Webbläsares
inbyggda
lösenordshanterare
HUVUDOMRÅDE: Informatik
FÖRFATTARE: Jonathan Klaar & Allen Masak HANDLEDARE: Erik Bergström
Faktorer som påverkar privatpersoners användning/icke-användning av webbläsares inbyggda lösenordshanterare
Detta examensarbete är utfört vid Tekniska Högskolan i Jönköping inom informatik. Författarna svarar själva för framförda åsikter, slutsatser och resultat.
Examinator: Anders Adlemo Handledare: Erik Bergström Omfattning: 15 hp (grundnivå) Datum: 2021-06-14
Abstract
Knowledge of passwords and their security is today something that is overlooked by the everyday computer user. Password managers can both help and protect when managing passwords. Most web browsers today have built-in password management features. Based on existing literature, it could be identified that there is a need for knowledge concerning which factors influence web browser users to use or not use their built-in password managers. The purpose of the report is to present an analysis of factors that affect why private individuals choose to use or not use browsers built-in password managers.
The results are presented with the help of qualitative semi-structured interviews in which 33 respondents participated and answered questions about their handling of passwords and the use of web browsers built-in password managers.
Results from the interviews showed that factors that were significant for non-user respondents were strongly linked to computer skills and how often respondents used the computer. The factors that played the biggest role for users of the tool were simplicity and time efficiency. Non-users tended to have a lack of need for the tool, mostly because of their lack of computer usage. Factors affecting users and non-users were found to be consistent with previous research. In addition, it was concluded that the number of respondents who were users of password managers was significantly higher than previously claimed in the literature. The majority of respondents (79%) were users of password managers, which contradicts previous studies conducted where only 23% use password managers.
Keywords
Password management, technical security, informational security, web browsers built-in password managers, password security, master password, memorization.
Sammanfattning
Kunskap om lösenord och deras säkerhet är idag något som förbises av den gemene datoranvändaren. Lösenordshanterare kan både hjälpa och skydda vid hanteringen av lösenord. De flesta webbläsare idag har inbyggda funktioner för lösenordshantering. Utifrån existerande litteratur kunde det identifieras att det behövs data kring vilka faktorer som påverkar webbläsares användare att använda respektive inte använda dessa inbyggda lösenordshanterare. Syftet med rapporten är att presentera en analys av faktorer som påverkar varför privatpersoner väljer att använda respektive inte använda webbläsares inbyggda lösenordshanterare.
Resultatet presenteras med hjälp av kvalitativa semi-strukturerade intervjuer där 33 respondenter deltagit och besvarat frågor kring deras hantering av lösenord och användning av webbläsares inbyggda lösenordshanterare.
Resultat från intervjuer visade att faktorer som var av betydande roll för icke-användande respondenter var starkt kopplade till datorvana och hur ofta respondenter använde datorn. De faktorer som spelade störst roll för användare av verktyget var enkelhet och tidseffektivitet. Icke-användare tenderade att ha en behovsbrist gällande verktyget, mestadels på grund av deras avsaknad av datoranvändning. Faktorer som påverkar användare och icke-användare visade sig stämma överens med tidigare forskning. Dessutom sammanfattades att antalet respondenter som var användare av lösenordshanterare var betydligt högre än vad som tidigare hävdats i litteratur. Majoriteten av respondenterna (79%) var användare av lösenordshanterare, vilket motsäger tidigare studier som utförts där endast 23% använder sig av lösenordshanterare.
Nyckelord
Lösenordshantering, teknisk säkerhet, informationssäkerhet, webbläsares inbyggda lösenordshanterare, lösenordssäkerhet, huvudlösenord, memorering.
Innehållsförteckning
1
Introduktion ... 1
1.1 PROBLEMFORMULERING ... 1 1.2 SYFTE ... 2 1.3 FRÅGESTÄLLNINGAR ... 2 1.4 AVGRÄNSNINGAR ... 2 1.5 DISPOSITION ... 32
Metod och genomförande ... 5
2.1 DATAINSAMLING ... 5 2.1.1 Intervjustudie ... 5 2.2 DATAANALYS ... 6 2.3 TROVÄRDIGHET ... 7 2.4 ETISKA ÖVERVÄGANDEN ... 7
3
Teoretiskt ramverk ... 9
3.1 MEMORERINGSTEKNIKER ... 9 3.1.1 Mnemonik ... 9 3.1.2 Lösenordsrepetition ... 9 3.1.3 Metakognition ... 10 3.1.4 Grafiska lösenord ... 10 3.2 LÖSENORDSRESTRIKTIONER ... 10 3.3 ÅTERANVÄNDNING AV LÖSENORD ... 11 3.4 LÖSENORDSHANTERARE ... 11 3.4.1 Lösenordshanterares fördelar ... 12 3.4.2 Lösenordshanterares nackdelar ... 123.5 WEBBLÄSARES INBYGGDA LÖSENORDSHANTERARE ... 13 3.5.1 Huvudlösenord ... 13 3.5.2 Lösenordslagring ... 14 3.5.3 Lösenordsgenerering ... 14 3.5.4 Autofyll ... 15 3.5.5 Utsatta lösenord... 15
4
Resultat ... 16
4.1 EMPIRI ... 16 4.1.1 Identifiering av användare ... 16 4.1.2 Funktionalitet ... 18 4.1.3 Enkelhet ... 18 4.1.4 Tidseffektivitet ... 18 4.1.5 Säkerhet ... 19 4.1.6 Memorering ... 20 4.1.7 Behovsbrist... 20 4.1.8 Kunskapsbrist ... 20 4.1.9 Fortsatt användning ... 21 4.1.10 Funktionsförslag... 22 4.2 DATAANALYS ... 22 4.2.1 Funktionalitet ... 22 4.2.2 Enkelhet ... 22 4.2.3 Tidseffektivitet ... 23 4.2.4 Säkerhet ... 23 4.2.5 Memorering ... 23 4.2.6 Behovsbrist... 24 4.2.7 Kunskapsbrist ... 245
Diskussion ... 25
5.1 RESULTATDISKUSSION ... 25 5.1.1 Enkelhet ... 265.1.2 Säkerhet ... 26 5.1.3 Memorering ... 27 5.1.4 Behovsbrist... 27 5.1.5 Kunskapsbrist ... 28 5.1.6 Återanvändning av lösenord ... 28 5.1.7 Fortsatt användning ... 29 5.1.8 Användarantal ... 29 5.2 STUDIEJÄMFÖRELSE ... 30 5.3 METODDISKUSSION ... 30
6
Slutsatser och rekommendationer ... 32
6.1 PRAKTISKA IMPLIKATIONER ... 32
6.2 VETENSKAPLIGA IMPLIKATIONER ... 33
1
Introduktion
Problemen som finns med lösenord är idag relativt välkända. Lösenord som är säkra är oftast svåra att memorera, användare har för många lösenord och användare har svårt att komma ihåg vilket lösenord som hör till vilket konto. Lösenordshanterare är en lösning som adresserar problemen med memorering och säkerhet kring lösenord (Stobert & Biddle, 2014).
Lösenordshanterare är ett verktyg som tillhandahåller en databas för användare att lagra sina lösenord i. Lösenordshanteraren hanterar åtkomsten till denna databas och skyddar lösenorden med ett huvudlösenord (Li et al., 2014). Databasen är dessutom kryptografiskt skyddad för att öka säkerheten (Aurigemma et al., 2017). Lösenordshanterare är designade för att minska tiden det tar att logga in på webbsidor, samtidigt som lösenord inte behöver memoreras av användaren. De kan även minska återanvändningen och öka kvaliteten på lösenord (McCarney et al., 2012). Funktioner för autofyll av lösenord är ett av de mest populära hjälpmedlen i webbläsare. Funktionen sparar användarens användarnamn och lösenord för senare användning (Bicakci et al., 2011). Tidigare studier har identifierat att användare av webbläsares inbyggda lösenordshanterare oftare återanvänder lösenord än de användare som använder externa lösenordshanterare (Pearman et al., 2019).
