Vem använder lösenordshanterare?: En undersökning av demografiska variablers påverkan på användning av lösenordshanterare

Uppsala Universitet

Inst. för informatik och media

Vem använder lösenordshanterare?

En undersökning av demografiska variablers påverkan på

användning av lösenordshanterare

Markus Andersson, Viktor Vilmusenaho

Kurs: Examensarbete Nivå: C

Termin: HT-20 Datum: 200602

I

Sammanfattning

Lösenordshanterare har länge varit tillgängliga och det finns mycket forskning som tyder på att användningen av dem är begränsad. Deras funktionalitet hjälper använ-daren att generera och spara unika och starka lösenord för varje individuell inloggning. Vi utformar en enkät med hjälp av tidigare forskning och en modifierad version av teknikacceptansmodellen i syfte att undersöka demografiska variablers påverkan på användningen av lösenordshanterare. Undersökningen bedrivs genom att kvantitativ data samlas in från den digitala plattformen reddit.com. Denna data analyseras därefter med hjälp av statistiska metoder, där vi kommer fram till att det finns signifikanta skillnader i variablerna kön, geografisk plats, antal unika lösenord och datorvana. Dessa variabler påverkade både den faktiska användningen, men också attityden till systemet. Vi diskuterar detta resultat utifrån den presenterade teorin och relaterad forskning.

Nyckelord:

Lösenordshanterare, Browserbaserade lösenordshanterare, BPM, Teknikacceptansmod-ellen, TAM, Demografiska variabler

II

Abstract

Password managers have been available for a long time, and there has been a lot of research showing that these tools are not commonly used. Their functionality helps the user to both generate and save unique and strong passwords for each individual authen-tication online. We conduct a quantitative investigation where we create a survey based on related research and a modified version of the Technology Acceptance Model. The data for our quantitative analysis were gathered by publishing a survey on the plattform Reddit.com. This data were thereafter analysed using statistical methods, where a number of statistically significant differences were found. We found that gender, geographic location, amount of unique passwords and computer profiency all had significant effects on either the actual system use or on the attitude towards the system. These results are evaluated by relating them to the presented theories and related research.

Keywords:

Password manager, Browser based password manager, BPM, Technology Acceptance Model, TAM, Demographic variables

Innehållsförteckning III

Innehållsförteckning

1.3 Syfte & Kunskapsbidrag . . . 3

1.3.1 Forskningsfrågor . . . 3 1.4 Avgränsningar . . . 4 1.5 Disposition . . . 4 2 Teori 5 2.1 Lösenordshanterare . . . 5 2.1.1 Applikationer . . . 5 2.1.2 Browserbaserade lösenordshanterare (BPM) . . . 6 2.2 Teknikacceptansmodellen . . . 7 2.3 Demografiska variabler . . . 8 2.4 Statistiska analyser . . . 9

2.4.1 Statistisk signifikans och frihetsgrader . . . 9

2.4.2 Univariat analys . . . 9 2.4.3 Korrelationsanalys . . . 9 2.4.4 Chi-square test . . . 10 2.4.5 Kruskal-Wallis H test . . . 10 2.4.6 Mann-Whitney U test . . . 11 2.4.7 SmartPLS . . . 11 3 Metod 13 3.1 Forskningsansats . . . 13 3.2 Modifierad TAM . . . 13 3.3 Metodik för datainsamling . . . 14 3.3.1 Urval . . . 15 3.3.2 r/SampleSize . . . 15 3.3.3 Enkätfrågor . . . 16 3.4 Metodik för dataanalys . . . 18

Innehållsförteckning IV

4 Empiri 19

4.1 Presentation av univariat analys . . . 19

4.2 Chi-square tester . . . 25 4.2.1 Kön . . . 25 4.2.2 Utbildning . . . 26 4.2.3 Antal lösenord . . . 27 4.2.4 Datorvana . . . 28 4.3 Korrelationanalys . . . 29

4.4 Multivariat analys med PLS . . . 31

4.5 Kruskal-Wallis tester . . . 33 4.5.1 Kön . . . 34 4.5.2 Geografisk grupp . . . 34 4.5.3 Antal lösenord . . . 35 4.5.4 Datorvana . . . 36 4.6 Mann-Whitney tester . . . 37 4.7 Öppen fråga . . . 38 4.8 Sammanfattning av empiri . . . 39

5 Diskussion & Slutsats 40 5.1 Metodkritik . . . 40

5.2 Diskussion av empiri . . . 41

5.3 Slutsats . . . 43

Källförteckning 45

Bilagor 50

A Förteckning över frågor 50

Introduktion 1

1 Introduktion

I uppsatsens inledande kapitel presenteras ämnets bakgrund. Ämnet problematiseras därefter i avsnitt 1.2 där den grund som forskningsfrågorna i avsnitt 1.3.1 kan härledas från. Slutligen presenteras uppsatsens avgränsningar i avsnitt 1.4 och uppsatsens disposition i avsnitt 1.5.

