Lösenordspolicyer på populära webbsidor i Sverige. : En fallstudie för att undersöka lösenordspolicyer på 50 av de mest populära webbsidorna i Sverige.

Lösenordspolicyer

på populära

webbsidor i Sverige

HUVUDOMRÅDE: Informatik

FÖRFATTARE: Samuel Persson & Erica Håkansson

En fallstudie för att undersöka lösenordspolicyer på

50 av de mest populära webbsidorna i Sverige.

Detta examensarbete är utfört vid Tekniska Högskolan i Jönköping inom informatik. Författarna svarar själva för framförda åsikter, slutsatser och resultat.

Examinator: Anders Adlemo Handledare: Sigurd Israelsson Omfattning: 15 hp

Abstract

Today, text-based password is one of the most common ways to verify login to a web page and to protect the account against theft. These password attacks are becoming more and more effective every year, which means that it is important not to let passwords be guessable. The purpose of this study is to investigate how the most popular websites in Sweden handled password policies at present. The implementation of the case study included testing 50 web pages against 26 passwords in order to evaluate how effective the webpages policy was. By collecting data on these 50 webpage password policies, four questions could be answered: How do password policies look, how effective are the webpage's password policies, how have password policies changed over time and how different web categories differ.

The results of the case study indicate that several websites need to review their password policy. For example, only 22% of websites met the recommended requirements of NIST 800–63 and only a few webpages made major changes to their password policy over the last 5 years. Web pages that did not use password-based authentication systems are not used in this study.

Sammanfattning

Idag är text-baserat lösenord ett av de vanligaste sätten att verifiera inloggning mot en webbsida och för att skydda kontot mot stöld. Dessa lösenordsattacker blir allt mer effektiva för varje år vilket innebär att det är viktigt att inte låta lösenord bli gissningsbart. Syftet med denna studie är att undersöka hur de mest populära webbsidorna i Sverige hanterade lösenordspolicyer i dagsläget. Genomförandet av fallstudien inkluderade att testa 50 webbsidor mot 26 lösenord för att utvärdera hur effektiva webbsidornas policy var. Genom att samla in data om dessa 50 webbsidors lösenordspolicyer kunde fyra frågor besvaras: Hur ser lösenordspolicyer ut, hur effektiva är webbsidornas lösenordspolicyer, hur har lösenordspolicyer förändrats med tiden och hur skiljer sig olika webbkategorier.

Resultaten från fallstudien visar på att flera webbsidor behöver se över deras lösenordspolicy. Exempelvis var det bara 22% av webbsidorna som uppfyllde de rekommenderade kraven från NIST 800–63 och det var endast ett fåtal webbsidor som har gjort större förändringar i sin lösenordspolicy under 5 års tid. Webbsidor som inte använde sig av lösenordsbaserade autentiseringssystem används ej i denna studie.

Nyckelord

Innehållsförteckning

1

Introduktion ... 1

1.1 BAKGRUND ... 2

1.2 PROBLEMBESKRIVNING ... 2

1.3 SYFTE OCH FRÅGESTÄLLNINGAR ... 3

1.4 OMFÅNG OCH AVGRÄNSNINGAR ... 4 1.5 DISPOSITION ... 4

2

Teoretisk bakgrund ... 5

2.5 SKYDD MOT LÖSENORDSATTACKER ... 8

3

Metod och genomförande ... 10

3.1 FORSKNINGSANSATS ... 10

3.2 DATAINSAMLINGSMETODER OCH DATAANALYS ... 10

3.3 UTFORMNING AV FALLSTUDIE ... 12

3.3.1 Val av webbsidor och lösenord ... 12

3.3.2 Kriterier som granskas ... 13

3.3.3 Begränsningar på kriterier:... 14

3.4 TROVÄRDIGHET ... 15

4

Resultat ... 16

4.1 HUR SER LÖSENORDSPOLICYER UT PÅ DE MEST POPULÄRA WEBBSIDOR HOS SVENSKAR I DAGSLÄGET?[F1] ... 16

4.2 HUR EFFEKTIVA ÄR WEBBSIDORNAS LÖSENORDSPOLICYER MOT DE VANLIGASTE

LÖSENORDEN I SVERIGE?[F2] ... 20

4.3 HUR HAR LÖSENORDSPOLICYER FÖRÄNDRATS MED TIDEN?[F3] ... 23

4.4 HUR SKILJER SIG OLIKA WEBBKATEGORIER?[F4] ... 24

5

Diskussion och slutsatser ... 27

5.1 RESULTATDISKUSSION ... 27

5.2 METODDISKUSSION ... 29

5.3 SLUTSATSER OCH REKOMMENDATIONER ... 30

5.4 VIDARE FORSKNING ... 33

6

Referenser ... 34

1

Introduktion

I de flesta system har användare i uppdrag att skapa ett lösenord som bör vara både säkert och lätt att minnas. Därefter ska användaren kunna memorera lösenordet för att framtida inloggningar ska fungerar. Denna utmaning kan leda till misslyckande med en eller flera av aspekterna och resultera i att lösenordet är gissningsbart. Användare saknar nämligen ofta kunskap om vad som är säkert mot lösenordsattacker.

I ett par studier [1], [2], [3] framgår det att arbeten pågår för att få bort lösenord och ersätta det med bättre autentiseringsmetoder. Men i nuläget är lösenord det mer populära valet som autentiseringsmetod för webbsidor. För en del webbsidor finns det val att använda tvåfaktorsautentisering för att höja säkerheten till användarens konto. Trots att tvåfaktorautentisering erbjuds på många sidor innebär det inte att det används. En studie från Google [4] visar att mer än 90% av alla Gmail-användare inte använder sig av tvåfaktorsautentisering för att göra deras konton säkrare.

Med detta i åtanke kommer detta arbete handla om en fallstudie om lösenordsledning och policyhantering på populära webbsidor i Sverige. Arbetet är bland annat inspirerat av [5], där vanliga lösenord testades mot dem mest populära webbsidorna i USA och Kina för att jämföra policyhantering mellan de två länderna. Fallstudien kommer också undersöka om lösenordspolicyer på webbsidor har förändrats de senaste fem åren och jämföra hur olika webbsidor från olika kategorier implementerar lösenordspolicyer.

1.1 Bakgrund

Det finns många olika autentiseringsmetoder men lösenord är den vanligaste autentiseringsmetoden på webbsidor [5] , vilket gör att lösenord blir ett relevant område att undersöka. I studien [5] pekar författarna ut att en stor andel av alla webbsidor idag har en typ av lösenordspolicy, men komplexiteten varierar i kraven på lösenordet. Lösenordspolicyer behövs eftersom det skyddar mot attacker genom att presentera användaren med ett antal krav på lösenordet som användaren ska uppfylla. Anledningen till detta är att användare har en tendens att välja lösenord som är lätta att komma ihåg [5], vilket innebär en säkerhetsrisk för dem. En till studie [6] som utreder styrkan av olika lösenordspolicyer beskriver varför lösenordpolicyer finns och vad syftet med dem är och säger samma sak som studie [5] att användare har en tendens att välja lösenord som är lätta att komma ihåg. Skillnaden är att [6] också nämner att lösenordspolicyer förhindrar skapandet av lättgissade lösenord.

Slutsatsen i [5] säger att fler sidor och tjänster från andra länder ska testas för att få en mer komplett bild av hur lösenordspolicyer hanteras i hela världen. Vilket inspirerade en liknande studie [7] i Sydafrika där de undersökte 30 av de mest populära webbsidorna i Sydafrika. En liknande studie som [5], [7] har valts att utföras som vårt examensarbete som en del av vår utbildning eftersom andra studier [5], [7] säger att fler studier ska utföras i andra länder och på fler webbsidor.

1.2 Problembeskrivning

Wang och Wang [5] testade 50 webbsidor från USA och Kina med olika lösenord för att se vad som tilläts att ha som lösenord. Problemet beskrivs tydligt om webbsidor och deras lösenordspolicyer i studien [5] där de kommer fram till att webbsidornas lösenordspolicyer inte lever upp till sitt syfte. Där syftet är att förhindra obehöriga personer från att kunna gissa sig fram till lösenord och genom det få tillgång till konton [5]. “This implies that, currently, the policies enforced in leading sites largely fail to serve their purposes, especially vulnerable to targeted online guessing attacks” [5, s. 456].

En av anledningarna till att policyer inte lever upp till sitt syfte är att det finns många olika policyer. “We find that the policies are highly diversified among the studied sites and largely fail to withstand online guessing attacks.” [5, s. 474].