1.1 Problemformulering
I Fagan et al. (2017) diskuteras hur bristande kunskap om lösenordshanterare tillsammans med en misstro för vad verktyget erbjuder anses vara en orsak till att lösenordshanterare inte används i tillräckligt stor utsträckning. De som väljer att inte använda en lösenordshanterare uttrycker att de upplever att verktyget kan vara otryggt. De menar att oro över säkerhet väger högre än den säkerhet som kan gynna dem i motsats till de som väljer att använda verktyget. Dessutom anser de att funktionerna och verktyget i sig väger högst (Fagan et al., 2017). Även Pearman et al. (2019) menar att kunskapen om lösenordshanterare är vag. Många användare av lösenordshanterare anses vara omedvetna om vad en lösenordshanterare är och kan därför vara omedvetna om att de faktiskt använder en lösenordshanterare (Pearman et al., 2019).
Ciampa (2013) fann att användare av lösenordshanterare hellre använder inbyggda funktioner i en webbläsare än att ladda ned en extern lösenordshanterare. Användare menar att inbyggda lösenordshanterare var lätta att använda och gjorde det enklare att organisera lösenord (Ciampa, 2013). Användare av webbläsares inbyggda lösenordshanterare menar att de generellt använder verktyget av bekvämlighet (Pearman et al., 2019). Användare i en studie av Ayyagari et al. (2019) ser rimligheten i att använda en lösenordshanterare baserat på att de någon gång har glömt av ett lösenord. Med en lösenordshanterare hade de istället endast behövt ett lösenord för att
nå alla sina lösenord (Ayyagari et al., 2019). Aurigemma & Mattson (2018) menar att användare värderar olika funktioner olika högt. Detta tyder på att de har olika behov av och krav på funktioner. I studien diskuteras att fler användare skulle kunna tänka sig att använda sig av lösenordshanterare om de var mer individanpassade (Aurigemma & Mattson, 2018).
De största webbläsaraktörerna; Google Chrome, Mozilla Firefox, Microsoft Edge och
Safari (Statcounter, 2021) har idag funktioner som kan motverka de problem som
privatpersoner upplever vid hanteringen av lösenord (Google, 2021; Microsoft, 2021; Mozilla, 2021; Safari, 2021). Samtidigt visar statistik från FICO (2020) att lösenordshanterare inte är allmänt etablerade bland användare av webbläsare. Endast 23% av amerikanska webbläsaranvändare använder lösenordshanterare, dessutom visade studien att endast 42% av respondenterna använder sig av olika lösenord för olika ändamål (FICO, 2020). Det finns en tydlig oklarhet kring vilka faktorer som faktiskt påverkar privatpersoner att använda respektive inte använda lösenordshanterare. Problemformuleringens brist på avgörande faktorer gör det väsentligt att undersöka vilka faktorer som påverkar privatpersoners val. Studien ger en inblick i privatpersoners attityder till att använda och att inte använda webbläsares inbyggda lösenordshanterare.
1.2 Syfte
Syftet med rapporten är att presentera en analys av faktorer som påverkar varför privatpersoner väljer att använda respektive inte använda webbläsarbaserade lösenordshanterare.
1.3 Frågeställningar
För att besvara syftet har följande frågeställningar definierats:
[1] Vilka faktorer påverkar privatpersoner att använda webbläsares inbyggda lösenordshanterare?
[2] Vilka faktorer påverkar privatpersoner att inte använda webbläsares inbyggda lösenordshanterare?
1.4 Avgränsningar
Privatpersoner har valts som målgrupp för studien då samtliga lösningar inom området finns tillgängliga för denna grupp. Företagslösningar är exkluderade ur studien då dessa främst erbjuds i externa lösenordshanterare, snarare än webbläsares inbyggda lösenordshanterare (Safety Detectives, 2021). Dessutom blir det mer komplicerat för företag att implementera lösenordshanterare som lösning då det oftast kräver en policy för hela företaget (Keeper Security, 2019). Externa lösenordshanterare kräver att användaren aktivt väljer att ladda ned programvara för att använda verktyget. Därav är de exkluderade ur studien. Externa lösenordshanterare klassas i denna studie som
icke-inbyggda i webbläsarens funktioner. Därav exkluderas majoriteten av de externa lösenordshanterare som återfinns på marknaden (Wikipedia, 2021).
Det åldersspann som valts att studeras är mellan 18–65 år. Åldersindelningen är baserad på en tidigare studie av Fagan et al. (2017) som utför en liknande studie. I Fagan et al. (2017) studien gjordes en enkätstudie där åldersspann definierades för att få en överblick. Det åldersspann som används i denna studie är inte helt i enlighet med den tidigare studien. En modifikation på åldersspannet gjordes då det efter ett antal intervjuer att målgruppen för studien kunde utökas. Detta efter rekommendation av respondenter som hade anhöriga som de ansåg var väsentliga för intervjustudien. Författarna ansåg det rimligt att dela upp alla åldersspann i lika stort antal. Därmed är de flesta åldersspann uppdelade i 10-årsintervall, förutom åldrarna 18-25. Detta skiljer sig mot Fagan et al. (2017) som sammanfogat åldrarna 35-54 i ett omfång.
Studien baseras på webbläsares interna lösningar, detta eftersom befintlig forskning inte specifikt behandlar dessa inbyggda lösningar. Dessutom är valet att installera webbläsares inbyggda lösenordshanterare inte ett aktivt val för användare. Snarare tillkommer det som en funktion bland alla de funktioner en webbläsare erbjuder (Google, 2021; Microsoft, 2021; Mozilla, 2021; Safari, 2021).
Studien har begränsats till att undersöka webbläsarna Google Chrome, Mozilla Firefox,
Microsoft Edge och Safari. Dels för att de används av majoriteten av datoranvändare
och dels för att de har liknande funktionalitet (Statcounter, 2021). Samtliga webbläsare har funktioner för autofyllning av lösenord, huvudlösenord, lagring av lösenord, lösenordsgenerering, förslag på lösenord samt kontroll av säkerhet på lösenord (Google, 2021; Microsoft, 2021; Mozilla, 2021; Safari, 2021). En generell slutsats kan då dras utifrån webbläsarnas lösenordshanterare.
1.5 Disposition
Kapitel 1 – I kapitlet Introduktion introduceras rapporten följt av en problemformulering. Därefter presenteras syftet med rapporten och dess kringliggande frågeställningar, till sist presenteras avgränsningar.
Kapitel 2 – I kapitlet Metod och genomförande presenterades det hur studien har genomförts, dvs. metodval, och hur dess trovärdighet står sig i relation till den data som studerats.
Kapitel 3 – I kapitlet Teoretiskt ramverk presenteras studiens teoretiska bakgrund med ett mer djupgående fokus tillsammans med forskningsfronten.
Kapitel 4 – I kapitlet Resultat presenteras resultatet av studien i två delar. Först ur ett teoretiskt perspektiv för att sedan följa upp detta med reflektioner och åsikter. Data som samlats in och presenteras i kapitlet avser att ge svar på studiens frågeställningar.
Kapitel 5 – I kapitlet Diskussion hålls en diskussion kring huruvida resultatet står sig till eventuella uppfattningar som formulerats under litteraturstudien.
Kapitel 6 – I kapitlet Slutsatser och rekommendationer presenteras en diskussion kring studiens resultat, samt rekommendationer till framtida forskning.
2
Metod och genomförande
Kapitlet ger en översiktlig beskrivning av studiens metodval som har används för att samla in empiriska data. Därav utfördes en studie med kvalitativ ansats som avsåg att samla in information kring de faktorer som påverkar privatpersoner att använda eller inte använda webbläsares inbyggda lösenordshanterare.
Detta kapitel presenterar arbetsprocessen, vilka metoder som har används och dess syfte. Kapitlet avslutas med en diskussion om reliabilitet i studien samt de olika etiska överväganden som gjorts.
Arbetet utfördes kvalitativt då data har erhållits från intervjuer där förståelsen av lösenordshanterare från individer har varit väsentlig för att besvara frågeställningen och uppfylla syftet med studien.
2.1 Datainsamling
Arbetet har utförts med metoden semi-strukturerade intervjuer. Forskningsmetoden är mest lämpad då studien ska presentera få variabler med flera undersökningsobjekt för att bestämma förekomst, utbredning och samband för variabler. De semi-strukturerade intervjuerna är av beskrivande karaktär då metoden visar en ögonblicksbild över en situation (Säfsten & Gustavsson, 2019). Situationen i studien är i detta fall privatpersoners användning av lösenordshanterare i dagsläget.
Data kommer att samlas in genom semi-strukturerade intervjuer, vilket kommer att ge studien kvalitativa data.
Kvalitativa data uttrycker en kvalitet, syftar på beskaffenhet, egenskaper och kan förekomma i form av ord och bilder (Säfsten & Gustavsson, 2019).
