktionerna inte är lika användarvänliga och därav svårare att ta del av.

Slutligen rekommenderas att undersöka hur väl andra funktioner i webbläsare utnyttjas. Det resultat som framgår i intervjustudien visar på att användare generellt sett är okunniga kring de funktioner som ingår i en webbläsare. Eventuellt skulle en studie kunna genomföras som undersöker hur pass omfattande användare använder de funktioner som ingår i en webbläsare.

7 Referenser

Alodhyani, F., Theodorakopoulos, G., & Reinecke, P. (2020). Password Managers— It’s All about Trust and Transparency. Future Internet, 12(11), 189. https://doi.org/10.3390/fi12110189

Apple. (2021). Safari Användarhandbok. Apple Support. https://support.apple.com/sv- se/guide/safari/toc

Aurigemma, S., & Mattson, T. (2018). Exploring the effect of uncertainty avoidance on taking voluntary protective security actions. Computers & Security, 73, 219–234. https://doi.org/10.1016/j.cose.2017.11.001

Aurigemma, S., Mattson, T. & Leonard, L. (2017). So Much Promise, So Little Use: What is Stopping Home End-Users from Using Password Manager Applications?

https://aisel.aisnet.org/cgi/viewcontent.cgi?article=1520&context=hicss- 50

Ayyagari, R., Lim, J., & Hoxha, O. (2019). Why Do Not We Use Password Managers? A Study on the Intention to Use Password Managers. Contemporary

Management Research, 15(4), 227–245.

https://doi.org/10.7903/cmr.19394

Bicakci, K., Atalay, N. B., & Kiziloz, H. E. (2011). Johnny in internet café. Proceedings of the 7th ACM Workshop on Digital Identity Management - DIM ’11. Published. https://doi.org/10.1145/2046642.2046652

Brumen, B. (2020). System-Assigned Passwords: The Disadvantages of the Strict Password Management Policies. Informatica, 459–479. https://doi.org/10.15388/20-infor408

Cassidy, S. (2017, March 22). Stop using password manager browser extensions. Network World. https://www.networkworld.com/article/3183675/stop- using-password-manager-browser-extensions.html

Chaudhary, S., Schafeitel-Tähtinen, T., Helenius, M., & Berki, E. (2019). Usability, security and trust in password managers: A quest for user-centric properties and features. Computer Science Review, 33, 69–90. https://doi.org/10.1016/j.cosrev.2019.03.002

Ciampa, M. (2013). A Comparison of User Preferences for Browser Password Managers. Journal of Applied Security Research, 8(4), 455–466. https://doi.org/10.1080/19361610.2013.825751

Ciampa, M. (2011). Are Password Management Applications Viable? An Analysis of User Training and Reactions. Information Systems Education Journal, 9(2), 4–13. https://isedj.org/2011-9/N2/ISEDJv9n2p4.pdf

Dalen, M. (2015). Intervju som metod. Gleerups utbildning.

Fagan, M., Albayram, Y., Khan, M. M. H., & Buck, R. (2017). An investigation into users’ considerations towards using password managers. Human-Centric

Computing and Information Sciences, 7(1).

FICO. (2020). FICO Survey Reveals U.S. Consumers Need to Better Protect Themselves When Banking Online. (2020, May 13). FICO. https://www.fico.com/en/newsroom/fico-survey-reveals-u-s-consumers- need-better-protect-themselves-when-banking-online

Gallagher, E. A. (2019). Choosing the Right Password Manager. Serials Review, 45(1– 2), 84–87. https://doi.org/10.1080/00987913.2019.1611310

GDPR.eu. (2021). General Data Protection Regulation (GDPR). https://gdpr.eu/tag/gdpr/

Google. (2021). Manage passwords.

https://support.google.com/chrome/answer/95606?co=GENIE.Platform %3DDesktop&hl=en

Grimes, R. A. (2020). Creating a solid password policy. Computer Fraud & Security, 2020(7), 20. https://doi.org/10.1016/s1361-3723(20)30077-4

Hedin, A. (2011). En liten lathund om kvalitativ metod med tonvikt på intervju. Ives, B., Walsh, K. R., & Schneider, H. (2004). The domino effect of password reuse.