Wang och Wang [5] kom fram till resultatet att inga av de undersökta webbsidorna använde samma lösenordspolicy. “As no two services examined share the same password rule, there seems to be no generally agreed-upon practice.” [5, s. 469]. Men inte bara att ingen använde samma policy utan också att det inte tycks finnas någon

överenskommelse på en gemensam lösenordpolicy för best practice, även om National Institute of Standards and Technology (NIST) [8] har publicerat en standard.

Problemet som då leder till den här studien är att studien [5] utfördes på amerikanska sidor och kinesiska sidor men inte på svenska webbsidor. Wang och Wang [5] säger att fler webbsidor med andra språk och tjänster ska undersökas.

“A natural future work is to incorporate more samples sites (e.g. medium sites, and sites from other languages and services) and investigate more types of password policies (such as password change, lockout and expiration), gaining a more complete picture of the whole password ecosystem and proposing well-grounded policy recommendations” [5, s. 474].

Med ovannämnda anledningar resulterar det i att vanliga lösenord tillåts på webbsidor vilket riskerar kontostölder [9]. Wang och Wang [5] testade 16 olika lösenord på webbsidorna och resultatet blev att av 800 tester, accepterades 541 lösenord [5]. Tre av lösenorden som användes i studie [5] som också kommer att användas i denna studie är “123456, 123456789 och password”.

1.3 Syfte och frågeställningar

Syftet med denna studie är att undersöka hur de mest populära webbsidorna i Sverige hanterar lösenordspolicyer i dagsläget.

För att kunna besvara syftet har det brutits ned i fyra frågeställningar. För att ta reda på och kunna presentera statistik om hur lösenordspolicyerna på webbsidorna hanteras måste det först undersökas hur policyer på webbsidorna ser ut och vilka krav de ställer. Därmed är studiens första frågeställning:

[F1] Hur ser lösenordspolicyer ut på de mest populära webbsidorna i Sverige idag? Hur effektiva lösenordspolicyer är mot de vanligaste lösenorden i Sverige kommer undersökas genom att testa hur många av dem som accepteras eller inte. Detta kommer att bidra med att konstatera den lägsta säkerhetsnivån för lösenord på de utvalda webbsidorna. Eftersom de vanligaste lösenorden är mycket enkla, som till exempel ”123456”, ”qwerty och ”password”, kommer också flest antal användare att påverkas. Användare som väljer mer komplexa lösenord, som exempelvis “Gkj32TY#!kaz” ingår alltså inte i den här studien. Därmed är studiens andra frågeställning:

[F2] Hur effektiva är webbsidornas lösenordspolicyer mot de vanligaste lösenorden i Sverige?

Genom att jämföra hur lösenordspolicyer på webbsidorna har sett ut tidigare kan förändringar beläggas. Att undersöka kronologiska förändringar bidrar till en förståelse för hur webbsidornas ägare hanterar lösenordpolicyer. Därmed är studiens tredje

[F3] Hur har lösenordspolicyer förändrats med tiden?

Att dela upp webbsidorna i olika kategorier är intressant eftersom det då kan undersökas om det är lösenordspolicyers generellt som tillåter de vanligaste lösenorden eller om det är webbsidornas innehållskategorier specifikt som tillåter dessa. Om till exempel alla webbsidor i kategorin nyheter och media tillåter fler lösenord jämfört med webbsidor inom kategorin sociala nätverk som kanske inte tillåter något lösenord, kan en skillnad konstateras. Då blir det intressant att ta reda på varför det skiljer sig. Därmed är studiens fjärde frågeställning:

[F4] Hur skiljer sig olika webbkategorier?

1.4 Omfång och avgränsningar

Webbsidor som inte har lösenordsbaserade autentiseringssystem, till exempel banker, kommer inte vara en del i fallstudien. Webbsidor som inte gick att testa via “Archive.org” eller som inte fanns med i en tidigare studie kommer inte att jämföras i F4. Ifall Archive.org och tidigare studier inte innehåller information om en webbsida fem år tillbaka innebär det att ingen jämförelse kan ske för hur det ser ut idag.

1.5 Disposition

Efter dispositionen presenteras fortsätter kapitlet teoretisk bakgrund som beskriver hur en lösenordspolicy är uppbyggd och hur det relaterar till NIST och lösenordsattacker samt att centrala begrepp förklaras. Efter det presenteras kapitlet metod och genomförande som beskriver studiens arbetsprocess vilket inkluderar: varför en fallstudie har valts, vad är det en fallstudie innehåller samt hur lösenord och webbsidor blev valda. Kapitlet avslutas med en diskussion kring studiens trovärdighet. Studien presenterar sedan resultat där empiri från fallstudien presenteras och där frågeställningarna analyseras utifrån resultaten av fallstudien. Avslutningsvis presenteras kapitlet diskussion och slutsatser där studiens viktigaste resultat beskrivs och diskuteras. Dessutom presenteras det slutsatser av resultatet och rekommendationer för lösenordspolicyer tas upp. Kapitlet avslutas med förslag på vidare forskning.

2

Teoretisk bakgrund

I detta kapitel presenteras en överblick om de tidigare studierna som ligger till grund för denna studie. Kapitlet kommer innehålla information om lösenord och begrepp som kommer användas i rapporten.

Begrepp:

• Blacklist

o En lista av bannade populära lösenord eller strukturer [5]. Ett exempel när en blacklist är effektiv är mot en guessing attack. Det nämns i [10] för att skydda sig mot en guessing attack behövs de mest populära lösenorden förhindras att användas, vilket är möjligt med en blacklist. • Feedback

o Information som ges till användaren vid inmatning av lösenord, exempelvis ”Lösenordet måste vara minst 8 tecken.” Denna information kan både vara en guidning till att uppfylla webbsidans lösenordskrav eller ge bedömning på hur starkt ett lösenord. • Populära lösenord

o Definitionen av populära lösenord i denna studie kommer att vara 26 lösenord som hämtats från en rapport av Internetstiftelsen [11]. Där de presenterar de 26 populäraste lösenorden i Sverige.

2.1 Tidigare studier

De tre tidigare studierna [5], [7], [12] ligger som grund till denna studie. I studien [5] genomfördes en empirisk studie av 50 lösenordpolicyer på populära webbtjänster. Dem testade 20 policyer på webbsidor från USA och 30 policyer från Kina. Från resultatet i artikeln beskriver Wang och Wang om att de policyer som tillämpas på ledande webbsidor misslyckas i stort sett med sina syften och låter sårbara lösenord skapas [5]. I artikeln [7] undersöktes 30 olika webbsidor från Sydafrika för att komma fram till ifall de 10 vanligaste lösenorden accepterades. Resultatet från studien visade på att de flesta webbplatser ansåg de 10 vanligaste lösenorden var acceptabla. Artikeln [7] beskrev hur vissa webbsidor inte visade kraven på lösenord. Endast ett fåtal webbsidor gav feedback i realtid samt effektiv vägledning under lösenordsgenerering. Artikel [12] är en grund till frågeställning 3, “Hur har lösenordspolicyer förändrats med tiden?”. Denna studie publicerades i december 2014 där Steven Furnell undersökte ifall webbsidor har förändrat deras lösenordspolicy genom åren. I Furnells studie observerade han webbsidorna för att se ifall förändringar har skett mellan 2007 till 2011 och 2011 till 2014. Från resultatet beskrev Furnell att mellan 2011 och 2014 var det inte mycket förändringar som har skett i jämförelse med 2007 till 2011.

2.2 Lösenordspolicy

En lösenordspolicy består av regler som är gjorda för att stärka datasäkerheten genom att uppmuntra användare till att använda lösenord som inte är förutsägbara och använda dem på rätt sätt.

En lösenordspolicy består av regler som nämnt i centrala begrepp. Lösenordspolicyer ser dock olika ut på webbsidor som nämnt i [5] men de webbsidor har också delar av sina lösenordspolicyer som är gemensamma. De delar av lösenordspolicyer som har testats i tidigare studier [5], [7] som undersöker lösenordspolicyer är följande;

a. Minimumgräns och maxgräns för hur många tecken. b. Krav på teckenuppsättning.

c. Krav på symboler.

d. Om det används en blacklist.

e. Om det framgår vilka regler som måste följas för lösenordet.

2.3 Riktlinjer för lösenord

National Institute of Standards and Technology (NIST) ansvarar för att utveckla standarder och riktlinjer för informationssäkerhet. För denna studie kommer ett urval av riktlinjer från NIST SP 800–63, att användas [8]. Urvalet av riktlinjerna från NIST SP 800–63 kommer att presenteras nedan. Anledningen till att NIST:s riktlinjer valdes är för att organisationen arbetar med standardisering och utvecklar riktlinjer inom informationssäkerhet. Det som är viktigt att ha i åtanke är att NIST riktlinjerna är mycket större och omfattande än de fem riktlinjerna som valdes att kolla på. De här fem riktlinjerna passade den här studien eftersom de var möjliga att testa och det var därför de valdes.