1.1 Bakgrund

Samtidigt som samhället blir allt mer digitaliserat och samhällsfunktioner som handel, sjukvård och informationsspridning mer och mer flyttas till internet, blir också indiv-idens behov av att identifiera sig på nätet allt större. Idag är den vanligaste metoden för identifikation på hemsidor att använda sig av lösenord (McCarney et al., 2012). Ett problem som uppstår i och med behovet att kunna identifiera sig på så många olika hemsidor och tjänster är att det behövs lika många unika lösenord för att på ett adekvat sätt skydda sig. Förlust av ett lösenord som används för att identifiera sig på flera olika hemsidor ger en angripare tillgång till samtliga hemsidor och all information som dessa lagrar. Historiskt sett använder sig de flesta användare av identiska, eller variationer av, samma lösenord för alla olika inloggningar (Aurigemma et al., 2017; Gaw & Felten, 2006). Då allt fler verksamheter digitaliseras och mycket av infrastrukturen flyttas till webben så ökar också antalet brott som begås på nätet. Morgan (2019) förutspår att den årliga kostnaden i världen, på grund av cyberbrottslighet, kan uppgå till ofantliga sex biljoner dollar 2021. En stor del av detta är kostnader som vanliga medborgare blir drabbade av. Storbritanniens regering uppskattade 2011 att av de 27 miljarder pund som cyber-brottsligheten kostar Storbritannien så uppgår medborgarnas kostnader till tre miljarder pund (Anderson et al., 2013). Den personliga informationen som stjäls är oftast bank-och kredituppgifter som används för att antingen teckna lån eller utföra betalningar på nätet. Även information om personnummer, namn och adress kan vara attraktivt för en angripare då dessa kan användas för utpressning. (SelfKey, 2019)

Hur man skapar ett starkt lösenord är visa känt. Många riktlinjer och redskap finns för att hjälpa användaren att skapa ett starkt lösenord som minskar risken för att en angripare skall lyckas med en brute-force attack. Enkla regler som “använda inte riktiga ord”, eller “variera mellan siffror, specialtecken och bokstäver” är två exempel på detta. Forskning visar däremot att många användare väljer att inte använda dessa redskap, och istället har enkla, strukturellt liknande, eller på andra sätt svaga lösenord. (Aurigemma

Introduktion 2

et al., 2017) Ett verktyg som försöker motverka detta genom att samla dessa redskap är en så kallad lösenordshanterare. Dessa program har möjlighet att hjälpa användaren att både skapa och spara starka, unika lösenord för varje enskild inloggning, och är tillgängliga för användare i både gratis- och betalversioner (1Password, 2020; LastPass, 2020).

1.2 Problembeskrivning

Barth (2017) skriver att det 2020 kommer finnas 300 miljarder lösenord i världen. Efter-som lösenord är en sådan vanlig metod för att en användare ska autentisera sig på nätet finns det en stor mängd tekniker som en angripare kan utnyttja för att ta sig in på ett konto. Den enklaste formen av dessa attacker är brute-force attacker där en angripare med tillräckligt stor processorkraft testar sig fram bland alla möjliga kombinationer av lösenord tills att det rätta är hittat. Detta är både väldigt resurs- och tidskrävande och lämpar sig därför för attacker mot kortare och svaga lösenord. (Feldmeier & Karn, 1989; Raza et al., 2012) Dictionary attacks är en mer effektiv metod då angriparen nyttjar sig av tabeller och försöker matcha ett lösenord mot vardagliga ord eftersom det är väldigt vanligt att dessa förekommer i lösenord. Både brute-force attacker och dictionary attacker kan en användare skydda sig mot genom att använda långa och varierade lösenord som inte följer ett specifikt mönster. Andra typer av attacker som kan användas är shoulder surfing och phishing attacks. I dessa fall är det inte tillräckligt med att endast ha starka lösenord då de syftar till att antingen observera när ett lösenord används eller att lura en användare att använda sitt lösenord på en sida som angriparen kontrollerar. (Raza et al., 2012)

Många experter anser att användandet av lösenordshanterare är bästa praxis för att på ett säkert sätt kunna ha starka och varierande lösenord för alla olika inloggningar (Zeltser, 2015). Samtidigt som det finns mycket forskning på varför lösenordshanterare inte används så finns det ett kunskapsglapp i vilka användarna faktiskt är. Den tidigare forskningen fokuserar framförallt på faktorer såsom användarvänlighet, tillgänglighet och tillförlitlighet (Chaudhary et al., 2019). Dessa faktorer återfinns i teknikacceptans-modellen, en modell framtagen för att förklara användares beslut till att acceptera och använda ny teknologi (Davis, 1985). I grunden för denna modell så ligger "exter-nal factors" - utomliggande faktorer som på något sätt påverkar användarens beslut. Denna uppsats kommer undersöka om användarnas attityd mot lösenordshanterare kan förklaras utifrån skillnader i demografiska variabler som rollen av externa faktorer i modellen. Det kommer därutöver också undersökas om de externa variablerna påverkar det faktiska användandet av verktygen.

Introduktion 3

1.3 Syfte & Kunskapsbidrag

De senaste åren har en mängd studier bedrivits för att försöka förklara varför lösenord-shanterare, trots alla dess fördelar, inte används i större utsträckning (Chaudhary et al., 2019; Chiasson et al., 2006; Karole et al., 2010). Syftet med denna uppsats kommer således vara att undersöka hur olika demografiska variabler påverkar användandet av lösenordshanterare. Dessa variabler kommer tas fram genom att studera två tidigare studier, vilka båda förklarade mänskliga beteenden med hjälp av demografiska variabler (Griffiths et al., 2004; Kalmus et al., 2011). Tidigare forskning har fokuserat på det faktiska verktyget, det vill säga lösenordshanterarna, istället för på användarna. Resultatet av denna undersökning kommer att vara en uppsats som försöker beskriva olika demografiska variablers inverkan på en individs användning av lösenordshanter-are. Uppsatsens syfte kommer att uppnås med hjälp av den redan existerande Teknikac-ceptansmodellen, vilken används som grund för utformning av datainsamlingen. Burton-Jones & Hubona (2006) diskuterar de olika konstruktens kopplingar i sin artikel, och kommer fram till att externa variabler inte bara påverkar nytta och användarvänlighet, utan också den faktiska användningen. Modellen kommer därför i avsnitt 3.2 modifieras för att spegla detta.