Communications of the ACM, 47(4), 75–78.

https://doi.org/10.1145/975817.975820

Kaspersky. (2020, Oktober 26). Drive-by attack. Kaspersky IT Encyclopedia. https://encyclopedia.kaspersky.com/glossary/drive-by-attack/

Kaspersky. (2018, April 4). About the vault and online vault. Kaspersky Online Help. https://support.kaspersky.com/KPMWin/8.5/en-EN/85227.html

Keeper Security. (2019). Password Security Best Practices for Business. https://www.keepersecurity.com/assets/pdf/eBook-Password-Security- Best-Practices.pdf

Kiesel, J., Stein, B. & Lucks, S. (2018). A Large-scale Analysis of the Mnemonic Password Advice. NDSS Symposium 2017. https://www.ndss- symposium.org/ndss2017/ndss-2017-programme/large-scale-analysis- mnemonic-password-advice/

LastPass. (2021). What is autofill? https://www.lastpass.com/autofill

Li, Z., He, W., Akhawe, D. & Song, D. (2014). The Emperor’s New Password Manager: Security Analysis of Web-based Password Managers. 23rd USENIX

Security Symposium. 465–479.

https://www.usenix.org/system/files/conference/usenixsecurity14/sec14- paper-li-zhiwei.pdf

LogMeIn. (2021). What is the LastPass Master Password? https://support.logmeininc.com/lastpass/help/what-is-the-lastpass-

master-password-lp070014

Luna, K. (2019). If it is easy to remember, then it is not secure: Metacognitive beliefs affect password selection. Applied Cognitive Psychology, 33(5), 744–

Lyastani, S.G., Schilling, M., Fahl, S., Backes, M. & Bugiel, S. (2018). Better managed than memorized? Studying the Impact of Managers on Password Strength and Reuse. 27th USENIX Security Symposium. 203–220. https://www.usenix.org/system/files/conference/usenixsecurity18/sec18- lyastani.pdf

Malwarebytes. (2021). What is password a manager?

https://www.malwarebytes.com/what-is-password-manager

McCarney, D., Barrera, D., Clark, J., Chiasson, S., & van Oorschot, P. C. (2012). Tapas. Proceedings of the 28th Annual Computer Security Applications

Conference on - ACSAC ’12. Published.

https://doi.org/10.1145/2420950.2420964

Microsoft. (2021). Save or forget passwords in Microsoft Edge. https://support.microsoft.com/en-us/microsoft-edge/save-or-forget- passwords-in-microsoft-edge-b4beecb0-f2a8-1ca0-f26f-9ec247a3f336 Mozilla. (2021). Password manager – Remember, delete and edit logins and passwords

in Firefox. https://support.mozilla.org/en-US/kb/password-manager- remember-delete-edit-logins?redirectslug=password-manager-

remember-delete-change-and-import&redirectlocale=en-US

NE. (2021). Metakognition.

https://www.ne.se/uppslagsverk/encyklopedi/lång/metakognition

Nordpass. (2021). Keep your confidential data safe with a Master Password. https://nordpass.com/features/master-password/

Panda, S., Kumari, M., & Mondal, S. (2018). SGP: A Safe Graphical Password System Resisting Shoulder-Surfing Attack on Smartphones. Information Systems Security, 129–145. https://doi.org/10.1007/978-3-030-05171-6_7

Patel, R. & Davidson, B. (2011). Forskningsmetodikens grunder – Att planera, genomföra och rapportera en undersökning. Studentlitteratur AB.