Urvalet av riktlinjer från NIST SP 800–63:

A. Minst åtta tecken och en maximal längd på minst 64 tecken.

B. Möjligheten att använda alla specialtecken men inga speciella krav för att använda dem.

C. Begränsa sekventiella och repetitiva tecken, till exempel 12345 och aaaaaa. D. Begränsa sammanhangsspecifika lösenord, till exempel webbplatsens

namn.

För att få en koppling mellan NIST:s riktlinjer och vad tidigare studier har undersökt demonstrerar tabell 1 hur varje riktlinje från NIST förhåller sig till de delar av lösenordspolicyer som tidigare studier har undersökt.

Tabell 1: Koppling mellan utförda studier och NIST riktlinjer av lösenordspolicyer

A B C D E a b c d 2.4 Lösenordsattacker

Det finns tre olika lösenordsattacker som är relevanta för denna studie. Dem är relevanta på det sättet att veta vad det finns för attacker leder till att det blir lättare att förstå varför dem riktlinjer som finns är relevanta. De tre olika lösenordattacker kommer att beskrivas nedan.

“Guessing attack: En guessing attack är när en obehörig användare försöker logga in

på ett system genom att gissa användarnamn och / eller lösenord. Brute-force attack och Dictionary attack är en typ av en guessing attack. ” [13].

“Brute-force attack: Idén med denna attack är att systematiskt prova alla möjliga

lösenord tills det rätta hittas. Lösenordets längd avgör hur genomförbart det skulle vara att utföra en brute-force-attack för att få lösenordet. Svårigheten att hitta ett lösenord med en brute-force attack växer exponentiellt med längre lösenord.” [13].

“Dictionary attack: Denna attack försöker att bestämma användarens lösenord genom

att bara försöka sannolika möjligheter i motsats till en attack för brute-force. Dessa möjliga lösenord finns vanligtvis i en lista med ord. Lösenord som består av enstaka ord som finns i ordböcker är mycket svaga mot den här typen av attack” [13].

En anledning till att lösenordsrekommendationer finns är för att skapa lösenord som är resistenta mot olika typer av lösenordsattacker. I tabell 2 visas det vilka regler som hjälper till att skydda mot vilken typ av lösenordsattack.

Tabell 2: Regler som hjälper till att skydda mot olika lösenordsattacker.

A B C D E

Guessing attack

Brute-force attack

Dictionary attack

Lösenordsattacker utförs i olika steg som presenteras i figur 1 där lösenordsattacker testar allt från inget lösenord till alla lösenord som finns oberoende av hur långt lösenordet är. Som nämnt tidigare i beskrivningen av en brute-force attack så ökar svårighetsgraden att få fram att lösenord exponentiellt med längre lösenord.

Figur 1: Lista över steg som en angripare kan använda för att få fram lösenord sorterat i ordning av svårighetsgrad [14].

Att se hur en lösenordsattack kan utföras steg för steg gör det tydligt varför de rekommendationer som finns är begripliga. Ett exempel är om det inte skulle funnits något minimum krav hade det resulterat i låg entropi. Vilket hade gjort att en lösenordsattack hade kunnat lyckas redan vid första steget. Genom att bara sätta en minimumgräns eller höja minimumgränsen ökar entropin. Vilket resulterar i att steg 1 av en lösenordsattack inte kommer lyckas. Ännu ett exempel är steg 4 i figur 1 som hade kunnat förhindras av en blacklist.

2.5 Skydd mot lösenordsattacker

Det finns två olika skydd mot lösenordsattacker som inte är lösenordspolicyregler utan är separata säkerhetsåtgärder som kan implementeras på webbsidor. De två skydden är lockout och tvåfaktorautentisering. Lockout är en begränsning av hur många försök en användare får på sig att logga in på sitt konto innan kontot blir låst eller blir tvingad till

att verifiera sig själv att de inte är en robot. Lockout är ett effektivt skydd mot brute-force-attacker och guessing-attacker [10]. En lockout på en webbsida kan till exempel tillåta max tre försök på 30 minuter, vilket leder till att brute-force attacken kommer ta väldigt lång tid [14]. Både tvåfaktorautentisering och lockout är gjorda för att skydda mot olika lösenordsattacker. Tvåfaktorsautentisering är dock speciellt på det sättet att det skyddar mot alla typer av lösenordsattacker eftersom angriparen måste ha både lösenordet och den enhet som tvåfaktorsautentisering generar sin nyckel eller kod på [15].

3

Metod och genomförande

Kapitlet ger en översiktlig beskrivning av studiens arbetsprocess. Vidare beskrivs studiens ansats och design. Därtill beskrivs studiens datainsamling och dataanalys. Kapitlet avslutas med en diskussion kring studiens trovärdighet.

3.1 Forskningsansats

En fallstudie kommer att utföras på varje webbsida och därmed ge oss kvantitativa data. Fallstudier är användbara när frågor som “varför?” och “hur” ska besvaras [18], [19]. Vilket passar bra till de fyra frågeställningarna där ”hur” ska besvaras. En fallstudie är också användbar där forskaren har lite eller ingen kontroll och där ett beteende inte kan manipuleras [18], [19]. En fallstudie ska utföras i sin naturliga omgivning eller verkliga livet [18], [19]. Eftersom denna studie utförs i realtid där det inte går att kontrollera eller manipulera det som observeras passar fallstudie bra som metodval. Fallstudier kan innehålla enstaka eller multipla fall där flera fall föredras [19]. Den här studien innehåller 50 olika webbsidor vilket resulterar i 50 olika fall.

Fallstudier ska undersöka individer, event, program, process, fenomen eller organisationer. I det här fallet blir det en jämförelse mellan olika organisationer och deras process (när ett konto skapas på deras webbsida) [18], [19]. Empiriska data från webbsidorna kommer att antecknas i Excel-dokument. Där kommer sedan resultatet att analyseras och generera statistik.

3.2 Datainsamlingsmetoder och dataanalys

Kvantitativa data är något som är mätbart, vilket de fyra frågeställningar kommer få fram, till exempel hur många webbsidor som tillåter ett lösenord eller hur många webbsidor som använder sig av tvåfaktorautentisering. Fallstudier rekommenderas när olika källor används för datainsamling som studien [19] beskriver nedan:

“Typically case study research uses a variety of evidence from different sources, such as documents, artefacts, interviews and observation, and this goes beyond the range of sources of evidence that might be available in historical study” [19, s. 17].

I det här fallet kommer datainsamling ske via observationer när ett konto skapas och där olika dokument på webbsidorna kommer att läsas till exempel vad de har för policyer och om de har tvåfaktorautentisering.

Tabell 3 beskriver kopplingen mellan studiens frågeställningar och använda metoder genom att jämföra frågeställningarna mot vad en fallstudie ska innehålla.

Tabell 3: beskriver kopplingen mellan studiens frågeställningar och använda metoder. Frågeställningar Fallstudie (Hur/Vad) Kvantitativa Data Observation /Dokument Multipla fall

Hur ser lösenordspolicyer ut på de mest populära webbsidorna i Sverige idag?

Hur effektiva är webbsidornas lösenordspolicyer mot de vanligaste lösenorden i Sverige?

Hur har lösenordspolicyer förändrats med tiden?

Hur skiljer sig olika webbkategorier?

För att besvara studiens första frågeställning (Hur ser lösenordspolicyer ut på de mest populära webbsidorna i Sverige idag? visar Tabell 3 att det är en hur fråga som ska besvaras. Det är kvantitativa data som samlades in och det var insamlat genom observationer som gjordes när ett konto på en webbsida skapades och genom att läsa diverse dokument som webbsidorna hade. Det var också flera olika fall som undersöktes.

För att besvara studiens andra frågeställning ” (Hur effektiva är webbsidornas lösenordspolicyer mot de vanligaste lösenorden i Sverige?)” visar Tabell 3 att det också är en hur-fråga som ska besvaras. Det är kvantitativa data som samlas in till exempel genom att mäta hur många lösenord som accepteras på webbsidorna. Vilket också kommer att ske genom att ett konto skapas på de olika webbsidorna. Det kommer också här vara flera olika fall.