Kvalitativa data fås genom mer djupgående svar och diskussioner under de hållna intervjuerna (Säfsten & Gustavsson, 2019).
Genom dessa intervjuer förväntas resultatet kunna presenteras och sammanställas överskådligt och begripligt för att vidare kunna bidra till forskningsfältet. Strukturen på studien är genomtänkt och har som syfte att göra rapporten mer lättillgänglig för berörda inom området.
2.1.1 Intervjustudie
Intervjustudien avser svara på rapportens frågeställningar. Den data som samlas in kommer att vara av kvalitativ karaktär. Intervjuerna kommer att vara semi-strukturerade, vilket syftar till att få ett resultat som bygger på fördjupade resonemang. Semi-strukturerade intervjuer hålls med en respondent i taget (Hedin, 2011). Den semi-strukturerade intervjuguiden utgår från frågor om vilka aspekter som anses vara
avgörande för att använda, respektive inte använda webbläsares inbyggda lösenordshanterare. Metoden har valts då den är bäst lämpad för insamling av information om uppfattningar, erfarenheter och upplevelser (Säfsten & Gustavsson, 2019). De semi-strukturerade intervjuerna kommer att utformas enligt en standardiserad modell. Detta betyder att intervjufrågor (se bilaga 1) är detsamma för alla respondenter men att följdfrågorna kan skilja sig åt eftersom de anpassas till respondentens svar. På så sätt kan ett mer djupgående perspektiv uppnås. Intervjustudien är konfidentiell, den information som erhålls om respondenterna är därefter bara tillgänglig för författarna (Patel & Davidson, 2011).
I en studie av Fagan et al. (2017) presenteras kategorier baserade på kodade data från enkätresultat. Dessa kategorier är starkt kopplade till studiens ändamål och ligger därför till grund för de kategorier som används. Användare har delats in i kategorier som beskriver varför de väljer att använda lösenordshanterare. Icke-användare har delats in i kategorier som definierar varför de väljer att inte använda lösenordshanterare. Användares kategorier delades upp enligt följande; Funktionalitet, enkelhet,
tidseffektivitet, säkerhet, memorering. Icke-användares kategorier är indelade enligt
följande; Behovsbrist, säkerhet, kunskapsbrist, memorering.
Intervjustudien hölls genom videomöten och fysiska intervjuer för att kontinuerligt hålla kontakten med respondenterna och för att kunna utföra intervjuer med ett bredare omfång av respondenter där behovet av att fysisk närvaro vid intervjun inte krävdes. Totalt intervjuades 33 respondenter. Efter att intervjuerna genomförts transkriberades ljud- och videoinspelningarna av författarna som därmed fick bekanta sig med materialet (Dalen, 2015). Samtliga intervjuer som utfördes spelades in i samtycke med respondenter för att kunna transkriberas i efterhand. För att nå respondenter till intervjustudien användes sociala medier och författarnas kontaktnät.
2.2 Dataanalys
Intervjustudiens resultat kommer att redogöras genom en tematisk analys. I och med att intervjuerna utförts fysiskt och ljud spelats in klassas den data som samlats in som verbal data (Saunders et al., 2019). För att bearbeta resultat från intervjuer som hållits kommer de att transkriberas. Dessa intervjuer presenteras i skriftligt format för att lättare få en överblick över innehållet (Säfsten & Gustavsson, 2019). Innehåll kommer sedan att kodas, för att märka den data som samlats in från intervjun. Detta medför att en överblick enklare uppnås över specifika avsnitt i intervjun som är av intresse. Kodade data kommer sedan att kategoriseras och relateras till det tema som studien avser att undersöka. Det blir därmed enklare att gå tillbaka i intervjun för att hitta innehåll av intresse för specifika resultat (Dalen, 2015). Därefter presenteras resultatet i form av en skriftlig summering i rapportens utförande. Allt eftersom dessa steg
bearbetas ökar abstraktionsnivån, vilken är som högst i slutskedet då resultatet presenteras (Säfsten & Gustavsson, 2019).
2.3 Trovärdighet
Studien har valt att inrikta sig på privatpersoner som målgrupp. Därav görs ett försök med att reflektera den generella befolkningen. De privatpersoner som valts ut till intervjustudien är noggrant utvalda och varierar i åldrar och kön. För att uppnå hög trovärdighet har både validitet och reliabilitet reflekterats över vid utförandet av intervjustudien och dess underliggande intervjufrågor.
Validitet beskriver i vilket omfång ett uppmätt resultat besvarar det som avses att besvaras, samt i vilket sammanhang de resultat som uppnås är giltiga (Säfsten & Gustavsson, 2019). Validitet i rapporten kommer att uppnås genom noggrant utvalda studier som grund till de frågor som ställs vid intervjuer. Frågor som ställs är starkt kopplade till frågeställningarna (Säfsten & Gustavsson, 2019). Frågor ska inte kunna missuppfattas eller misstolkas på något sätt. Detta har säkrats genom att en testintervju genomfördes inför de intervjuer som hållits. Abstrakta ord och termer definierades för att göra tolkningsutrymmet så litet som möjligt för respondenterna. För att minska partiskheten och hålla studien objektiv ställdes också öppna frågor, som var formade på ett sätt som får respondenter att svara ärligt och uppriktigt. Detta förhindrade att respondenterna enbart kunde svara med alternativen “Ja” eller “Nej”, vilket i sin tur gav varje respondent ett mer unikt svar som i sin tur ökade validiteten i resultatet (Patel & Davidson, 2011). Tidigare analys av studier leder till att rätt frågor ställs vid rätt tillfälle samt att de frågor som ställs är relaterade till det som rapporten avser att studera (Säfsten & Gustavsson, 2019).
Hög reliabilitet innebär att ett resultat kan uppnås på nytt med samma resultat vid upprepade mätningar (Säfsten & Gustavsson, 2019). Reliabilitet i rapporten har säkerställts via ett noggrant utvalt omfång privatpersoner. De intervjuer som hållits spelades in vilket gör att reliabiliteten kunde säkerställas i efterhand. Detta medförde också att interbedömarreliabiliteten kunde kontrolleras. Trots detta kan resultatet inte helt och hållet bli detsamma då studien gjordes med semi-strukturerade intervjuer. Därav kan följdfrågor variera från intervju till intervju. För att säkerställa reliabilitet i efterhand bedömdes svaren utifrån det resultat som presenterats i intervjuerna (Patel & Davidson, 2011).
2.4 Etiska överväganden
Studien står i relation till fyra forskningsetiska principer inom humanistisk-samhällsvetenskaplig forskning som är framtaget av Vetenskapsrådet (2002), nämligen:
Informationskravet innebär att respondenterna ska vara informerade om studien och
respondenter beskrevs syftet med rapporten för att meddela i vilket syfte den data som samlas in ska användas till.
Samtyckeskravet ger respondenter rätt att bestämma över sin medverkan. Detta
appliceras vid intervjuerna genom att respondenterna innan intervjuernas början blir informerade om att medverkan är frivillig och att de när som helst kan avbryta sin medverkan.
Konfidentialitetskravet innebär att personuppgifter och andra etiskt känsliga uppgifter
ska hanteras på ett sådant sätt att obehöriga inte kan komma åt dem. Detta krav uppfylls genom att respondenter inte uppmanats att uppge några känsliga uppgifter. Istället identifieras respondenter med ett identifikationsnummer för att sortera respondenternas svar.
Nyttjandekravet innebär att insamlad data om enskilda personer får inte lämnas ut och
endast får användas för forskningsändamålet. Den data och de svar som insamlats från respondenter erhålls endast av författarna själva. Inga data sprids och kasseras efter att ändamålet uppnåtts.
Den data som samlas in kommer att bearbetas och samlas in i enlighet med de lagar som föreskrivs i Dataskyddsförordningen GDPR (GDPR, 2021). GDPR ställer stora krav på att den data som samlats in om respondenterna är transparent, därav har respondenterna när som helst rätt att hämta ut den data som samlats in om dem. Dessutom har respondenter möjligheten att efterfråga att deras data raderas helt och hållet, fram tills det att studien publicerats.
3
Teoretiskt ramverk
I detta avsnitt samlas begrepp och uttryck som används i studien. Forskningsfronten inom området presenteras i syftet att skapa en grund till studiens syfte och frågeställningar. Avsnittet presenterar problemen som existerar med hanteringen av lösenord, följt av en summering av tekniker för att underlätta memoreringen av lösenord. Därefter presenteras hur restriktioner på hur lösenord ska skapas kan underlätta vid hanteringen av lösenord och säkerhetsproblem med återanvändning av lösenord. Till sist avslutas avsnittet med en överblick över lösenordshanterare och webbläsares inbyggda lösenordshanterare.