De demografiska variabler som visar sig vara signifikanta kommer i sig kunna användas av både forskare för att bättre beskriva orsakerna till den låga användningsgraden, men också av lösenordshanterarnas utvecklare för att utforma bättre strategier för att förbättra sin produkt. Utifrån dessa variabler kan man även identifiera olika grupper där lösenordshanteringen kan vara bristfällig och utifrån dem skapa bättre verktyg, vilket tillåter en större del av befolkningen att kunna åtnjuta fördelarna med säkra lösenord.

1.3.1 Forskningsfrågor

Frågorna som denna uppsats är ämnad att besvara är:

• Hur påverkar demografiska variabler en persons användande av lösenordshanterare? • Finns det en skillnad i hur de demografiska variablerna påverkar attityden till systemet

Introduktion 4

1.4 Avgränsningar

Denna uppsats kommer att inrikta sig på användarna på subredditen r/SampleSize. Detta är en del av den större plattformen Reddit.com, som i sin helhet är en hemsida indelad i en mängd olika sub-forum, med allt från r/Programming, r/Science, eller r/Politics (Reddit, 2020). Vi är medvetna om att dessa forum är skapade utifrån ett specifikt intresse, vilket kan ge en skev fördelning av respondenter då det finns en risk att dessa forum attraherar individer med liknande demografiska egenskaper. Förhopp-ningsvis, med valet av r/SampleSize, kan enkäten nå ut till en mer heterogen grupp respondenter. Denna förhoppning grundas på att r/SampleSize inte är skapad för att tillgodose ett specifikt intresse utan skall användas som ett verktyg för att sprida och besvara diverse akademiska och vardagliga enkäter. Utöver detta är det inte tillåtet att skapa ett användarkonto på Reddit om man är yngre än 13 år, vilket leder till att respondenterna kommer vara, eller åtminstone påstå sig vara, minst 13 år gamla. Uppsatsen kommer att fokusera på att besvara forskningsfrågorna utifrån applikations-baserade och browserapplikations-baserade lösenordshanterare. Gaw & Felten (2006) tar upp ett antal andra typer av lösenordshanterare som användare skulle kunna tänkas använda däribland cookies, filer på datorn eller det egna minnet. Dessa anses dock inte falla under samma kategori av applikationer och browserbaserade lösenordshanterare som denna uppsats ämnar studera, och kommer därför uteslutas.

1.5 Disposition

Uppsatsens är uppdelat i fem stycken större delar (1) Introduktion, (2) Teori, (3) Metod, (4) Empiri, och (5) Diskussion & Slutsats.

Avsnitt två behandlar det teoretiska ramverket Technology Acceptance Model, olika typer av lösenordshanterare samt de statistiska metoder som används för att bearbeta insamlad data.

Avsnitt tre ger en redogörelse för hur forskningsarbetet gått till. Här beskrivs den valda forskningsstrategin och metodik för datainsamling och analys.

I avsnitt fyra presenteras resultatet från datainsamlingen och statistiska analyser utförs. Uppsatsen avslutas i avsnitt fem där metodiken, resultaten och analyserna diskuteras kritiskt för att ge läsaren en så nyanserad bild av ämnet som möjligt.

Teori 5

2 Teori

I detta avsnitt beskrivs detaljerat vad lösenordshanterare är och vad de kan utföra. Även den teoretiska grund som ligger bakom utformandet av enkäten, samt hur de demografiska variablerna kopplas till den redan definierade teknikacceptansmodellen förklaras. Vidare så beskrivs de statistiska metoder och begrepp som kommer nyttjas för att analysera inhämtad data.

2.1 Lösenordshanterare

Under en längre tid har lösenordshanterare varit tillgängliga, både i användarens web-bläsare eller som enskilda applikationer installerade på andra enheter. Dessa är uppde-lade som applikationer och BPMs, vilka förklaras i sina respektive kommande avsnitt.

2.1.1 Applikationer

Det finns flera olika applikationer för lösenordshantering. Några av de mest använda -LastPass, Dashlane, och 1Password - har alla sina egna implementationer av funktioner, men i grunden erbjuder de samma funktionalitet: Ett lösenordsvalv som görs tillgängligt med hjälp av ett huvudlösenord (Coppock, 2020; Rubenking, 2020). Nya användare har möjlighet att lägga in sina nuvarande lösenord i detta valv, men kan också använda inbyggda verktyg för att skapa nya. Dessa lösenord genereras då automatiskt och är både unika och starka. Tillsammans med lösenordet sparas ofta det användarnamn som är kopplat till lösenordet. Tjänsten fungerar sedan genom att användaren installerar applikationernas tillägg i webbläsaren, vilka kan identifiera olika inloggningsformulär på sidor som användaren besöker. När tillägget identifierat ett inloggningsformulär lägger det till en ikon, oftast i slutet av input-fälten, som kan användas som genväg för att automatiskt fylla i information från lösenordsvalvet (LastPass, 2020; Zhiwei et al., 2014).