För att besvara studiens tredje frågeställning ” (Hur har lösenordspolicyer förändrats med tiden?)” visar Tabell 3 att även detta är en hur-fråga som ska besvaras. Det kommer också här att vara kvantitativdata som samlas in genom att testa att skapa ett konto på samma webbsidor som studien utförs på men några år bakåt. På några webbsidor kommer det inte gå att genomföra att skapa ett konto men några lösenordspolicyer kommer gå att läsa genom feedback från webbsidorna men att ett riktigt konto då inte skapas. Här kommer det inte vara test i realtid men forskaren kommer fortfarande inte att ha kontroll över beteendet av webbsidan. Även här kommer det vara flera olika fall som kommer att undersöka dock kommer det vara färre.

För att besvara studiens fjärde frågeställning ” (Hur skiljer sig olika webbkategorier?)” visar Tabell 3 att det är en hur-fråga som ska besvaras. Här används också kvantitativa

Observation/Dokument röd markerat. Statistiken som samlas in från frågeställningar ett och två kommer att jämföras vilket leder till den fjärde frågeställningen där det också flera olika fall som kommer att jämföras.

3.3 Utformning av fallstudie

I detta kapitel presenteras val av webbsidor och lösenord samt vilka kriterier som fallstudien kommer undersöka på webbsidorna.

3.3.1 Val av webbsidor och lösenord

Sammanlagt kommer 50 webbsidor att testas. Webbsidorna kommer från topp 50 listan från Alexa.com [16] som både studierna [5], [7] använder sig av. I Sverige räckte det inte med att ta topp 50 från Alexa.com utan Similarweb.com användes också för att komma upp i 50 testwebbsidor. Valet av de mest populära webbsidorna är baserat på att de har mest trafik och påverkar flest användare, vilket också stöds av studier som [5], [7]:

“It is expected that these sites influence a number of end-users and may set a standard [9] on password requirements for South African sites. In addition, their popularity might inspire a desire to conform to international password requirement best practices.” [7, s. 33].

“Therefore, the password practices used by these sites will impact on the major fraction of end-users and may also became a model for other less leading sites (which generally are with less technical, capital and human resources).” [5, s. 460].

Alla webbsidor delades sedan upp i kategorier baserat på vilken tjänst som webbsidorna erbjuder. Sammanlagt är det 10 olika kategorier där (n) representerar hur många webbsidor det är i varje kategori:

• E-handel (10) • E-mail (2)

• Konst och underhållning (1) • Nyheter och media (10)

• Offentliga register och kataloger (2) • Ordböcker och uppslagsverk (2) • Sociala nätverk (9)

• Sökmotorer (1)

• Tv-filmer och/eller streamingtjänst (8) • Vuxen (5)

Lösenorden som kommer att användas är från en rapport utgiven av Internetstiftelsen [11]. Där de presenterar 26 av de mest använda lösenorden i Sverige. Lösenorden väljs av samma anledning som webbsidorna eftersom de påverkar flest användare.

3.3.2 Kriterier som granskas

Lösenordspolicyn på varje webbsida kommer att undersökas genom att granska de olika kraven som ställs av lösenordpolicyn när ett konto skapas och väljer ett lösenord. De kriterier som kommer undersökas är följande:

• Längdgränser

• Vilka krav det ställs på teckenuppsättningen • Om det finns krav på symboler

• Om det används en blacklist • Om NIST standarden följs

• Vilken feedback (återkoppling) som ges när ett lösenord har valts • Om det finns möjlighet till tvåfaktorsautentisering

• Om det finns en lockout

Anledningarna till de kriterierna ovanför har blivit utvalda till att undersökas i denna studie finns det stöd för i kapitlet ”Teoretisk Bakgrund”. En av anledningarna är att tidigare studier har undersökt ett antal av dem kriterierna. Vilket gör det möjligt att jämföra denna studie med tidigare studier. Ett av kriterierna kommer att undersökas med anledningen att tidigare studier har rekommenderat framtida studier att undersöka detta. Därefter inkluderas två kriterier utöver de tidigare studierna.

Tidigare studie:

Kriterierna nedan har valts att undersökas eftersom de var med i tidigare studier [5], [7].

• Längdgränser

• Vilka krav det ställs på teckenuppsättningen • Om det finns krav på symboler

• Om det används en blacklist

• Vilken feedback (återkoppling) som ges när ett lösenord har valts

Tidigare studiers rekommendationer:

Studien [5] rekommenderade framtida studier att undersöka lockout vilket leder till kriteriet nedan.

Kriterier utöver de tidigare studierna:

Även om studien [7] var baserad på [5] såg studierna inte exakt lika ut och de undersökte inte exakt samma saker. Tvåfaktorautentisering kommer undersökas i denna studie eftersom det är liknande lockout. Det gör inte själva lösenordet starkare men det gör att lösenordspolicyn kan vara svagare och att lösenordet kan vara svagare utan att säkerheten blir lägre.

NIST nämns i både studierna [5] och [7] men det är ingen av studierna som undersöker om webbsidor uppfyller något av NIST:s krav. Resultaten finns där men det är inget som presenteras. Det som också fick denna studie att undersöka om NIST:s riktlinjer följdes var för att studien [5] kommer fram till att inga webbsidor använder samma lösenordspolicy även om NIST:s har publicerat en standard med riktlinjer att följa.

• Om det finns möjlighet till 2FA (tvåfaktorsautentisering) • Om NIST standarden följs

3.3.3 Begränsningar på kriterier:

I denna studie sätts begräsningar på två kriterier, maxgräns och lockout. Andledningen är för att testerna behöver en gräns för att inte bli oändliga.

Maxgräns: Inte alla webbsidor informerar om vad maxgränsen på antal tecken i ett

lösenord är. Detta innebär att lösenordstester kommer att genomföras för att hitta maxgränsen. I denna studie kommer lösenord med 600 tecken användas. Godkänds ett lösenord med över 600 tecken kommer slutsatsen vara att webbsidan inte har en policy om maxgräns.

Lockout: I denna fallstudie anses en lockout omfatta när kontot blir låst, eller att

webbsidan kräver en bekräftelse att användaren inte är en robot. Dessa låsningar ska kunna stoppa användare från att försöka logga in flera gånger i rad, vilket hindrar attacker som dictionary attacks. För att undersöka ifall en webbsida har lockout testades inloggningen 20 gånger och ifall webbsidan inte låste kontot efter 20 försök antogs det att ingen lockout användes.

3.4 Trovärdighet

Eftersom en fallstudie kräver att forskaren har lite eller ingen kontroll och där ett beteende inte kan manipuleras [19] och eftersom studien utförs i realtid på webbsidorna resulterar det i att reliabiliteten är hög. Om en annan person hade valt att testa lösenordspolicyer på exakt samma webbsidor så hade resultatet varit detsamma förutom om webbsidorna har uppdaterat sin lösenordspolicy efter det att denna studien har utförts.

Validiteten kommer även vara hög eftersom liknande studier [5], [7] granskar samma kriterier. Dessa kriterier liknar de riktlinjer som publiceras av NIST vilket stärker att detta är relevanta kriterier att granska. I varje studie samlas data in på ett liknande sätt vilket innebär att resultat från denna fallstudie kommer kunna jämföras med dem tidigare studierna [5], [7]. Det både studierna [5], [7] har undersökt som denna studie inte tar upp är olika styrkemätare som webbsidorna använder sig av för att visa för användaren hur starkt ett lösenord är eftersom studierna kom fram till att lösenordspolicyer används mer än olika styrkemätare [7]. Det som denna studie tar upp som inte finns med i de andra studierna är lockout och tvåfaktorautentisering där lockout rekommenderades att kolla på av [5].

4

Resultat

I den här sektion presenteras empirin från fallstudien och analyserar frågeställningarna utifrån resultaten av fallstudien. All data var insamlad under april och maj månad 2020.

4.1 Hur ser lösenordspolicyer ut på de mest populära webbsidor hos svenskar i dagsläget? [F1]

För att besvara [F1] presenteras resultat av fallstudien i tabell 4 där varje kriterium testades på varje webbsida för att se om de uppfylldes. Det kriterium som inte finns med i Tabell 4 är feedback, eftersom det inte gick att presentera i en tabell men resultatet av feedback kommer ändå presenteras i den här sektionen.

Tabell 4: Beskriver hur många av varje webbsida som uppfyllde kriterierna.

Blacklist: Även om användningen av en blacklist uppfyller 3 av 5 NIST riktlinjerna

och att en blacklist skyddar mot alla tre lösenordsattacker är det bara 34% av alla webbsidor som använde sig av en blacklist. Alla webbsidor använder sig inte heller av samma blacklist, någon webbsida hade implementerat en blacklist som blockerade lösenord som till exempel “password” och “123456” vilket är lösenord som är vanliga och repetitiva. Men där till exempel namn, användarnamn eller ord som inte var på engelska inte var blockerat av deras blacklist.