3.1 Memoreringstekniker
Flertalet tekniker för att memorera lösenord återfinns i dagens forskning. Nedan presenteras tekniker som kan underlätta vid memorering av lösenord som privatpersoner använder. Dessa tekniker anses vara ett alternativ till lösenordshanterare, men kan användas i samband med lösenordshanterare för ökad memorering och säkerhet.
3.1.1 Mnemonik
I en studie av Ye et al. (2019) presenteras metoden mnemonik för att säkerställa att användare kommer ihåg lösenord. Mnemonik beskrivs som en metod där användaren memorerar en mening av ord för att sedan välja första, alternativt sista bokstaven i varje ord som lösenord. Studien summerar att metoden är effektivare och säkrare än användares tidigare lösenord (Ye et al., 2019). Kiesel et al. (2017) menar att styrkan i mnemonik är baserat på olika antaganden, ett av dessa är att människor enkelt kommer ihåg mnemonik. Kiesel et al. (2017) menar dessutom att gissa sig fram till mnemonik som någon har skapat är omöjligt, detta är fallet om användaren har gjort rätt i att följa råden kring mnemonik (Kiesel et al., 2017).
3.1.2 Lösenordsrepetition
Repetitionsövningar för att memorera lösenord är en teknik som testas i en studie av Woods & Siponen (2019). I studien får användare skapa konton och sedan skriva det lösenord de önskar använda olika antal gånger vid registreringsprocessen. Det antal gånger som lösenordet skrevs in var mellan en och tre gånger. De flesta webbsidor kräver idag att det lösenordet som ska användas skrivs in två gånger. Författarna till studien fann att om ett lösenord skrevs in tre gånger vid registrering ökade memoreringsgraden till 72%. Detta i jämförelse från tidigare 40% och 57%, där lösenordet skrevs in en gång, respektive två gånger. Respondenter i studien menade heller inte att registringsprocessen blev mer omständlig än tidigare. Författarna till studien menar att dessa små förändringar kan öka säkerheten, samtidigt som memoreringsgraden ökar (Woods & Siponen, 2019).
3.1.3 Metakognition
Med metakognition menas att vara medveten om kunskapen man besitter och att man kan förstå och använda sig av den kunskapen (NE, 2021). Detta relateras till lösenordsmemorering via en studie av Luna (2018) där författaren studerar den påstådda säkerheten i lösenord som är lätta att memorera. Hypotesen innebar att desto lättare lösenordet var att memorera, desto osäkrare var lösenordet. Det resultat som därefter presenteras överensstämmer väl med den hypotes som ställts. Resultatet ställer memoreringstekniker mot väggen då det ifrågasätter tidigare tekniker som diskuterats där säkerheten anses bli högre om lösenordet aldrig glöms av (Luna, 2018).
3.1.4 Grafiska lösenord
I flera studier diskuteras alternativet grafiska lösenord. Begreppet innebär att användaren inte innehar något lösenord i textformat. Istället presenteras användaren av flertalet bilder vid inloggning, där användaren ombeds välja de bilder som utgör användarens lösenord. Bilderna är placerade på olika platser vid varje inloggning. Detta menar Panda et al. (2018) och Vaddeti et al. (2018) bidrar till ökad säkerhet och mer frekvent memorering av lösenord. Dessutom förhindrar verktyget, enligt författarna, shoulder-surfing. Uttrycket innebär att titta över axeln på den som skriver in sitt lösenord. Detta innebär att fysiska försök att lista ut användares lösenord förhindras (Panda et al. 2018; Vaddetti et al. 2020).
3.2 Lösenordsrestriktioner
Fagan et al. (2017) menar att kontoanvändare har en tendens att glömma av lösenord på webbplatser som har specifika lösenordskrav och på webbplatser som de sällan besöker (Fagan et al., 2017). Enligt Brumen (2020) bidrar då restriktioner och policys tilldelade av systemadministratörer till att lösenordens säkerhet får motsatt effekt. Istället för att memorera lösenorden noterar användare lösenorden antingen på papper eller i en datafil, vilket i sin tur bidrar till att lösenorden lättare utsätts för risk. Studien visar att användare som ombetts använda sig av restriktioner och policys på lösenord inte memorerade lösenorden eller hade glömt av dem efter att de skrivit in dem. Detta skapar en onödig risk, enligt författaren (Brumen, 2020). Grimes (2020) presenterar förslag och riktlinjer för hur en lösenordspolicy ska implementeras där tvåfaktors-autentisering och lösenordshanterare inte är ett alternativ. Författaren föreslår att långa, enkla lösenordsfraser med specialtecken, stora och små bokstäver samt siffror är av signifikans och att minimum på lösenordets längd bör vara åtta karaktärer. Dessutom bör systemadministratörer tvinga ett lösenordsbyte var 90:e till 180:e dag. Även här framkommer att alldeles för komplexa lösenord bidrar till att användare skriver ner lösenorden på annan plats (Grimes, 2020). Avslutningsvis fann Yildrim & Mackie (2019) att restriktioner på hur lösenord ska utformas skapar en ringa förbättring i
lösenordssäkerhet. Detta omöjliggör dock inte att lösenorden kan hackas, utan förlänger bara processen (Yildrim & Mackie, 2019).
3.3 Återanvändning av lösenord
Lyastani et al. (2018) fann att en säkerhetsrisk är att 43% av respondenter i en studie återanvänder lösenord eller gör små modifikationer på tidigare lösenord och ju fler lösenord en användare har desto större risk är det att lösenord återanvänds. Detta styrks ytterligare i Stobert & Biddle (2018) där återanvändning av lösenord diskuteras. Studien visar att användare av webbläsare ofta återanvänder exakt samma lösenord på upp till tre webbsidor. Samtidigt behåller de delar av det ursprungliga lösenordet på andra sidor och adderar enstaka karaktärer. Studien visade dessutom att desto fler lösenord en användare har, desto större är återanvändningen av lösenord. Respondenter i studien menade att på webbsidor där kontot inte ansågs vara av betydelse för dem återanvändes lösenord allt oftare (Stobert & Biddle, 2018). Ives et al. (2004) menar att om ett lösenord återanvänts på flera konton kan en dominoeffekt uppstå där en hacker får tillgång samtliga av dessa konton. Om ett lösenord har återanvänts på ett mindre sårbart system finns risken att det även använts på ett system med högre sårbarhet. Det förväntas i princip av hackers idag att lösenord återanvänds, därför målsättskonton och sidor som används minst (Ives et al., 2004). Wang & Reiter (2018) presenterar en lösning för att förhindra återanvändning av lösenord över olika webbsidor. Genom att testa ett lösenord gentemot samma mejladress på andra webbsidor kan tekniken avgöra om ett lösenord återanvänds. Detta görs utan att lösenordet identifieras hos någon av webbsidorna. Denna teknik kräver dock ytterligare säkerhetsåtgärder och implementationer den vardagliga webbutvecklaren eventuellt inte besitter (Wang & Reiter, 2018).
3.4 Lösenordshanterare
En lösenordshanterare är ett program som genererar komplexa och unika lösenord genom att använda sig av en krypteringsalgoritm, vilket gör lösenorden svårare att knäcka. Lösenordshanterare lagrar alla lösenord i en databas som är skyddad kryptografiskt (Aurigemma et al., 2017). Tillgången till denna plats fås genom ett huvudlösenord vilket underlättar för användaren då behovet av att memorera flera starka lösenord inte krävs (Li et al., 2014). Lösenordshanterare är designade för att snabbt låta användare logga in på webbsidor de besöker. Med den databas som lösenordshanteraren sparar lösenord i förväntas inte att lösenord memoreras av användaren, detta hanteras istället av lösenordshanteraren (McCarney et al., 2012). Enligt Alodhyani et al. (2020) anses lösenord vara den främsta metoden för att skydda konton. Samtidigt har människor problem med att memorera lösenord och ställer därför inte höga krav på vilka lösenord de använder. Istället återanvänds lösenord för att
underlätta memoreringen av dem. Om lösenordshanterare inte används finns ingen annan lösning än att återanvända och gruppera lösenord (Alodhyani et al., 2020). Flertalet lösenordshanterare har säkerhetsfunktioner som meddelar användaren när ett lösenord har blivit hackat eller äventyrats och indikerar när lösenord är svaga eller återanvända (Gallagher, 2019).