Pearman, S., Zhang, S.A., Bauer, L., Christin, N., & Cranor, L. F. (2019). Why people (don’t) use password managers effectively. 15th Symposium on Usable

Pricay and Security. 319–338.

https://www.usenix.org/system/files/soups2019-pearman.pdf

Safety Detectives. (2021). 10 Best Password Managers for Businesses in 2021. https://www.safetydetectives.com/best-password-managers/enterprise/ Saunders, M., Lewis, P. & Thornhill, A. (2019). Research methods for business

students. Pearson Education Limited.

Statcounter. (2021). Desktop browser market share worldwide. https://gs.statcounter.com/browser-market-share/desktop/worldwide Stobert, E., & Biddle, R. (2014). A Password Manager that Doesn’t Remember

Paradigms Workshop - NSPW ’14. Published. https://doi.org/10.1145/2683467.2683471

Stobert, E., & Biddle, R. (2018). The Password Life Cycle. ACM Transactions on Privacy and Security, 21(3), 1–32. https://doi.org/10.1145/3183341 Stobert, E. & Biddle, R. (2014). The Password Life Cycle: User Behaviour in Managing

Passwords. Soups 2014 Proceedings Symposium on Usable Privacy and

Security. 243–255.

https://www.usenix.org/conference/soups2014/proceedings/presentation/ stobert

Säfsten, K. & Gustavsson, M. (2019). Forskningsmetodik för ingenjörer och andra problemlösare. Studentlitteratur AB.

Vaddeti, A., Vidiyala, D., Puritipati, V., Ponnuru, R. B., Shin, J. S., & Alavalapati, G. R. (2020). Graphical passwords: Behind the attainment of goals. Security and Privacy, 3(6). https://doi.org/10.1002/spy2.125

Vetenskapsrådet. (2002). Forskningsetiska principer inom humanistic

samhällsvetenskaplig forskning.

https://www.vr.se/analys/rapporter/vara-rapporter/2002-01-08- forskningsetiska-principer-inom-humanistisk-samhallsvetenskaplig- forskning.html

Wang, K. C., & Reiter, M. K. (2019). How to End Password Reuse on the Web. Proceedings 2019 Network and Distributed System Security Symposium. Published. https://doi.org/10.14722/ndss.2019.23350

Wikipedia. (2021). List of password managers.

https://en.wikipedia.org/wiki/List_of_password_managers

Woods, N., & Siponen, M. (2019). Improving password memorability, while not inconveniencing the user. International Journal of Human-Computer Studies, 128, 61–71. https://doi.org/10.1016/j.ijhcs.2019.02.003

Ye, B., Guo, Y., Zhang, L., & Guo, X. (2019). An empirical study of mnemonic password creation tips. Computers & Security, 85, 41–50. https://doi.org/10.1016/j.cose.2019.04.009

Yıldırım, M., & Mackie, I. (2019). Encouraging users to improve password security and memorability. International Journal of Information Security, 18(6), 741–759. https://doi.org/10.1007/s10207-019-00429-y

Zhao, R., & Yue, C. (2014). Toward a secure and usable cloud-based password manager for web browsers. Computers & Security, 46, 32–47. https://doi.org/10.1016/j.cose.2014.07.003

8 Bilagor

Bilaga 1 Intervjufrågor

1) Vilken åldersgrupp tillhör du? 1. 18-25.

2. 26-35. 3. 36-45. 4. 46-55. 5. 56-65.

2) Vilken är den högsta utbildning du slutfört? 3) Vilken nivå av datorvana anser du dig tillhöra?

1. Använder aldrig. 2. Använder ibland. 3. Använder flitigt.

4. Expert inom området datorer.

4) Vilken webbläsare använder du på din dator?

5) Hur ofta använder du din dator för att logga in på webbsidor och tjänster? 6) Hur många konton för webbsidor/tjänster har du?

7) Anser du att vissa av dina konton på webbsidor skulle såra dig mer om de hackades? Motivera.

8) Hur hanterar/memorerar du dina lösenord idag?

9) Känner du någon oro över hur säkra dina lösenord är? Motivera.

10) Anser du att det finns en risk att något av dina lösenord hackas? Motivera. 11) Har du någon gång haft ett konto som blivit hackat? Förklara gärna du

reagerade.