Lösenorden i dessa applikationer är starkt krypterade (Chris, 2019). Exempelvis så använder sig LastPass och 1Password av "AES-256 bit"-kryptering. LastPass krypterar även sina lösenord tillsammans med "PBKDF2 SHA-256" (1Password, 2020; LastPass, 2020). All kryptering sker på applikationsnivå, vilket innebär att huvudlösenordet och nycklarna för kryptering och dekryptering aldrig finns tillgängliga på leverantörernas servrar (LastPass, 2020).

Teori 6

Några ytterligare anmärkningsvärda funktioner som dessa lösenordshanterare erbjuder är bl.a. delning av lösenord och förbättring av lösenord. Om lösenordshanteraren erbjuder delningsfunktioner beror på vilket verktyg som används men generellt sätt så fungerar dessa genom att en användare bjuder in en annan användare som skall få ta del av ett lösenord. Den primära användaren har fortfarande kontroll över sitt lösenord, men den inbjudna kan då också använda det. Förbättring av lösenord sker genom att verktyget analyserar användarens lösenord och kan avgör om de är starka eller inte. De lösenord som anses vara svaga kan då manuellt ändras av användaren. (LastPass, 2020)

2.1.2 Browserbaserade lösenordshanterare (BPM)

Det finns en annan typ av lösenordshanterare som kan ses som mer lätttillgänglig än de mjukvarubaserade applikationer som beskrivs i avsnitt 2.1.1 då de finns som förinstaller-ade funktioner i en webbläsare (Pearman et al., 2019). Dessa typer av lösenordshanterare finns inbyggda i alla de fem stora webbläsarna Chrome, Safari, Explorer, Firefox och Opera (Zhao & Yue, 2013). Gaw & Felten (2006) beskriver i sin artikel att den del av befolkningen som använder sig av olika webbläsares inbyggda lösenordshanterare är liten, men att den trots allt är större än den del som använder sig av mjukvarubaserade applikationer. BPMs har däremot med en hel del nackdelar som de mjukvarubaserade inte belastas av. En av de stora skillnaderna mellan applikationsbaserade lösenord-hanterare och BPMs är att BPMs är direkt kopplade till en och samma webbläsare vilket begränsar användaren. De har dessutom länge sparat lösenorden lokalt vilket betyder att utöver att vara begränsad till en webbläsare så är användaren också begränsad till en enhet. Ett annat framträdande problem är säkerheten. (Gaw & Felten, 2006) BPMs har länge fungerat mer som en lagringstjänst av redan befintliga lösenord, ofta med dem sparade i klartext (McCarney et al., 2012).

Vissa av de här problemen är idag åtgärdade då lösenorden numera lagras krypter-ade i molnet och funktioner för att synkronisera lösenord mellan enheter utvecklats. Dessa funktioner gör att användning av BPMs definitivt är säkrare än att inte använda lösenordshanterare överhuvudtaget, men det finns fortfarande punkter där de mjuk-varubaserade är mycket vassare. Ett exempel på detta är de funktioner som finns för att generera nya och starka lösenord när ett nytt konto skapas på en hemsida, vilket är något som vissa BPMs har implementerat men långt ifrån alla. Ett annat exempel där BPMs inte hängt med i utvecklingen är de funktioner som finns för att dela lösenord mellan familjemedlemmar. Många mjukvarubaserade lösenordshanterare är dessutom kappabla till att lagra mer än bara lösenord, vilket kan bestå av passkopior, kontrakt eller bankkoder. (Hoffman, 2019)

Teori 7

2.2 Teknikacceptansmodellen

Technology Acceptance Model (TAM) är en modell framtagen av Davis (1985) som en metod för att testa hur ett systems egenskaper påverkar dess acceptans hos sina använ-dare. Modellen, som består av sex ingående delar, är en omarbetad version av Theory of Reasoned Action (TRA) och är menad att bättre beskriva informationsteknologidomä-nen (Davis et al., 1989). TAM är tänkt som ett stöd för utvecklare som vill utvärdera olika tekniska lösningar innan de lanseras. Modellen är skapad med antagandet att en användares övergripande attityd till ett system är en avgörande faktor för att förutspå en individs avsikt att använda systemet, som i sin tur skall förutspå den faktiska an-vändningen. Författaren delar sedan upp attityden till systemet som en funktion av upplevd nytta och upplevd användarvänlighet. Författaren diskuterar dessutom att olika designval har en direkt inverkan på både upplevd nytta och användarvänlighet och därför bara en indirekt inverkan på den faktiska användningen. Dessa designval beskrivs som externa variabler. (Davis, 1985)

Figur 2.1:Technology Acceptance Model (Davis et al., 1989)

Den första delen av modellen (figur 2.1) är externa variabler (external variables). I sin artikel "Why do people use information technology? A critical review of the technology acceptance model" gör Legris et al. (2003) en analys av vilka externa variabler som används i tidigare forskning för att beskriva relationen till upplevd nytta (perceived use-fulness) och upplevd användarvänlighet (perceived ease of use). Resultatet från Legris undersökning finns presenterat i tabell 2.1. Som tidigare nämnts beskrivs individens attityd till användning av systemet (attitude towards using) som en funktion av dessa två konstrukt. Det finns dessutom en relation mellan upplevd användarvänlighet och upplevd nytta som förklaras med att om en individ enkelt och effektivt kan använda sig av systemet så ökar den upplevda nyttan. En av de stora skillnaderna mellan TRA och TAM blir tydlig när nästa steg i TAM modellen granskas närmare. I "User Acceptance of Computer Technology: A Comparison of Two Theoretical Models" argumenterar Davis et al. (1989) för att TAM tar hänsyn till individens motivation att öka sin egen