3.4.1 Lösenordshanterares fördelar
Lösenordshanterare kan vara till stor nytta när det kommer till att komma ihåg
lösenord på icke frekvent besökta webbplatser. Lösenordshanterare är verktyg som är designade för att underlätta användares hantering av lösenord. Detta görs via
funktioner som slumpmässig generering av unika lösenord och ett huvudlösenord för alla sparade lösenord. Detta betyder att användaren endast behöver komma ihåg sitt huvudlösenord för att få tillgång till alla sina lösenord (Fagan et al., 2017).
Flertalet av de tekniker som presenterats i avsnittet Memoreringstekniker (se avsnitt
3.1) kan avhjälpas med lösenordshanterare. Mnenomik, lösenordsrepetition och
metakognition är alla metoder som kan användas i kombination med lösenordshanterare. Oftast krävs inte detta, med undantaget att metoderna kan användas för sig, alternativt kombineras, för att skapa ett starkt huvudlösenord.
3.4.2 Lösenordshanterares nackdelar
Zhao & Yue (2014) diskuterar säkerheten kring webbläsares inbyggda lösenordshanterare. Trots många förekommande fördelar med lösenordshanterare återfinns även en del nackdelar. Risken för attacker mot lösenordshanterare är alltjämt ett förekommande hot. Genom att installera trojaner på offrets dator nås lösenord som sparats i lösenordshanteraren. Programvaran som används för att hacka lösenorden kan köras både på systemnivå, samt applikationsnivå. Detta är dock inte särskilt vanligt, utan specifikt utvalda offer utsätts oftast för dessa attacker. Vidare utforskar Zhao & Yue (2014) hur säkra krypteringsalgoritmerna i webbläsares inbyggda lösenordshanterare faktiskt är. Studiens resultat visar att algoritmerna i de flesta fall inte räcker till och menar att de flesta lösenordshanterare kan attackeras via drive-by attacker. En drive-by attack innebär att injicera skadliga skript i en webbsidas kod, som sedan används av offret (Kaspersky, 2021). Samtidigt menar författarna att ett väldigt starkt huvudlösenord är väsentligt för att skydda sig mot dessa typer av attacker (Zhao & Yue, 2014). Yildrim & Mackie (2019) menar att slumpmässigt genererade lösenord bidrar till att lösenords säkerhet ökar väsentligt. Samtidigt ökar svårigheten i att memorera lösenord som genererats slumpmässigt där en koppling till användaren saknas. Denna konflikt menar författarna skapar en viss tvetydighet kring hur en lösenordshanterare som generar slumpmässiga lösenord faktiskt uppfyller det behov användare efterfrågar (Yildrim & Mackie, 2019).
3.4.3 Kunskapsbrist om lösenordshanterare
Chaudhary et al. (2019) diskuterar anledningar till att människor har problem med att förlita sig på lösenordshanterare. I studien tas det upp att för att öka acceptansen av lösenordshanterare krävs att man undervisar och ökar medvetenheten om lösenordshanterare. Stobert & Biddle (2018) menar att utbildning och kunskap behöver förmedlas för att klargöra för människor hur lösenord bättre kan hanteras. De metoder användare av webbläsare använder idag är relativt effektiva men medför ökade säkerhetsrisker. Även Ciampa (2011) menar att utbildning och ökad medvetenhet bidrar till att lösenordshanterare används i allt större utsträckning. Stobert & Biddle (2014) utförde en studie som avsåg att analysera livscykeln för lösenord och förbättringsåtgärder för lösenord, där förslaget lösenordshanterare presenterades för deltagare i studien. Författarna fann att ingen av deltagarna i studien använde sig av lösenordshanterare, samtidigt som majoriteten av deltagarna saknade kunskap om vad uttrycket innebar (Stobert & Biddle, 2014).
3.5 Webbläsares inbyggda lösenordshanterare
De största aktörerna på webbläsarmarknaden; Google Chrome, Mozilla Firefox,
Microsoft Edge och Safari (Statcounter 2021) har idag inbyggda funktioner för
lösenordshantering (Cassidy, 2017). Detta bidrar till att användare lättare kan hantera och komma ihåg sparade lösenord. Dessa aktörer erbjuder tjänster som: lagring/hantering av användarnamn och lösenord, lösenordsgenerering, huvudlösenord, autofyllning av lösenord, förslag på lösenord och varningar för utsatta eller läckta lösenord (Google, 2021; Microsoft, 2021; Mozilla, 2021; Safari, 2021).
I följande underkapitel presenteras de funktioner webbläsares inbyggda lösenordshanterare erbjuder.
3.5.1 Huvudlösenord
Huvudlösenord kan definieras som det lösenord som skyddar alla övriga lösenord i lösenordshanterarens databas. För att nå lösenord i databasen krävs att användaren skriver in sitt huvudlösenord. Från användaren förväntas av lösenordshanteraren att lösenordet är av hög säkerhet. Med huvudlösenordet fås också möjligheten att ändra befintlig inloggningsinformation. Huvudlösenord anses av utvecklare (Nordpass, 2021, LogMeIn, 2021) behöva hög säkerhet och vara ett unikt lösenord gentemot de lösenord som återfinns i databasen. Huvudlösenord tillsammans med en lösenordshanterare anses vara ett säkrare alternativ än att ha flera lösenord av liknande format (Nordpass, 2021). LogMeIn (2021) menar att ett huvudlösenord alltid kan hackas om kriterierna för ett säkert lösenord som anses vara starkt inte uppfylls. Dessutom kommer inte lösenordet att kunna hackas om det är unikt för ändamålet. Om ett återanvänt lösenord återanvänds som huvudlösenord är chanserna större att lösenordet hackas.
Vidare rekommenderar LogMeIn (utvecklare av LastPass) att användare utformar sitt huvudlösenord enligt följande kriterier:
- Använd minst 12 karaktärer, desto längre desto bättre. - Använd versaler, gemener, siffror och specialkaraktärer.
- Gör lösenordet Make it uttalbart och lätt att memorera, men inte enkelt att gissa. - Se till att det är unikt för dig.
- Använd aldrig personlig information (LogMeIn, 2021).
3.5.2 Lösenordslagring
Webbläsares inbyggda lösenordshanterare lagrar användares lösenord i en databas som leverantören administrerar. Den data som användaren lagrar krypteras innan den skickas vidare till databasen. Databasen i sin tur har en konstant koppling mot en server där användaren kan tillgå sina lösenord. Denna teknik tillåter användare att nå sina lösenord när man vill oavsett var man befinner sig, så länge man har en internetuppkoppling och har tillgång till sitt användarnamn och huvudlösenord (Malwarebytes, 2021). Denna databas förekommer inte som flera filer, utan är ofta en enda fil som innehåller användarens samtliga lösenord. Filen i sin tur är krypterad och därav krävs inte att krypteringsalgoritmerna är resurskrävande då endast en fil krypteras. Användaren ser dock filen som flera lösenord, ofta presenterade som text i webbläsaren eller applikationen (Kaspersky, 2021).
3.5.3 Lösenordsgenerering
Generering av slumpmässiga lösenord är en funktion som återfinns i alla inbyggda lösenordshanterare i de webbläsare som valts att studeras. Lösenordsgenerering innebär att webbläsaren frågar om användaren vill generera ett slumpmässigt lösenord, som är i princip omöjligt att gissa. Därefter sparas lösenordet automatiskt för den specifika webbsidan som användaren genererat lösenordet på. Det enda krav som ställs på användaren är att antalet karaktärer och vilken typ av karaktärer som lösenordet ska innehålla definieras. Om användaren väljer att använda fyra karaktärer som endast består av versaler kommer det slumpmässigt genererade lösenordet inte vara säkrare än ett lösenord användaren definierat själv (Malwarebytes, 2021). Ytterligare en variant på funktion av lösenordsgenerering återkommer bland webbläsarna. Funktionen innebär att användaren får välja om den vill använda ett starkt lösenord eller inte, sedan fyller webbläsaren i det slumpmässigt genererade lösenordet om användaren väljer att använda ett starkt lösenord. Funktionen har som avsikt att hjälpa användare att välja ett lösenord med hög säkerhet även om de inte besitter kunskapen om vad ett lösenord med hög säkerhet innebär (Apple, 2021).