Jämfört med studien [5] där 16 sidor (32%) använde sig av en blacklist är resultaten lika då 17 sidor (34%) använde sig en blacklist. Studiens resultat om blacklists stämmer bra överens med resultatet från studien av Wang och Wang [5]. Där resultatet var att blacklists inte var tillräckligt bra. En av anledningnar i den här studien till att blacklists inte var tillräckligt bra var för att svenska ord inte blockerades. Även studien [7] drar slutsatsen att användandet av blacklists är dåligt implementerat och fick resultatet att även om en blacklist var implementerad blockerades inte tio av de populäraste lösenorden. Den här studiens resultat stämmer också överens med resultatet från [7] att “password” var blockerat av en blacklist men till exempel “p@ssw0rd” och “p@s5word” som [7] testade var godkänt.

Feedback: Alla 50 sidor gav någon typ av feedback men på 24 av sidorna var

feedbacken begränsad till krav på minimum längd. Webbsidor som använde sig av en blacklist gav feedbacken att lösenordet var för lätt att gissa och gav tipset att göra lösenordet längre. Det var bara två webbsidor (IKEA & Wikipedia) som skrev ut alla regler för lösenordet innan inmatning. Resterande gav feedback antigen vid inmatning, när lösenordet inte följde reglerna eller först när det trycks på skapa konto. En webbsida (fandom) gav antingen ingen eller fel feedback vid inmatning av lösenord. En webbsida (synonymer) gav feedbacken “det gick åt skogen” när lösenordet inte godkändes. Den här studien stämmer överens med studien [7], [12] att feedback var väldigt begränsad och även om alla sidor gav någon typ av feedback var den inte alltid utförlig. Men några webbsidor hade bra feedback i både [5], [7] och i den här studien. Ett exempel på en bra feedback från [7] var att lösenordspolicyn visades innan lösenordet valdes och när lösenordet blev inmatat tickades några av reglerna av under tiden, vilket gav användarna feedback i realtid.

I studien [12] nämner de att det borde finnas feedback och vägledning när ett lösenord blir valt. Vilket det också rekommenderas i [7] där de skriver att realtids feedback och vägledning vid skapandet av lösenord leder till att reducera fel vid skapandet av lösenord och det hjälper till att informera och stödja användare till att använda sig av starka lösenord. I [5] nämns det att lösenordsmätare som mäter styrkan av lösenordet kan leda till förbättringar i lösenordssäkerhet om de ger korrekt feedback.

Lockout: Resultatet blev att 24 webbsidor hade någon typ av lockout. Några webbsidor

låste kontot helt och tvingade användaren att kontakta dem via mejl för att låsa upp kontot igen. Andra webbsidor låste kontot i en viss tid till exempel 5 eller 15 minuter. Därefter fanns det webbsidor som krävde att användaren bevisade att dem inte var en robot genom att mata in siffror eller klicka på bilder. Eftersom denna studie begränsade sig till 20 försök av en inloggning som nämt i sektion 3.3.2 så kan det vara fler webbsidor som har en lockout än vad som presenteras i tabell 4.

Maximum längd: Det var 29 webbsidor som hade en maxgräns där den vanligaste

maxgränsen var fyra webbsidor som använde 100 och fyra som använde 128 tecken. Den lägsta maxgräns som en webbsida använde (IKEA) var på 20 tecken. Den högsta maxgräns som en webbsida använde (Imgur) var på 255 tecken. Resterande webbsidor hade väldiga olika gränser mellan 20 och 255 tecken exempelvis 25, 50, 72, 87, 101 och 127.

Resultaten i den här studien jämfört med [5] skiljer det sig en del där 72% av webbsidor som de testade hade en maxgräns som inte gick över 64 tecken, men i den här studien var de mest populära 100 och 128 tecken. Även i [5] kunde de inte testa om det fanns

verkligheten. Den här studien skiljer sig också i resultatet från [5] där de skriver att 22% av webbsidorna tillät inte lösenord att vara mer än 16 tecken långt där det i denna studie kom fram till att den lägsta maxgränsen var på 20 tecken. Ett råd ges i [4] där en maxgräns ska vara stor nog till exempel på 64 tecken. Fler webbsidor än vad som redovisas i Tabell 4 kan ha en maximum längd eftersom denna studie begränsade sig till ett lösenord på 600 tecken som nämt i sektion 3.3.2.

Minimum längder: Det var sex eller åtta tecken som var minimumgränsen på 48 (96%)

av 50 webbsidor . De resterande 4% var två webbsidor som hade en minimumgräns på fyra tecken (Netflix) och en webbsida (Nyafilmer) som hade en minimumgräns på sju tecken.

Resultat från studierna [5], [7] stämmer överens med den här studien där majoriteten av webbsidor hade sex eller åtta tecken som minimumkrav. Där några få antal också använder sig av varierande minimumgräns som 5, 7 och 9. Där det skiljer sig mest är att en webbsida i [5] hade ingen minimumgräns alls. Medan i studien [7] fanns det en webbsida som hade en minimumgräns på 12 tecken och en annan webbsida på 14 tecken. En tredje studie [12] visar också att en minimumgräns på sex och åtta tecken är det vanligaste där de också hittade en webbsida som inte hade något minimumkrav alls. Båda studierna [5], [12] menar på att minimumgränsen är viktig. I [5] skriver de att öka längden på lösenordet är mer effektivt än att öka till exempel teckenuppsättningen. I [12] skriver de att ha sex tecken som minimumgräns knappt är tillräckligt. Vilket stämmer bra överens med NIST:s riktlinjer som kräver minst åtta tecken.

NIST: Det var totalt 11 av 50 webbsidor som följde NIST riktlinjerna nedan.

• Minst åtta tecken och en maximal längd på minst 64 tecken

• Möjligheten att använda alla specialtecken men inga speciella krav för att använda dem

• Begränsa sekventiella och repetitiva tecken (t.ex. 12345 eller aaaaaa) • Begränsa sammanhangsspecifika lösenord (t.ex. webbplatsens namn osv.) • Begränsa vanliga lösenord (t.ex. p@ssw0rd, etc.) och ordlistor

Redan på den första riktlinjen var det 25 webbsidor som inte följde riktlinjerna och det var webbsidorna med fyra, sex eller sju tecken som minimumgräns. Den andra riktlinjen följde alla webbsidor eftersom det var ingen som blockerade användningen av specialtecken. Det var 17 av webbsidorna som följde riktlinjerna tre, fyra och fem vilket är dem webbsidorna som använde sig av en blacklist. I [7] stämde det bra överens med den här studien att några webbsidor följer NIST:s riktlinjer dock fanns där inga exakta nummer.

Specialtecken: Det var 49 av 50 webbsidor som inte hade krav på att använda

specialtecken, det var bara Gmail som hade det kravet.

Mellan den här studien och [5], [7] är den största skillnaden här. I [5] kollade de bara på om specialtecken accepterades men inte om de var tvungna att ha det. Ett resultat som presenterades i [5] som inte hittades i denna studie var att, där var fyra webbsidor som blockerade användningen av specialtecken. Författarna i studien [5] beskriver vad de känner efter det med en mening “It is really beyond comprehension why these four sites forbid symbols.” [5]. Vilket tyder på att förbjuda specialtecken inte är något som rekommenderas.

Skillnaden mellan den här studien och [7] var att på 16 av deras webbsidor verkar det som att specialtecken var ett krav. Dock framgår det inte tydligt om det var krav på specialtecken eller om de bara accepterade specialtecken. I [5] skriver de att lösenord med symboler är generellt mer säkra än lösenord utan symboler vilket också stödjs av en annan studie [20] där de skriver att lösenord med symboler är starkare.

Teckenuppsättning: Det var nio av 50 webbsidor som hade några krav på

teckenuppsättningen. Teckenuppsättningskraven var samma på åtta av de nio webbsidor. Där kravet var att ha minst en versal, minst en gemen och minst en siffra. Den webbsida som skiljde sig från detta var Imgur där de hade kravet på minst en gemen och minst en siffra. Vilket betyder att webbsidor som inte har krav på teckenuppsättning eller inte använder sig av en blacklist kommer att acceptera lösenord som bara innehåller siffor vilket resulterar i 31 webbsidor.

Även i detta kriterium skiljer sig den här studien från både [5], [7] där det var betydligt mer vanligt att det var någon typ av teckenuppsättning som användes. I [5] var det 23 av 50 sidor som använde sig av en teckenuppsättning. I [7] var det 85,2% som använde en typ av teckenuppsättning jämfört med den här studien där det bara var 18%. En studie som var liknande till den här studien var [12] där bara två av tio använde sig av en teckenuppsättning. En annan skillnad var att både [5], [7] hade flera olika varianter mellan teckenuppsättningar medan den här studien innehöll bara två olika.