12) Har du vetskap om vad en lösenordshanterare är?

Om svaret på fråga 12) blir Nej förklarar intervjuare funktioner som ingår i en lösenordshanterare. Baserat på förklaringen ombeds respondenten att svara på fråga 13 utefter funktionspresentationen.

13) Har du någon gång använt en lösenordshanterare?

Följande frågor ställs till respondenter om de besvarat fråga 13) med alternativet Ja. 14) Var denna lösenordshanterare fristående eller en del av webbläsaren?

15) Hur många av dina lösenord sparar du i en lösenordshanterare? 16) Hur ofta använder du lösenordshanterare och dess funktioner?

17) Använder du funktionen ”autofyll mitt lösenord” i din webbläsare?

18) Hur skulle du känna över att spara alla dina lösenord i en lösenordshanterare? 19) Vilka faktorer påverkar ditt val att använda en lösenordshanterare?

20) Ser du några fördelar med att lagra dina lösenord i en lösenordshanterare, vilka? 21) Ser du några risker med att lagra alla dina lösenord i en lösenordshanterare,

vilka?

22) Anser du att det finns begränsningar när du använder lösenordshanterare? Motivera.

23) Anser du det enkelt att använda en lösenordshanterare? Motivera. 24) Finns det områden du skulle vilja se förbättringar inom?

25) Finns det funktioner du anser vara onödiga/oväsentliga? Motivera.

26) Uppfyller den lösenordshanterare du använt samtliga av dina krav på en lösenordshanterare?

a) Om svaret är Nej, vilka funktioner behöver utvecklas?

27) Tror du att en lösenordshanterare skulle förenkla din hantering av lösenord? Baserat på en förklaring av funktioner som ingår i en lösenordshanterare ombeds respondenten besvara följande två frågor.

28) Vilken/vilka funktioner tror du att du skulle använda mest? 29) Vilken/vilka funktioner tror du att du skulle använda minst? 30) Finns det något annat du vill tilläga?

Följande frågor ställs till respondenter om de besvarat fråga 13) med alternativet Nej. 31) Vilka faktorer påverkar ditt val att inte använda en lösenordshanterare?

32) Anser du att din datorvana påverkar ditt val att inte använda en lösenordshanterare?

9 Formatmallar

Tabell 1. Respondentstatistik.

Respondenter (n = 33) Användare (n = 26) Icke-användare (n = 7)

Summa 79% 21%

Summa representerar antal användare och icke-användare i procent.

Tabell 2. Resultat från frågeställningar.

Faktor Antal Antal i procent

Vilka faktorer påverkar privatpersoner att använda webbläsares inbyggda lösenordshanterare?

Användare Funktionalitet 5 19% Enkelhet 15 58% Tidseffektivitet 15 58% Säkerhet 4 15% Memorering 9 35%

Vilka faktorer påverkar privatpersoner att inte använda webbläsares inbyggda lösenordshanterare?

Icke-användare

Behovsbrist 4 57%

Kunskapsbrist 1 14%

Säkerhet 2 29%

Tabell 3. Studiejämförelse. Faktor Denna studie Fagan et al. (2017) Aurigemma et al. (2017) Ciampa (2013) Vilka faktorer påverkar privatpersoner att använda (webbläsares inbyggda) lösenordshanterare?

Användare Funktionalitet & Enkelhet 77% 80% - 72% Säkerhet 44% 25% - 39% Memorering 35% - - 51%

Vilka faktorer påverkar privatpersoner att inte använda (webbläsares inbyggda) lösenordshanterare?

Icke- användare Behovsbrist 57% 53% 56% 59% Kunskapsbrist 14% 9% 8% - Säkerhet 29% 46% 30% 55% Memorering 29% - - 30%

In document Webbläsares inbyggda lösenordshanterare : Faktorer som påverkar privatpersoners användning/ickeanvändning av webbläsares inbyggda lösenordshanterare (Page 41-49)