3.5.4 Autofyll
Autofyll är en funktion som har utvecklats för att bespara användaren tid genom att fylla i användarnamn och lösenord för specifika webbsidor där användaren sparat sin inloggningsinformation. Autofyll är som standard aktiverat på webbläsare där användaren någon gång valt att spara ett lösenord i lösenordshanterarens databas (Mozilla, 2021; Apple, 2021). Funktionen autofyll finns dessutom tillgänglig på flera plattformar, däribland smartphones och surfplattor. Lösenord som sparats är tillgängliga över flera plattformar om användaren loggar in på sitt konto och kan därmed autofyllas oavsett vilken enhet som används (LastPass, 2021).
3.5.5 Utsatta lösenord
Varning för utsatta lösenord är en funktion som innebär att lösenordshanteraren meddelar användaren om ett lösenord i användarens lösenordsdatabas blivit utsatt för en attack. Lösenordshanteraren meddelar också användaren om ett lösenord
återanvänds på fler än en webbsida. Detta för att förhindra att ett hackat lösenord inte leder till att fler konton kan nås. Dessutom finns bara det lösenord som användaren sparat tillgängligt för den specifika webbsidan lösenordet sparats på. Det betyder att om användaren besöker en webbsida som visar sig vara falsk kommer inte lösenordet att automatiskt fyllas i (Malwarebytes, 2021).
4
Resultat
I detta kapitel presenteras svar på studiens frågeställningar genom att insamlade data i form av empiri behandlas och presenteras. Data som samlats in från intervjuer presenteras och sammanställs för att mot slutet av kapitlet analyseras gentemot frågeställningarna.
4.1 Empiri
I detta avsnitt presenteras resultat från intervjuer med respondenter. Respondenter har delats in i två separata grupper; Användare och Icke-användare. Dessa grupper noteras i empirin som A-Respondent och IA-Respondent i empirin. Därefter presenteras kategorier för respektive grupp.
I och med att respondenter kan välja att besvara frågor med flertalet alternativ kan resultatet eventuellt innehålla dubbletter eftersom flera respondenter kan svara likadant.
4.1.1 Identifiering av användare
För att identifiera användare och icke-användare ställdes intervjufrågan: ”Har du vetskap om vad en lösenordshanterare är?”, följt av en förklaring av verktyget. Sedan ställdes frågan: ”Har du någon gång använt en lösenordshanterare?”. Efterföljande fråga; ”Var denna lösenordshanterare fristående eller en del av webbläsaren?” syftade till att svara på om respondenten använde webbläsares inbyggda lösenordshanterare eller inte.
På nästkommande sida presenteras resultat från intervjustudien i en tabell (se tabell 1) där antalet användare samt icke-användare noterats. Dessutom presenteras respondenternas tillhörande åldersgrupp, kön och vilken utbildning de genomfört.
Tabell 1. Respondentstatistik
Respondent Ålder Kön Utbildning Användare Icke-användare
1 18-25 Kvinna Gymnasium x 2 18-25 Kvinna Högskola x 3 46-55 Man Gymnasium x 4 46-55 Kvinna Högskola x 5 46-55 Man Gymnasium x 6 18-25 Kvinna Gymnasium x 7 46-55 Man Gymnasium x 8 18-25 Man Högskola x 9 56-65 Man Gymnasium x 10 46-55 Kvinna Gymnasium x 11 26-35 Kvinna Gymnasium x 12 36-45 Kvinna Gymnasium x 13 18-25 Kvinna Gymnasium x 14 18-25 Kvinna Högskola x 15 26-35 Man Gymnasium x 16 56-65 Kvinna Gymnasium x 17 26-35 Man Gymnasium x 18 18-25 Man Högskola x 19 26-35 Man Högskola x 20 18-25 Man Yrkeshögskola x 21 18-25 Man Gymnasium x 22 36-45 Kvinna Gymnasium x 23 36-45 Man Högskola x 24 18-25 Man Gymnasium x 25 36-45 Kvinna Gymnasium x 26 18-25 Kvinna Gymnasium x 27 46-55 Man Gymnasium x 28 46-55 Kvinna Högskola x 29 18-25 Man Yrkeshögskola x 30 18-25 Kvinna Högskola x 31 26-35 Man Högskola x 32 18-25 Kvinna Högskola x 33 46-55 Man Gymnasium x
4.1.2 Funktionalitet
Trots brist på kunskap om vad lösenordshanterare innebär hade de flesta av respondenterna i intervjustudien någon gång eller regelbundet använt funktioner som ”autofyll lösenord” och ”kom ihåg mitt lösenord”. Syftet med respondenternas användning av dessa funktioner varierade. Nedan presenteras svar från intervjustudien där respondenter summerar varför de använder dessa funktioner:
A-Respondent 1 – Funktionalitet, tillgänglighet och glömska. Det är så smidigt att
använda autofyll, den fyller ju in det åt dig. Sen brukar jag faktiskt glömma bort lösenord.
A-Respondent 2 – Det är ifyllt på vissa sidor, så jag klickar bara logga in. Det är
enkelt. Man behöver inte hitta på lösenord till massa konton, samt att de skrivs in automatiskt.
A-Respondent 7 – Jag använder det varje gång jag är inne på något. [Avser autofyll
av lösenord]. Skriver in lösenordet automatiskt. [Jag sparar] så många jag kan. Kanske 90%. Alla som möjligt så att jag slipper komma ihåg det.
A-Respondent 24 – Jag är oftast inloggad på det mesta, men när jag inte är det så
använder jag sådana här funktioner som ”autofyll” lösenord. Jag behöver inte komma ihåg dem, det är perfekt för mig tycker jag.
4.1.3 Enkelhet
Flera respondenter uttryckte att det fann enkelheten i lösenordshanterare som en betydande faktor i användandet. Respondenterna menade att i och med att några få knapptryck leder till att lösenord sparas och fortsätter att göra så kontinuerligt underlättade till stor del i memoreringsskedet av deras lösenordshantering.
A-Respondent 8 – Jag tycker det är riktigt smidigt att använda, (…). Det är inte bara
smidigt utan väldigt enkelt att använda och man sparar tid genom att inte behöva skapa massa lösenord och komma ihåg dem själv.
A-Respondent 20 – Det är enkelt och smidigt, jag har inte tänkt på det. Utan jag har
bara märkt att dessa alternativ har dykt upp och sedan klickat på det. Jag märker inte ens av att jag använder det.
A-Respondent 21 – Olika faktorer påverkar mig, att det är enkelt att använda är nog
den största och viktigaste faktorn. Sen är det smidigt och jag misstänker att det måste finnas någon slags säkerhet bakom det. Så jag är inte orolig över att någon ska kapa mitt Google Chrome-konto.
4.1.4 Tidseffektivitet
skriva in lösenordet besparas genom funktioner som autofyll. Nedan presenteras utdrag från intervjuer som diskuterar vilka faktorer som är avgörande vid valet av att använda lösenordshanterare.
A-Respondent 8 – Det är inte bara smidigt utan väldigt enkelt att använda och man
sparar tid genom att inte behöva skapa massa lösenord och komma ihåg dem själv.
A-Respondent 11 – Det är lätt att trycka på ”spara” samt smidigt och man sparar tid.
4.1.5 Säkerhet
Oro är en faktor som majoriteten av användande respondenter delar. Detta beror på att de ofta återanvänder samma lösenord på flera konton. De flesta är medvetna om att det är en risk, men lever med det eftersom det är mödosamt att komma ihåg flera lösenord. Samtidigt menar icke-användare att de inte upplever någon oro över hur säkra eller osäkra deras lösenord är. Nedan presenteras vad respondenter svarar på frågan ”Känner du någon oro över hur säkra dina lösenord är?”:
A-Respondent 2 – Lite grann, jag vet att de är osäkra men lever med det.
A-Respondent 6 – Kanske lite. Jag har använt några lösenord lite för många gånger. A-Respondent 14 – Ja, det gör jag. Men jag vet inte hur jag ska göra de säkrare heller. Nedan presenteras utdrag ur intervjuer där respondenter påpekar sin icke befintliga oro. IA-Respondent 4 – Nej, jag tycker de är rätt säkra. Jag tror inte att någon skulle kunna
hacka mig.
IA-Respondent 9 – Jag känner mig inte orolig över något sådant. IA-Respondent 33 – Nej, inte direkt.
Nedan presenteras respondenters oro över säkerheten i verktyget.