Tvåfaktorautentisering: Det var totalt 19 av 50 webbsidor som gav möjlighet till

tvåfaktorautentisering. Generellt sätt var det bättre lösenordspolicyer på de sidor som gav möjlighet till tvåfaktorautentisering där till exempel 17 av 19 sidor som hade tvåfaktorautentisering också hade en lockout. Det var också 12 av 19 sidor som använde sig av både en blacklist och tvåfaktorautentisering.

Extra kommenterar: Här presenteras extra grejer som hittades under tiden studien

utfördes som inte var planerat att undersökas, men som var värt att nämna eftersom det relaterar till lösenordpolicyer.

Ett par intressanta saker hände när ett lösenord på 600 tecken blev testat. En webbsida (Reddit) tyckte att ett lösenord på 64 tecken var säkrare än ett lösenord på både 200 tecken och 600 tecken. Även om lösenorden bara innehöll siffror.

På en annan webbsida (Viaplay) var maxgränsen 128 tecken. Om ett lösenord på mer än 128 tecken blev valt, gavs feedbacken att “lösenordet inte stämmer”. På en webbsida kraschade rutan där lösenordet blev valt när lösenordet på 600 tecken testades, vilket gjorde att webbsidan behövdes uppdateras

En annan del som var intressant var Gmail som säger följande “Använd minst åtta tecken och en kombination av bokstäver, siffror och symboler”. Även om de kräver användningen av symboler gick det ändå att skapa ett konto med lösenord som inte innehöll symboler.

Lösenordspolicyn på ett par webbsidor såg olika ut när ett konto skapades jämfört med om lösenordet skulle bytas. Vilket resulterade i att några lösenord som inte godkändes vid skapandet av kontot, accepterades om du skulle byta lösenord. Det var inget som var planerat att testa utan bara något upptäcktes vilket är därför det inte finns några exakta siffror på det.

4.2 Hur effektiva är webbsidornas lösenordspolicyer mot de vanligaste lösenorden i Sverige? [F2]

Varje webbsidas policy testades mot de 26 lösenord från rapporten skriven av internetstiftelsen [11], vilket blev totalt 1300 tester. Utifrån de 1300 testerna var det 504 lösenord som var accepterade vilket blir cirka 39%, resterande 796 tester av lösenord blockerades. I Wang och Wangs studie [5] hade dem 800 tester varav 541 av deras lösenord blev godkända, vilket avrundar till cirka 68%.

Skillnaden mellan resultaten beror på komplexitet i valda lösenord. I denna fallstudie är lösenord simpla, inga blandningar av siffror och bokstäver, inga versaler och längsta lösenordet är 9 tecken. Detta skiljer sig från studien som Wang och Wang genomförde, där de själva skapade lösenord med unika uppbyggnader och från lätt till komplex, till exempel, ”123456” till ”Wanglei@123”.

Figur 2: Beskriver hur många gånger varje lösenord godkändes.

Från figur 2 visar det på att ”kalleanka” godkändes mot 76% av dem 50 webbsidor som testades. De webbsidor som kunde blockera ”kalleanka” hade teckenuppsättning som inkluderade siffror eller använder sig av en blacklist som innehöll svenska ord eller fraser. Som tidigare nämnts i tabell 4, var det endast 18% av alla webbsidor som hade något typ av teckenuppsättning. När det kommer till blacklist kan ”kalleanka” och ”cocacola” jämföras. Eftersom flera av webbsidorna som var utvalda för denna fallstudie inte är svenska är det större chans att ”cocacola” är blockerat i blacklist än ”kalleanka”, just eftersom ”cocacola” är universellt känt.

Det som också står ut i figur 2 är dem sex lösenorden som har endast 2%. Dessa sex lösenord bestod av fem tecken vilket gjorde att 98% av webbsidorna kunde blockera dem. Endast en webbsida hade krav om minst fyra tecken i sin policy. Resterande webbsidor använde sig av längdkrav mellan sex och åtta.

Figur 3: Beskriver hur många lösenord som godkändes per webbsida.

Figur 3 presenterar statistiken för de godkända lösenorden per webbsida, både i antal och i procent. Som bilden visar är det 18 webbsidor som ligger över 70%. Dessa 18

och uppslagsverk, sociala nätverk, tv-filmer och/eller streamingtjänster och vuxen. Policyn för Netflix godtog 100% av alla lösenord som testades. Detta beror på att det inte fanns några krav om teckenuppsättning, specialtecken eller någon blacklist aktiverat. Det krav som Netflix policy hade var en minimumgräns på fyra tecken. Två webbsidor, Hm och Ikea hade krav om teckenuppsättning vilket inkluderade minst en versal, en gemen och en siffra. Imgur.com inkluderade en gemen och en siffra i sin teckenuppsättning vilket var tillräckligt för att blockera internetstiftelsens lösenordlista [9]. De följande sex webbsidorna hade krav på teckenuppsättning och använder sig av en blacklist ”Gmail, Live, Microsoft, Steamcommunity, Google, Youtube”. Sist är Yahoo, Wikipedia och Discordapp som endast använde sig av en blacklist som lyckades att blockera alla lösenord från lösenordlistan.

Som tidigare nämnts i sektion 4.1 skiljer sig effektiviteten i blacklistorna mellan olika webbsidor. Ett exempel är Twitter som använder sig av en blacklist och har ett krav om minst sex tecken långt lösenord. Deras blacklist godkänner inte lösenordet “12345678” men “123456789” godkändes. Detta visar på hur effektiv en blacklist kan vara beroende på hur den är uppsatt, då till exempel Twitter.com godkänner 50% av lösenord.

4.3 Hur har lösenordspolicyer förändrats med tiden? [F3]

Sammanlagt blev det 21 webbsidor som gick att undersöka och se ifall en förändring i policy har skett sen cirka fem år tillbaka. Från resultaten var det 12 av 21 webbsidor som har förändrats. I denna del valdes det att inte inkludera lockout eftersom det inte gick att skapa och testa konton via archive.org.

Tabell 5:

Beskriver om det har skett en förändring på webbsidornas lösenordpolicy under de fem senaste åren.

I tabell 5 representeras de 21 webbsidorna som kunde analyseras via antingen tidigare studier eller via Archive.org. Kolumnen ”förändring:” beskriver ifall en webbsida har haft en förändring i policy eller inte.

Gamepedia.com hade endast krav på längd av lösenord vilket var mellan 6 till 50

tecken långt. I dagsläget har längdkravet av lösenord 7-72 tecken samt har webbsidan nu en blacklist. Denna förändring har gjort att Gamepedia kunde nu blockera upp till 92% av lösenorden som testades mot den under denna fallstudie. Ifall policyn inte hade förändrats hade Gamepedia endast kunnat blockera 33% av internetstiftelsens lösenordslista [11].

Gmail.com uppdaterade deras policy genom att implementera en maxgräns på 100

tecken.

Ikea.com gjorde också en förändring i längd kravet genom att ändra minimum

versal, gemen eller siffra till att alla tre kraven måste uppfyllas för att lösenordet ska godkännas.

Microsoft.com gjorde en större förändring, liknande som Live.com, behövdes endast

2 av 3 olika teckenuppsättningar uppfyllas, en versal, en gemen eller en siffra. Men idag behövs alla tre teckenuppsättningar uppfyllas för att lösenordet ska godkännas. Microsoft ändrade även maxgränsen från 16 tecken till 127 och implementerade in en blacklist.

Netflix.com förändring var att höja maxgränsen från 50 tecken till 60 tecken. Pornhub.com hade en regel som krävde att första tecknet i lösenordet behövde vara

en bokstav.

Reddit.com hade endast krav på minst 1 siffra eller bokstav för fem år sedan. Twitch.com implementerade en blacklist i deras lösenordpolicy.

Wikipedia.com hade inget minimumkrav på längd av lösenord och

ingen blacklist. Efter cirka fem år har Wikipedia gjort stora förändringar i deras lösenordpolicy och är en av dem få som inte accepterade lösenord från internetstiftelsen [11].

Xvideos.com ändrade minimumgränsen på antal tecken i lösenordet från 5 till 8. Yahoo.com, år 2015 hade webbsidan en minimumgräns på 7 tecken och en maxgräns

på 30 tecken. Idag har de en minimumgräns på 8 tecken, en maxgräns på 130 tecken och implementerat en blacklist.