Teori 8

produktivitet och möjlighet till individuella fördelar trots att den generella attityden till systemet är negativ. Det här representeras av en relationspil från upplevd nytta till avsikt att använda (behavioral intention to use). Modellen beskriver sedan att det finns ett positivt samband mellan avsikt att använda systemet och den faktiska användningen. TAM är en beprövad modell med syftet att förklara användning av en specifik teknologi. Modellen i sig är däremot inte helt okritiserad. En stor del av kritiken grundar sig i att de externa variablerna försummas då de endast anses påverka den upplevda nyttan och användarvänligheten, och inte den faktiska användningen. Burton-Jones & Hubona (2006) kommer i sin artikel "The mediation of external variables in the technology acceptance model" fram till att de externa variablerna inte kan antas att bara påverka nytta och användarvänlighet utan att de också påverkar den faktiska användningen.

Tabell 2.1:Externa variabler använda i olika studier med TAM. (Legris et al., 2003)

Author External variables

Jackson et al. [16] Situational involvement, intrinsic involvement, prior use, argument of change

Igbaria et al. [15] Internal computing support, internal computing training, management support, external com-puting support, external comcom-puting training

Bajaj and Nidumolu [5] No external variable

Gefen and Keil [13] Perceived developer responsiveness

Agarwal and Prasad [1], [2] Role with regard to technology, tenure in workforce, level of education, prior similar experi-ences, participation in training

Lucas and Spitler [19] Quality perceived subjectiveness

Karahanna et al. [17] Compatibility, trainability, visibility, result demonstrability Hu et al. [14] No external varibale

Dishaw and Strong [11] Tool functionality, tool experinece, task technology fit, task characteristics

Venkatesh and Davis [28], [29] Subjective norms, voluntariness, image, job relevance, output quality, result demonstrability Venkateshand Morris [30] Gender, experience

Davis [8], [9] No external variable Davis et al. [10] No external variable Mathieson [20] No external variable Davis et al. [10] Output quality Subramanian [24] No external variable Taylor and Todd [26], [27] Affect of experience Taylor and Todd [26], [27] No external variable Keil et al. [18] No external variable Szajna [25] No external variable

Chau [6] Implementation gap, transitional support

Davis et al. [10] Computer self efficacy, objective usability, direct experience

2.3 Demografiska variabler

Demografiska variabler kan definieras som socioekonomiska karaktäriseringar av en population. Kön, ålder, arbete, inkomst, hobby, eller annat som på något sätt kan fördela en mängd människor i olika grupper (Chappelow, 2019; Dictionary, 2020). I tabell 2.1 kan det utläsas att demografiska variabler har förekommit som externa variabler i enstaka fall i tidigare tillämpningar av TAM. Omfattningen är däremot väldigt begränsad då endast variabler som kön, utbildning, och erfarenhet används för att förklara upplevd nytta och användarvänlighet. I avsnitt 3.3 beskrivs vilka ytterligare demografiska variabler

Teori 9

som kommer undersökas efter påverkan på både upplevd nytta och användarvänlighet men också på det faktiska användandet av lösenordshanterare.

2.4 Statistiska analyser

I det här avsnittet förklaras de statistiska analyser och metoder som kommer att använ-das i uppsatsen. Detta för att ge läsaren en bättre bild och djupare förståelse av resultatet och hur slutsatserna dragits.

2.4.1 Statistisk signifikans och frihetsgrader

En drivkraft inom många statistiska undersökningar är att hitta skillnader eller likheter mellan olika grupper. Ett sätt att säkerställa att dessa likheter eller skillnader är äkta och inte beror på slumpen är att undersöka den statistiska signifikansen i sambandet. Den statistiska signifikansen är alltså ett mått på hur stor chans det är att sambandet är äkta. Signifikansnivå är den av forskaren valda nivå som används för att beskriva sannolikheten att sambandet är äkta och inte beror på slumpen. (Sauro, 2014) En vanlig nivå i många undersökningar är 95% vilket betyder att det uppmätta sambandet inte ska förekomma i 5% av alla undersökningar som utförs på liknande sätt. Valet av sig-nifikansnivå är en avvägning mellan risken att acceptera ett samband som inte finns (typ II fel) eller förkasta ett äkta samband (typ I fel). (Labovitz, 1968)

Ett annat viktigt begrepp är frihetsgrader, som enkelt kan beskrivas som hur många variabler som är fria att variera (Frisk, 2019). För ett chi-square test beräknas antalet frihetsgrader med hjälp av formeln(r−1)(c−1)där r=antalet rader i en korstabell och c=antalet kolumner i tabellen (Dahmström, 2005).

2.4.2 Univariat analys

I sin bok “Från datainsamling till rapport” skriver Dahmström (2005) att man bör inleda med att “lära känna materialet”, vilket görs genom att skapa tabeller och diagram för att se frekvensfördelningen bland de olika variablerna. En inledande analys kan uppmärksamma om några av svaren sticker ut, om några av frågorna har oväntat låg svarsfrekvens, om svaren är symmetriskt fördelade, eller om undersökningen drabbats av bortfall. Utifrån denna analys kan då fel hanteras som uppstår i form av saknade värden eller anomalier. Det viktiga med denna analys är att endast en faktor i taget analyseras. Eftersom det endast är en faktor som är relevant i en univariat analys så kommer inga relationer eller jämförelser att kunna genomföras i detta steg.