A-Respondent 1 – Ja, har svårt att lita på tjänsten, har ingen aning om var det lagras,
vem som har tillgång till det, hur det lagras, vad händer när någon får tag i lösenordet.
A-Respondent 7 – Det känns som att jag inte vill lämna ut allt, jag vill ha lite sådant
själv också. Det måste finnas någonting som är hemligt.
A-Respondent 13 – Ja. Känns som att om någon kommer in på min dator och ser ett
lösenord får de tag i alla lösenord jag har. De ser kanske det enkelt. Då hittar de alla lösenord.
IA-Respondent 10 – Jag tycker det känns bra med att ha det som jag har nu. Det känns
lite osäkert att man skulle ha ett lösenord för alla andra lösenord. Då känns det som att det bara finns en väg in till alla mina lösenord.
IA-Respondent 22 – Jag är skeptisk mot att ha ett lösenord för alla mina lösenord, det
4.1.6 Memorering
Respondenter ombads att svara på frågan huruvida de hanterar sina lösenord i nuläget. Frågan avsåg att besvara om de i nuläget memorerade, antecknade eller om de använde sig utav en lösenordshanterare. Majoriteten av respondenterna svarade att de memorerade sina lösenord. Samtidigt som några få av respondenterna skrev ner sina lösenord på papper. I vissa fall förekom också att respondenter noterade lösenord i sin mobiltelefon.
A-Respondent 1 – Jag sparar de flesta i huvudet och enstaka i mobilen, sedan ett fåtal
webbsidor med auto-login.
A-Respondent 11 – Alltså de är i mitt huvud eller nedskrivna i anteckningar på
mobilen. Det är inte mycket att jag behöver komma ihåg för det kanske skiljer sig något tecken från konto till konto.
A-Respondent 13 – På mina anteckningar i mobilen, fast vissa kommer jag ihåg. (…).
Men om jag gör nya skriver jag det i anteckningar. Eller i kontakter skriver jag det.
IA-Respondent 4 – Jag skriver ner mina lösenord på papper.
IA-Respondent 10 – Jag memorerar och skriver ner dem i en liten bok.
4.1.7 Behovsbrist
Icke-användare av webbläsares inbyggda lösenordshanterare hade som främsta faktor till sitt icke-användande att de inte hade något behov av verktyget. Detta uppenbarades genom frågan: ”Vilka faktorer påverkar ditt val att inte använda en lösenordshanterare?”. Nedan presenteras empiri från intervjuer med icke-användande respondenter som inte uppvisade något behov av verktyget.
IA-Respondent 9 – Jag tycker om konceptet om den här hanteraren, men jag är en
60-årig gubbe som inte tillhör den generationen som använder all denna teknologi. Hade jag använt min dator mer, så skulle jag kunna tänka mig att använda denna tjänst för jag glömmer saker.
IA-Respondent 23 – Som sagt, behovet för mig är verkligen minimalt eftersom jag
bara har ett lösenord. Men om jag i framtiden skulle ändra lösenord och skaffa fler konton på sajter så skulle jag säkert kunna tänka mig använda det på min mobil.
4.1.8 Kunskapsbrist
I intervjuerna som hållits med respondenterna ställdes frågan ”Har du vetskap om vad en lösenordshanterare är?”. Om svaret var ”Nej”, presenterades lösenordshanterare i korta drag. Respondenterna ändrade sedan sitt svar till ett ”Ja” då de någon gång använt funktioner som en lösenordshanterare innehar. Nedan presenteras utdrag från intervjuer där respondenter först inte visste vad en lösenordshanterare var, men som efter
A-Respondent 5 – Ja, men det har jag. Jag visste inte om att det var det. För att dra
jobbmässigt då, när jag attesterar löner till människor och när vi går in på olika interna sidor. När jag ansluter kommer lösenordet fram och så trycker jag OK. Sen går jag in i det (systemet).
A-Respondent 7 – Det har jag varit med om. Jag använder det varje gång jag är inne
på något. Skriver in lösenordet automatiskt.
A-Respondent 20 – Det använder jag isåfall, typ när Chrome frågar om den ska spara
ditt lösenord. Då klickar jag på ja.
A-Respondent 24 – Jo, det har jag använt många gånger. Det är därför jag inte
behöver skriva in mina lösenord på olika webbsidor. Safari sparar dem för jag klickar på spara lösenord.
I följande del presenteras kunskapsbrist som tydliggjorts ur intervjuer med icke-användare av webbläsares inbyggda lösenordshanterare.
IA-Respondent 4 – Jag visste inte att det existerade, jag använder inte min dator
särskilt mycket. Det är telefonen som jag använder. På jobbet så använder jag datorn.
IA-Respondent 22 – Nej, det har jag inte. Jag litar inte på något sådant. Jag är mest
trygg när jag får skriva in mina egna lösenord själv.
4.1.9 Fortsatt användning
Nedan presenteras huruvida respondenter skulle kunna tänka sig att fortsätta använda verktyget och vilka funktioner de anser skulle vara mest fördelaktiga för dem.
A-Respondent 6 – Det här synkroniseringsfunktionen tror jag. För då slipper man
komma ihåg på både telefon och dator. Det här med att lösenord kategoriseras tror jag skulle vara bra också.
A-Respondent 12 – Då skulle jag vilja ha ett lösenord för att komma åt alla andra
lösenord, ett huvudlösenord. Jag skulle använda de flesta funktionerna tror jag.
Nedan presenteras huruvida respondenter skulle kunna tänka sig att fortsätta använda verktyget, men istället summerar de vilka funktioner de anser skulle vara minst fördelaktiga för dem.
A-Respondent 17 – Huvudlösenord har jag väl aldrig känt att jag behöver ha.
Tvåstegsverifiering använder jag på vissa sidor, och det är ju bra. Men ibland kan det vara lite segt att man ska behöva öppna telefonen. Dagens samhälle, vi orkar ju inte lyfta fingret tre gånger. Det händer inte jätteofta att jag behöver göra det, men det är småirriterande när man behöver göra det.
A-Respondent 18 – Generering av lösenord fungerar ju om man använder samma
datorn, sedan åker jag till jobbet och behöver komma in på samma profil. Då har jag en annan webbläsare på jobbet, då är det kört. För jag har ingen aning om vad det där slumpmässiga lösenordet är. Jag skulle inte jätteofta gå in med ett huvudlösenord och kolla på mina lösenord om mina lösenord var slumpmässiga. Man kommer helt och hållet ignorera vad det är för lösenord och bara använda lösenordshanteraren hela tiden. Bara om man byter enhet då.
4.1.10 Funktionsförslag
Flertalet användare efterfrågade funktioner för tjänsten BankID som tänkt säkerhetsfaktor vid deras användande av lösenordshanterare.
A-Respondent 5 – Men jag kan tänka mig ekonomi, som sitter hemma och jobbar nu.
Många sitter hemma. Där kanske man skulle ha en finess att man skulle logga in med BankID för att komma in, eller typ ett BankID, för att säkerställa att du är du. När de ska in och göra alla transaktionerna.
A-Respondent 19 – Om jag fick sätta in en funktion. Då är det Mobilt BankID, eller
FaceID eller någon av dem. Just för att jag använder 90% av alla engångskonton, det är på mobilen. För att få snabb åtkomst via FaceID.
A-Respondent 27 – Om BankID skulle komma. Jag har stort förtroende för det, men
det kan ju säkert också hackas. Men det tycker jag är en bättre lösning än lösenord. Det känns trovärdigt och smidigt.
4.2 Dataanalys
I detta avsnitt framförs en analys på vad användare samt icke-användare svarar om olika ämnen kring lösenordshantering, dessa ämnen är betydande för att besvara frågeställningarna samt uppfylla syftet i studien.
4.2.1 Funktionalitet
De flesta respondenterna använder sig av lösenordshanterare, de uttrycker att verktyget fungerar bra och snabbt samt att det är något som används dagligen. Vetskapen om hur funktionerna fungerar och vad det innebär existerar inte hos majoriteten av respondenterna, respondenterna är inte medvetna om vad en lösenordshanterare är förrän det berättats om de olika funktionerna trots att verktyget används dagligen.