4.4 Hur skiljer sig olika webbkategorier? [F4]

Nedan presenteras tabell 8 och tabell 9 där en jämförelse mellan de olika webbkategorierna har utförts. Alla webbkategorierna är inte representerade i tabellerna eftersom det fanns för lite data för att presentera e-mail, konst och underhållning, offentliga register och kataloger, ordböcker och uppslagsverk samt sökmotorer. De som representeras i tabell 8 och tabell 9 är de kategorier där det fanns data för minst fem webbsidor.

Tabell 8: Jämförelse av webbkategorier med fem olika kriterier.

Alla fem kategorier använder sig av en minimumgräns på sex eller åtta tecken förutom två webbsidor inom Tv-filmer och/eller streamingtjänst kategorin. Det är två av fem kategorier där majoriteten använder sig av en minimumgräns på sextecken istället för åtta tecken som de andra tre kategorierna.

Alla fem kategorierna använder sig av en maxgräns där Tv-filmer och/eller streamingtjänst kategorin har högst andel på 87,50 %. Det är två kategorier som endast använder maxgränskravet på 44% och 45% av deras webbsidor.

Teckenuppsättning är ett av de kriterier där ingen av webbkategorierna har en

majoritet av användningen. Det högsta värdet ligger på 20% hos E-handel kategorin och det lägsta värdet på 9% hos Nyheter och media.

Specialtecken är den enda kriterium som ingen kategori har använt sig av. Vilket

betyder att ingen webbsida inom de fem olika kategorier har krav på att specialtecken måste användas.

Blacklist kriteriet går från att inte användas alls till en användning på 66%. Vilket gör

det till ett av kriterierna där det skiljer sig mest. E-handels kategorin är den enda av de fem som inte använder sig av en blacklist alls. Sociala nätverks kategorin är den enda kategorin där majoriteten av webbsidor använder sig av en blacklist. De resterande tre webbkategorierna ligger på en användning av blacklists på mellan 20% och 37,5%.

Lockout kategorin är en annan kategori som skiljer sig rätt mycket där det går från en

användning på 30% upp till 89%. I denna kategori är det dock tre av fem kategorier där 50% eller mer använder sig av en lockout. Sociala nätverk har den högsta användningen på 89% vilket egentligen kan vara 100% eftersom under fallstudien gick det inte att skapa ett konto på ”vk.com” vilket resulterade i att det inte gick att testa om en lockout eller inte fanns.

Tvåfaktorautentiserings kategorin är den kategori där det skiljer sig absolut mest med

en användning från 0% upp till 89%. Det är två kategorier där majoriteten använder sig av Tvåfaktorautentisering med en användning på 75% och 89%. De andra kategorier ligger väldigt lågt på 0%, 10% och 18%.

NIST kriteriet skiljer sig inte så mycket från 0% till 37,5%. Där det högsta värdet ligger

hos Tv-filmer och/eller streamingtjänst kategorin på 37,5%. Det är två kategorier som ligger på 0% vilket gör det till den enda kategori där två kategorier ligger på 0%.

För att få en överblick över vilken kategori som kommer att räknas som den bästa samt den sämsta kategorin kommer bara minimumgräns 8 av de fyra olika minimumgräns kategorierna räknas in. Eftersom det inte är bra att ha ett högt värde på minimumgräns fyra till sju jämfört med åtta eftersom att höja antalet tecken ökar säkerheten [5]. Nedan presenteras varje webbkategori med hur många kriterier de hade högst procent i, där (n) är antalet kriterier.

• Sociala Nätverk (3) (Blacklist, Lockout & Tvåfaktorautentisering) • Tv-filmer och /eller streamingtjänst (2) (Maxgräns & NIST) • E-handel (1) (Teckenuppsättning)

• Nyheter och media (1) (Minimumgräns 8) • Vuxen (0)

Sociala nätverk är den webbkategori som uppfyller högsta procenten i tre av de åtta kriterierna. Vuxen kategorin är den kategori som fick sämst resultat. Ingen av kategorierna fick högst eller sämst resultat på kriteriet specialtecken eftersom alla hade lika procent.

Det som också är intressant är sambandet mellan blacklist och NIST kriteriet. Där två av kategorierna hade samma procent på både blacklist och NIST kriteriet. Nyheter och media hade 27% i både blacklist & NIST kriteriet. Tv-filmer och/eller streamingtjänst kategorin hade 37,5% i både blacklist & NIST kriteriet.

Ett annat resultat är att Sociala Nätverk hade högst andel i blacklist som var både över Nyheter och Media & Tv-filmer och/eller streamingtjänst. Men Sociala Nätverk låg efter i NIST kriteriet jämfört med de andra två kategorierna.

Eftersom Sociala Nätverk hade 89% som använde en minimumgräns på sex tecken uppfyller de inte NIST:s riktlinjer som ligger på minst åtta tecken. Vilket resulterar i att om Sociala Nätverk hade använt sig av en minimumgräns på åtta tecken hade de varit ledande i NIST kriteriet också.

Resultaten stämmer bra överens med både [5], [7] där de också får varierade resultat inom varje kategori med olika likheter och skillnader. Det som framgår i [7] är att de flesta webbsidor föredrar användbarhet över säkerhet. Vilket den här studien också tyder på med anledningen till att användningen av en teckenuppsättning och användningen av specialtecken ligger riktigt lågt. Samt att det är fortfarande många webbsidor som kräver minst sex tecken. Vilket gör att användare kan skapa ett mer användarvänligt lösenord i stället för ett säkrare.

5

Diskussion och slutsatser

Kapitlet ger en beskrivning av studiens resultat. Vidare beskrivs studiens implikationer och begränsningar. Dessutom beskrivs studiens slutsatser och rekommendationer. Kapitlet avslutas med förslag på vidare forskning.

5.1 Resultatdiskussion

Syftet med denna studie var att undersöka hur de mest populära webbsidorna i Sverige hanterar lösenordspolicyer i dagsläget. Vilket vi har lyckats med eftersom en fallstudie kunde utföras på alla 50 webbsidor där vi utifrån resultaten kunde svara på alla våra frågeställningar.

[F1] Hur ser lösenordspolicyer ut på de mest populära webbsidorna i Sverige idag?

Lösenordspolicyer i Sverige idag är rätt olika vilket leder till att det är svårt för användare att vänja sig vid en. Det finns skillnader i alla de olika kriterierna förutom specialtecken där ingen webbsida hade det som krav. Skillnader inkluderar: olika gränser för minsta antal tillåtna tecken, olika gränser för maximalt antal tillåtna tecken, olika implementerade blacklists, olika krav på teckenuppsättning, olika typer av feedback, olika tider och typer av lockout, 19 av 50 webbsidor ger möjlighet till tvåfaktorautentisering och 11 av 50 följer NIST:s riktlinjer.

Resultaten var inte överraskande eftersom liknande studier [5], [7] inom området har fått liknande resultat med ett par skillnader eftersom de inte utfördes samma år och de utfördes på andra webbsidor samt att de kollade på lite olika kriterium. Många likheter var: dåligt implementerade blacklists eller ingen alls, diverse gränser för både minimum och max. Dåligt implementerade blacklist är till exempel blacklists som tillåter de tio mest populära lösenorden [7] vilket ett par gjorde i vår studie. Feedback var också ett av de kriterium som sticker ut på det sättet eftersom det var 24 av 50 webbsidor där de bara presenterade minimumgränsen för lösenordet. Vilket stämmer bra överens med studien [7] där de kommer fram till att det finns väldigt begränsad feedback och dålig vägledning vid skapandet av lösenord.

Resultaten är överraskande på det sättet att det finns riktlinjer av NIST att följa men det är bara elva av 50 webbsidor som gör det. Riktlinjerna är rätt tydliga vilket innebär att det skulle inte vara några problem att implementera dem i verkligheten. Ett exempel av det skulle vara om en webbsida har en minimumgräns på sex tecken borde de kunna byta till en minimumgräns på åtta tecken. De har redan implementerat en minimumgräns så varför inte bara höja den för mer säkerhet. Vilket hade gjort att de följt en av NIST:s riktlinjer redan där. Åtta av de elva webbsidor som följde NIST:s riktlinjer blockerade 26 lösenord som presenteras i studien. De tre webbsidor som inte

blockerade alla lösenord tillät de samma två lösenord. Anledningen till detta är en dåligt implementerad blacklist som inte blockerar svenska ord.

Det som var mest överraskande är att en webbsida inte följer sin egen policy genom att ha som krav att specialtecken ska finnas med men att det går att välja lösenord utan specialtecken ändå. En annan sak som hände när studien utfördes var att vi på några webbsidor var tvungna att logga in på kontot för att testa diverse saker där vi då märkte att lösenordspolicyer för att byta lösenord är inte de samma som när man skapar kontot på ett par webbsidor.