2.4.3 Korrelationsanalys

Korrelationanalys kan göras för att se om olika variabler påverkar varandra på ett positivt eller negativt sätt. Korrelation beskrivs av ett värde x, som uppfyller villkoret

Teori 10

−1≤x≤1. Ett värde nära 1 indikerar en stark positiv korrelation mellan de två vari-ablerna som undersöks och ett värde nära -1 indikerar en stark negativ korrelation. Ett värde som är nära noll tyder på att det inte finns någon korrelation mellan de undersökta variablerna (Dahmström, 2005). Det finns framförallt två metoder för att beräkna korre-lationskoefficienten: Pearson’s Product-Moment correlation och Spearman’s rank-order correlation. Den viktiga skillnaden mellan dessa två är att Spearmans korrelation är ett icke-paremetriskt test som kan utföras på data på nominalskala medan Pearsons kan användas på variabler på intervall och kvotskala. (Bishara & Hittner, 2012)

2.4.4 Chi-square test

Chi-square test är ett statistiskt verktyg som används för att undersöka om det finns ett samband mellan två variabler på nominal eller ordinalskala. Detta test mäter avvikelsen mellan de observerade frekvenserna och de förväntade frekvenserna genom ekvation 2.1. Där Oi=observerad frekvens, Ei=förväntad frekvens och k=totala antalet celler

i korstabellen. Hur stor den uppmätta avvikelsen behöver vara för att ett samband skall kunna påvisas beror på vilken signifikansnivå som valts samt det givna antalet frihetsgrader. (Dahmström, 2005) χ2= k

∑

McHugh (2013) beskriver sex stycken förutsättningar för att genomföra ett Chi-square test. Från dessa framgår det att varje respondent endast får bidra med data till en av cellerna i korstabellen, varje cell skall utesluta de andra samt att de förväntade frekvenserna i alla celler inte understiger fem i mer än 80 procent av fallen och att ingen av cellerna skall ha ett förväntat värde på mindre än ett. Utöver dessa fyra så ska värdena i korstabellen vara presenterade i antal och inte i procent och den insamlade datan skall vara oberoende.

2.4.5 Kruskal-Wallis H test

Kruskal-Wallis H test används ofta för att undersöka om det finns skillnader mellan två eller flera grupper utifrån en oberoende variabel. Testet är ett icke-parametriskt test vilket innebär att den beroende variabeln kan vara på ordinalskala och testet kan fortfarande genomföras. En begränsning som finns är att testet endast kan upptäcka att det finns en signifikant skillnad mellan minst en av grupperna gentemot de resterande men eftersom det också tillåter att flertalet grupper testas kan man från resultatet inte läsa ut vilken av grupperna det är som skapar resultatet. (LærdStatistics, 2018a)

Teori 11

2.4.6 Mann-Whitney U test

Detta test likt Kruskal-Wallis testet går ut på att undersöka om det finns någon skillnad i fördelningen i en beroende variabel på ordinal, intervall eller kvotskala. Skillnaden mot ett Kruskal-Wallis test är att Mann-Whitney endast kan utföras med en oberoende variabeln indelad i två grupper där Kruskal-Wallis kan utföras med två eller flera. Detta kan vara t.ex kön där grupperna är man eller kvinna. För att kunna utföra ett testet krävs det att fyra stycken förutsättningar uppfyllts. Den beroende variablen skall vara på ordinal, intervall eller kvotskala. Den oberoende variabeln skall bestå av två kategoriska och oberoende grupper. Observationerna i datasetet ska vara oberoende, det vill säga att en individ inte får förekomma i båda kategorierna i den oberoende variabeln. Den sista förutsättningen är att de två variablerna inte skall vara normalfördelade. (LærdStatistics, 2018b)

2.4.7 SmartPLS

SmartPLS är en applikation som använder sig av Partial Least Square - Structural Equa-tion Modeling (PLS-SEM), vilket är en multivariat dataanalysmetod. Detta verktyg är fördelaktigt att använda om storleken på urvalet är liten, och den undersöker samband mellan olika variabler kopplade till en modell. För att göra detta delas modellen upp i en inre och en yttre del, där den inre beskriver sambandet mellan latenta konstrukt och dess påverkan på varandra, och den yttre beskriver varje indikators koppling till sitt tilldelade latenta konstrukt. De beräkningar som utförs skiljer sig åt beroende på vilken slags modell som används, nämligen formativ eller reflektiv. För att avgöra om en modell är formativ eller reflektiv så ställs frågan: "Är indikatorerna något som påverkar eller blir påverkade av det konstrukt som mäter dem?". Om indikatorerna är påverkade av konstrukten har man en reflektiv modell, och är de något som påverkar konstrukten har man en formativ modell. I figur 2.2 syns pilar riktade mot indikatorerna, vilket visar en reflektiv modell. (Garson, 2016; Wong, 2013)

I den inre modellen ses varje latent konstrukts "R-square" värde och path coefficients, vilka med pilar visar relationen mellan dem. "R-square" värdet förklarar hur stor del av variansen i varje konstrukt som kan förklaras av de andra latenta variablerna i modellen, medan path coefficients beskriver hur stark effekten av ett konstrukt är på ett annat. I den yttre modellen ser man "outer loadings" kopplade till indikatorerna. Dessa förklarar varje enskild indikators (QT_1, QE_2, o.s.v. i figur 2.2) bidrag till definitionen av kon-struktet och bör ha ett värde som är högre än 0.708. (Garson, 2016)