4.2.2 Enkelhet
Respondenter uttrycker som tidigare nämnt att enkelheten i verktyget är av stor vikt. De flesta menar att det är smidigt och enkelt att komma ihåg sitt lösenord med verktyget, genom ett enkelt knapptryck. Detta sparar sekunder, om inte minuter, under efterföljande inloggningar på webbsidor. Flera respondenter menade att de knappt märkt att de sparat sitt lösenord i lösenordshanteraren, utan märkte detta nästa gång de
4.2.3 Tidseffektivitet
Tid var dessutom en betydande faktor i användandet av lösenordshanterare för användare av verktyget. Flertalet respondenter påvisade att den tid som besparades med verktyget innebar mindre huvudbry när lösenord skulle skrivas in och underlättade deras vardag och arbete. En respondent uttryckte ett visst missnöje med att behöva skriva in en kod på sin telefon varje gång hen låste upp telefonen. Respondenten hade därför valt att inte använda funktionen, detta för att minska den tid som det tar att låsa upp telefonen. Respondenten ansåg att den enkelhet och den tidsbesparing en lösenordshanterare uträttade för hen skulle spela en betydande roll om verktyget fanns tillgängligt överallt.
4.2.4 Säkerhet
Den generella slutsatsen kring upplevda risker med lösenordshanterare skiljer sig åt mellan respondenternas svar. En del känner ingen oro alls över säkerhet, då de anser att de konton de har inte är särskilt utsatta. Samtidigt menar andra respondenter att oron finns där, trots att de använder verktyget, men att de inte vet hur de ska skydda sig bättre.
Ett flertal respondenter i intervjustudien uttrycker oro över säkerheten som erbjuds i verktyget. Framför allt grundar sig den största oron i att ha ett huvudlösenord för alla lösenord. Respondenter som inte använder lösenordshanterare har en större tendens att känna att säkerheten är av stor vikt, och vill därav inte använda sig av ett huvudlösenord. Respondenter uppvisar dessutom en viss oro över hur säkra deras lösenord är. Många av respondenterna menar att majoriteten av deras lösenord är precis likadana, eller med viss variation av tidigare lösenord. Slumpmässig generering av lösenord är en funktion som hamnar i skymundan för användare i de allra flesta lägen. Där användarna anser att funktionen endast skulle vara en omständlig faktor.
4.2.5 Memorering
Både användare och icke-användare anger att memorering är grunden till varför man använder lösenordshanterare respektive anledningen man inte gör det.
Respondenter som använder lösenordshanterare anger att motivet är att man vill slippa komma ihåg sina lösenord, detta eftersom man har flera konton vilket gör det svårt för användarna att hålla reda på alla sina lösenord.
Det gemensamma draget hos icke-användare var att de hade färre än fem konton, samt att deras sätt att hantera lösenord var genom att komma ihåg dem och skriva in lösenordet varje gång de loggade in på en webbsida.
4.2.6 Behovsbrist
En större mängd av icke-användare menade att behovsbrist var en betydande faktor. Behovsbristen som uppgavs finnas menade icke-användarna hade ett direkt samband med datorvana och datoranvändning. Flera av respondenterna sa att de sällan använder datorer och hade därav inget behov av en lösenordshanterare. Respondenterna menade dessutom att de har så pass få lösenord att de inte har behov av en lösenordshanterare. Någon enstaka respondent sa att hen använde datorn ofta men valde att inte använda lösenordshanterare då memorering och papperslappar var metoder som istället fungerade för respondenten.
4.2.7 Kunskapsbrist
Flera av de respondenter som valde att besvara intervjufrågan; ”Finns det områden du skulle vilja se förbättringar inom?” gjorde detta med svar som påvisade att kunskapsbristen i viss mån var hög. Respondenterna har ingen vetskap om vad uttrycket betyder men följer efter en förklaring av dess innebörd upp med att de använder verktyget dagligen. Gällande funktionsanvändning var svar som återgavs i linje med de funktioner de flesta lösenordshanterare redan erbjuder. Dvs. synkronisering mellan enheter, huvudlösenord samt ett ”valv” för sparade lösenord.
5
Diskussion
I kapitlet diskuteras de genererade resultaten kopplat till tidigare studier. Vidare diskuteras begränsningar kopplat till metod och utförande.
Nedan (se tabell 2) presenteras en tabell med direkta svar på de frågeställningar som utformats. Tabellen visar statistik över faktorer som respondenter uppgav var avgörande till deras användande/icke-användande av lösenordshanterare vid intervjuerna.
Tabell 2. Resultat från frågeställningar.
Faktor Antal Antal i procent
Vilka faktorer påverkar privatpersoner att använda webbläsares inbyggda lösenordshanterare?
Användare Funktionalitet 5 19% Enkelhet 15 58% Tidseffektivitet 15 58% Säkerhet 4 15% Memorering 9 35%
Vilka faktorer påverkar privatpersoner att inte använda webbläsares inbyggda lösenordshanterare?
Icke-användare Behovsbrist 4 57% Kunskapsbrist 1 14% Säkerhet 2 29% Memorering 2 29% 5.1 Resultatdiskussion
Syftet med studien var att presentera en analys av faktorer som påverkar varför privatpersoner väljer att använda respektive inte använda webbläsarbaserade lösenordshanterare.
Enkelhet och tidseffektivitet var huvudfaktorer när användare summerade vilka faktorer de ansåg avgörande vid användandet av webbläsares inbyggda lösenordshanterare. Enkelheten beskrivs av användare i form av funktionen autofyll och att verktyget alltid finns tillgängligt när de använder sin webbläsare. Det krävs heller inga andra insatser för att använda verktyget så som användaren avser att använda det. Tidseffektivitet anses vara en faktor som är av betydande roll vid användandet. Den tid som besparar användare vid hanteringen av lösenord anses i de flest fall vara så pass avgörande att andra faktorer spelar mindre roll. Det kan dessutom summeras att flertalet användare anser att enkelhet och tidseffektivitet i samspel utgör en kombination som gynnar deras användande.
Det resultat som utvanns ur empiri och dataanalys visar att icke-användare av lösenordshanterare skiljer sig åt i faktorer som påverkar deras val att inte använda verktyget. Majoriteten (57%) menar att de inte har något behov av att använda lösenordshanterare av olika anledningar. Däribland att de inte innehar särskilt många konton på webbsidor eller att de inte använder sin dator särskilt ofta. Kategorin säkerhet visar att en viss oro finns hos respondenter inför lösenordshanterare. De känner sig inte bekväma med att lagra sina lösenord hos en extern part, utan väljer istället att säkra sina lösenord via memorering, i telefonen eller genom att skriva ner dem på papper. Säkerhetskategorin utgör 29% av respondenternas svar medan den sista kategorin, kunskapsbrist, utgör 11% av respondenternas svar. Att notera i detta avsnitt är att icke-användare endast valde att besvara avgörande faktorer med ett alternativ. Medan användare av lösenordshanterare såg flera faktorer som avgörande i deras val att använda verktyget.
En tidigare studie av FICO (2020) fann att endast 23% av amerikaner var användare av lösenordshanterare. I och med intervjustudien som hållits visade det sig att så mycket som 79% av respondenterna använde sig av lösenordshanterare. Detta kan tyda på att en intervjustudie, med en chans för förklaring och plats för mer djupgående svar, kan avtäcka andra resultat än en enkät. Detta presenteras väl i intervjustudien när respondenter får förklarat för sig vad en lösenordshanterare är, och därefter väljer att besvara sitt användande med ett positivt svar efter att ha visat tecken på kunskapsbrist kring vad verktyget är.
5.1.1 Enkelhet
Det resultat som presenteras kring enkelhet tyder på att funktionen i sig som lösenordshanterare förespråkar fungerar och mottas väl. Användare menar att verktyget inte är särskilt svårt att använda, samtidigt är enkelhet en majoritetsfaktor i resultatet. I Fagan et al. (2017) anser användare att funktioner och dess enkelhet och bekvämlighet väger högre än säkerhet. Det speglas i det resultat denna intervjustudie presenterar. Även Pearman et al. (2019) och Ciampa (2013) diskuterar att användare använder lösenordshanterare av anledningen att det är enkelt att använda verktyget. Det resultat som framkommit är i enlighet med den teori och forskning som finns presenterad sedan tidigare.
5.1.2 Säkerhet
I tidigare studier som utförts identifieras säkerhet som en betydande faktor till att använda lösenordshanterare. Bland annat diskuteras detta i Fagan et al. (2017) där författarna menar att säkerheten för icke-användare är viktigare än för användare av verktyget. Studien påpekar att användare snarare värderar de funktioner verktyget erbjuder högre än den nivå av säkerhet som erbjuds. Detta speglas i denna intervjustudie