[F2] Hur effektiva är webbsidornas lösenordspolicyer mot de vanligaste lösenorden i Sverige?

Det totala resultatet av godkända lösenord var 39% i denna fallstudie. I jämförelse med [5] där resultatet för deras studie var cirka 68% godkända lösenord. Som tidigare nämnts beror skillnaden mellan resultaten på komplexitet i valda lösenord. Lösenorden som användes i denna fallstudie baserades på internetstiftelsens lösenordslista [11] som innehöll lösenord mellan 5–9 tecken, ingen blandning av siffror och bokstäver samt inga versaler. Wang och Wang [5] skapade egna lösenord som var komplexa lösenord samt att det lättaste lösenordet var 6 tecken.

Nästintill alla av webbsidornas lösenordspolicy var effektiva mot lösenord som endast var 5 tecken långt. Detta ledde till att lösenorden som var 5 tecken långt endast godkändes av en webbsida. Det vi reagerade mot var att vi trodde att flera webbsidor skulle använda sig av teckenuppsättning. Ifall dem endast hade, till exempel, en gemen och en siffra som teckenuppsättningskrav hade alla lösenorden i internetstiftelsens lösenordslista blockerats.

Med detta sagt anser vi att flera webbsidor behöver kolla över deras lösenordpolicy. Som tidigare nämnts var där ett par incidenter där vi märkte att lösenordspolicyn varierade på en webbsida beroende på ifall man höll på att skapa ett konto eller om man försökte byta lösenord inne på webbsidan. Administratörer över webbsidor kan argumentera om att det inte är deras ansvar att tillhandahålla guidningar i ändamål att användare väljer säkrare lösenord. Det är användarens egna ansvar att välja ett lösenord som ger ett större skydd för deras integritet. Men för en användare kan det vara svårt att förstå varför ett komplext lösenord är viktigt ifall dem inte har kunskap inom teknik och förståelse hur effektiva hackers är idag. Därför kan det vara bra att ställa krav på användarna genom att använda sig av policy som blacklist eller teckenuppsättning.

[F3] Hur har lösenordspolicyer förändrats med tiden?

Från observation av dem 21 webbsidorna var det endast 12 webbsidor som hade någon typ av policyförändring efter 5 år. Dessa förändringar varierade, till exempel som tidigare nämnts, Netflix ändrade längdkrav från 4–50 till 4–60 och Microsoft.com implementerade blacklist och ändrade sitt krav på teckenuppsättning till att lösenordet

måste innehålla en versal, en gemen och en siffra. Webbsidan Wikipedia.com var den som hade störst förändring i sin policy. För 5 år sedan hade Wikipedia endast krav att användaren inte fick använda sitt användarnamn i lösenordet. Det fanns ingen minimumgräns eller maxgräns på tecken, ingen teckenuppsättning och ingen blacklist. Men idag har Wikipedia minimumgräns på 8, lockout och en effektiv blacklist som blockerade alla lösenorden med 8 tecken eller högre.

När vi gjorde denna fallstudie var vi intresserade att se hur många webbsidor uppfyllde NIST standarden 803–63. Genom att kolla tillbaka från tidigare studier och i Archive.org såg vi att ett par webbsidor, till exempel, Wikipedia, Gamepedia och Twitch hade ändrat deras policy vilket gjorde att de uppfyllde de krav som NIST standarden rekommenderade.

[F4] Hur skiljer sig olika webbkategorier?

Vad resultaten kom fram till utifrån en analys av tabell 8 & 9 var det att våra resultat i denna studie stämmer bra överens med både [5, 7] där de också fick varierande resultat med både likheter och skillnader mellan de olika kategorierna. Det som resultatet kom fram till var att Sociala nätverk var den webbkategori som fick bäst resultat i tre av de sju kriterier som gick att bedöma. Den kategori som fick sämst resultat var Vuxen kategorin där de inte hade bäst resultat i något kriterium alls. Detta betyder inte att Sociala nätverk var bäst i alla kriterier och heller inte att Vuxen kategorin var sämst i alla. Vuxen kategorin kom till exempel på andra plats i både maxgräns och Lockout. Det som vi kom fram till i resultatet och som det kan bli en diskussion om är att de flesta webbsidor föredrar användbarhet över säkerhet. Eftersom ingen av webbsidorna hade krav på specialtecken även om det ökar säkerheten [5], [20] och eftersom 46% av webbsidorna hade en minimumgräns på sex antal tecken även om att öka längden på lösenord är mer effektivt än att till exempel ändra på teckenuppsättningen [5]. Medan en annan studie skriver att sex tecken knappt är tillräckligt [20]. Eftersom att öka längden på lösenordet och användningen av specialtecken gör lösenordet mer komplext verkar det som att webbsidor föredrar användbarhet före säkerhet vilket de kanske inte hade sagt om man frågat dem direkt.

5.2 Metoddiskussion

Fallstudien i generellt perspektiv fungerade bra. Datan som samlades in baserades på studierna [5], [7] som gav möjlighet till att jämföra resultaten från denna fallstudie med tidigare studier. Innan detta arbete hade börjat genomfördes en test av fallstudien med ett par webbsidor för att se ifall resultaten var intressanta och ifall strukturen på fallstudien var genomförbar.

arbete för att få ut information. Planen i början var att använda endast Archive.org men under test av fallstudien märkte vi att det inte gick att undersöka policyn på vissa av webbsidorna. Detta berodde på att många av webbsidorna endast visar

policykraven efter att man klickat på ”skapa kontot” och när man klickar på ”skapa kontot” händer antingen inget eller blir sidan blank. Det vi gjorde var att vi gick igenom alla 50 webbsidorna och tog ut dem som Archive.org fungerade mot. Därefter använde två tidigare studier [5], [12] som genomfördes cirka 5 år sedan. I slutändan var det 21 webbsidor som vi kunde analyseras.

Under fallstudien undersöktes webbsidorna manuellt vilket gjorde att skillnader mellan webbsidor var enkla att märka. Till exempel, eftersom lösenordstesterna var manuellt inmatade gick det snabbt att märka skillnaderna på de olika blacklists som användes av webbsidorna. Ifall ett skript eller prorgram användes för att skapa konton automatiskt hade det möjligtvis varit detaljer som, till exempel, när en webbsida inte följde sina egna krav om specialtecken.

Det som kunde gjort denna studien bättre hade varit ifall fler webbsidor användes då mer quantitativ data hade samlats in. Därefter hade studien varit bättre ifall fler webbsidor samlades in i andra kategorier för att kunna jämföra flera kategorier mot varandra. Anledningen varför det blev 50 webbsidor för denna fallstudie var för att Alexa.com och Similarweb.com hade en max-gräns på hur många webbsidor de kunde visa utan att man behövde betala.

Som tidigare nämnts i kapitel 3.4, värden kan inte manipuleras i denna fallstudie. Ifall en annan person testade samma webbsidors lösenordspolicyer kommer resultaten att bli detsamma om inte administratören för webbsidan ändrar lösenordspolicyn. Denna fallstudie har även baserats på tidigare studier, [5], [7]. Så både validitet och reliabilitet har uppfyllts för denna studie.

5.3 Slutsatser och rekommendationer

I problembeskrivningen framgår det att lösenordpolicyer inte lever upp till sitt syfte som är att kunna förhindra folk att kunna gissa sig fram till lösenord och då få tillgång till konton [5], samt att en lösenordspolicy är gjord för att stärka datasäkerheten genom att uppmuntra användare till att använda lösenord som inte är förutsägbara och använda dem på rätt sätt. Med en av anledningarna att policyer inte ser likadana ut på webbsidor samt att det inte finns någon riktigt överenskommelse över hur en policy ska se ut. Med följande slutsatser och rekommendationer hoppas vi att lösenordpolicyer gör det svårare för lösenordsattacker att lyckas, uppmuntra användare att skapa starkare lösenord genom feedback och vägledning samt att fler webbsidor ska använda sig av samma lösenordspolicyer genom att till exempel följa NIST:s riktlinjer.

Slutsatser:

• Även om de mest populära lösenorden i Sverige är kända så tillåts de fortfarande.

• De förändringar som har skett är antingen små eller har ingen förändring alls, med ett enstaka fall där de har förändrats helt.

• Blacklists används knappt eller implementeras dåligt.

• Där finns tydliga skillnader på policyer i de olika webbkategorierna där sociala nätverk ligger i framkant men även där finns det rum för förbättringar.

• Ingen webbsida hade krav på specialtecken.

• Feedback som webbsidor ger vid skapandet av ett lösenord har stort utrymme för förbättring vilket kan leda till att användare väljer starkare lösenord även om kraven på lösenordet inte ändras.