Teori 12

Figur 2.2:Exempelgraf med 2 latenta konstrukt med 2 respektive 3 indikatorer

För att validera en reflektiv modell och dess pålitlighet och giltighet kan man använda Chronbach’s alpha, Composite Reliability och AVE. Cronbach’s alpha och Composite Reliability är båda mått på den interna konsistensen, "internal consistency reliability", av indikatorerna, hur väl våra uppsättningar av frågor är relaterade till varandra. Helst ska dessa värden vara över 0.7. I ekvation 2.2 beskrivs hur Cronbach’s alpha räknas ut, där N är antal indikatorer tilldelade till konstrukten, σ2

i är variansen av indikator i och σ_t2är summan av alla tilldelade indikatorers värden. (Tavakol & Dennick, 2011)

α=  N N−1  ∗       1− N

∑

AVE, average variance extracted, är ett mått på indikatorernas genomsnittliga gemen-skap , "average communaltiy", hur väl de är sammankopplade. Ekvation 2.3 beskriver detta, där λ2_i är squared loading av indikator i av en latent variabel och var(ei)är squared

measurement error av indikator i. (Fornell & Larcker, 1981)

AVE=   

∑

∑

∑

Metod 13

3 Metod

I detta avsnitt beskrivs den metodik som uppsatsen kommer att använda. Forskningsansatsen förklaras och en djupare förklaring av metodiken för datainsamling och dataanalys presenteras.

3.1 Forskningsansats

Strategin undersökning är när man har fokus på att samla in samma data från en stor grupp av människor på ett standardiserat och systematiskt sätt (Oates, 2006). För att utföra detta kommer analysen i denna uppsats utföras med hjälp av statistiska metoder som beskrivs mer ingående i avsnitt 3.4. Som tidigare nämnt har flera tidigare un-dersökningar inom detta ämne utförts på ett kvalitativt sätt (Chaudhary et al., 2019; Chiasson et al., 2006; Karole et al., 2010). Däremot så kommer datan att samlas in och analyseras nästan fullständigt kvantitativt. I sin artikel om datorspelsvana har förfat-tarna utfört kvantitativ datainsamling och analys för att beskriva datorspelsvanor utifrån demografiska variabler (Griffiths et al., 2004). På samma sätt har Gjurkovi´c & Šnajder (2018) i sin artikel utfört insamlingen och analysen kvantitativt för att kunna förutspå en redditanvändares personlighetstyp utifrån demografiska variabler och aktivitet på nätet. De likheter man kan se mellan dessa artiklar och denna uppsats tyder på att valet av kvantitativa metoder kan ge framgångsrika resultat.

3.2 Modifierad TAM

Då uppsatsens frågeställningar framförallt berör variablernas inverkan på konstrukten upplevd nytta, användarvänlighet, attityd till systemet samt faktisk användning så presenterar vi en modifierad version av TAM i figur 3.1 där externa variabler, i detta fall de demografiska variablerna, har en inverkan på modellens samtliga delar. Konstruktet "intention till användning" (Intention to Use) rationaliseras bort då den inte har en praktisk implementation i denna uppsats.

Metod 14

Figur 3.1:Modifierad Technology Acceptance Model

3.3 Metodik för datainsamling

Det empiriska materialet som ligger till grund för analysen som presenteras i avsnitt 4 samlades in med hjälp av en enkät som skapats på Surveyplanet.com. Detta verktyg användes för att skapa en mer visuellt tilltalande och användarvänlig upplevelse som skulle öka chanserna att respondenterna fullföljde enkäten (Beadell, 2015). Valet att använda sig av en enkät kommer från uppsatsens forskningsstrategi, undersökning, då vi snabbt behöver få in standardiserad data från ett stort antal respondenter. En länk till enkäten publicerades därefter på subredditen r/SampleSize med en tillhörande text som förklarade undersökningens syfte. Påminnelser om att besvara enkäten var av subredditens moderatorer tillåtna att skickas ut en gång var 24:e timme (r/SampleSize, 2020). Jamnik & Lane (2017) menar att reddit.com är ett bra alternativ för att rekrytera re-spondenter online då användargruppen är mer mångfaldig än traditionella plattformar som t.ex. Amazon Mechanical Turk. Svaren i artikeln visar dessutom på hög tillförl-itlighet och intern konsistens, "internal consistency". Även Shatz (2017) argumenterar för reddit.com som en bra plattform för datainsamling. Han argumenterar framförallt för den stora mängden svar som kan fås på kort tid samt möjligheten att rikta in sig mot specifika demografier och intressen. Båda artiklarna nämner kostnaden som ett stort plus då respondenterna från reddit.com inte får betalt för sitt engagemang, till skillnad från Amazon Mechanical Turk, vilket underlättar för mindre undersökningar. Vid datainsamlingen följdes dessutom de riktlinjer som Shatz (2017) presenterar för att öka sannolikheten för att få ett stort antal svar. Däribland valdes vilka dagar som enkäten skulle publiceras och när påminnelser skulle skickas ut. De tidpunkter som

Metod 15

publikation och påminnelser genomfördes valdes så att enkäten skulle få stor spridning i olika delar av världen och inte bara i Europa. Totalt publicerades enkäten fem gånger under en vecka och i samtliga fall fanns uppsatsens författare tillgängliga för att svara på eventuella frågor som inkommit.

3.3.1 Urval

Denna uppsats syftar till att besvara frågan hur demografiska variabler påverkar attityd mot och användning av lösenordshanterare. Detta leder till att urvalsramen begränsas till de personer som har tillgång till en dator eller liknande och använder sig av tjänster där lösenord används för att identifiera sig, eftersom det är de som har möjlighet och behov av att använda lösenordshanterare. Eftersom det inte är praktiskt möjligt att göra en totalundersökning krävs det att ett urval av respondenterna görs. Metoden som används i denna uppsats är ett icke-slumpmässigt urval där den specifika metoden är ett självurval. Ett självurval går ut på att en specifik respondent inte valts ut av undersökarna utan deltagandet är helt frivilligt (Dahmström, 2005). En nackdel med att använda sig av självurval är att det finns en risk att de respondenter som väljer att besvara enkäten gör det för att de har en stark åsikt i frågan. I detta fall kan det röra sig om personer som antingen är väldigt mycket emot lösenordshanterare eller de som tycker att det är ett bra verktyg. Då reddit.com är en plattform som använder sig av lösenord som identifieringsmekanism samt att det krävs en dator eller telefon för att komma åt tjänsten faller dess användare inom urvalsramen. Totalt genererade enkäten 114 svar. Utav dessa exkluderades en eftersom respondenten angett att den inte visste om den använde lösenordshanterare eller inte.

3.3.2 r/SampleSize

SampleSize är som tidigare nämnt en subreddit på hemsidan Reddit.com, vilket innebär att plattformens användare kan exponeras för vår enkät på två olika sätt. Det första alternativet är att användarna har en prenumeration på subredditen, vilket leder till att inlägget dyker upp i deras flöde. Att vända sig endast till användarna av denna subreddit kan medföra att de förväntande respondenterna uppvisar en viss homogenitet, då man kan anta att de har ett intresse för undersökningar eller enkäter på något sätt. Detta kommer att beaktats under de kommande analys- och diskussionsdelarna. Det andra alternativet är att ett inlägg får så pass mycket uppmärksamhet och interaktioner att det skulle visas i Reddits huvudflöde, r/All. Detta är dock orimligt, eftersom det vanligtvist krävs tusentals interaktioner för att detta ska ske, vilket inte förväntas av inlägget med enkäten. (Reddit, 2020)

Metod 16

3.3.3 Enkätfrågor

Alla frågor som ställs i enkäten kan kopplas till olika konstrukt i den modifierade versionen av TAM. Inledningsvis kommer demografiska frågor att ställas och dessa grupperas till "External varibales" i tabell 3.1. Respondenterna uppmanas här att besvara frågor om kön, ålder, inkomst, civilstatus, utbildningsnivå, nationalitet och yrkesom-råde, vilka är vanligt förekommande frågor i demografiska undersökningar. I sin artikel “Demographic Factors and Playing Variables in Online Computer Gaming” använder sig Griffiths et al. (2004) av kön, ålder, civilstatus, utbildningsnivå, nationalitet och yrkesområde för att förklara teknikacceptans i form av datorspel. En annan studie använder sig av en liknande metod för att förklara hur demografiska variabler påverkar internetanvändande. Där ser vi att författarna utöver ålder och kön också ställer so-cioekonomiska frågor om utbildningsnivå och inkomst (Kalmus et al., 2011). Eftersom dessa två undersökningar båda förklarade olika typer av teknikacceptans genom att jämföra dessa demografiska variabler utformar vi enkäten till denna undersökning med detta i åtanke. Vi kommer även ställa två stycken frågor där respondenterna uppmanas ange sin datorvana samt hur många unika lösenord de använder. Dessa två frågor användes i en tidigare studie som också undersökte ifall individer använder lösenord-shanterare eller inte (Fagan et al., 2017).

Vidare så kommer frågor att ställas kopplade till konstrukten upplevd nytta, "Perceived Usefullness". Dessa frågor är utformade så att respondenten får ta ställning till påståen-den relaterade till påståen-den upplevda nyttan med lösenordshanterare. Exempelvis så kommer vi undersökas om respondenterna håller med om att lösenordshanterare skulle hjälpa dem att komma ihåg lösenord, eller om lösenordhanterarna skulle vara användbara i respondenternas dagliga aktiviteter online. Nästa konstrukt från modellen är upplevd användarvänlighet, "Perceived Ease of Use". Här ställs också frågor i form av påståen-den, men relaterat till hur användbara respondenten upplever att lösenordshanterare är. Sedan kommer påståenden kopplade till respondenternas attityd mot användande, "Attitude Toward Using", av lösenordshanterare. Alla påståenden i dessa frågor presen-teras med en Likert-skala på 5 steg, där "1" motsvarar att de "Starkt inte håller med", och "5" att de "Starkt håller med". I sin artikel "Developing Likert-Scale Questionnaires" argumenterar Nemoto & Beglar (2013) för att man bör ha ett jämnt antal svarsalternativ. Däremot finns det studier som tyder på att ha ett neutral svar, det vill säga ett udda antal svar, inte ger mer än försumbar förändring av resultatet (Armstrong, 1987). Vi är medvetna om att valet av en 5-gradig skala kan ha en liten negativ inverkan på resultatet, men har valt detta för att underlätta för både respondenten och oss själva i den efterkommande analysen.

Metod 17

Slutligen ställs frågan "Do you use any form of password management?" för att få en koppling till den sista konstrukten av modellen: faktiskt användning av systemet, "Actual system use". Användare får där valet att svara ja till om de använder de stand-alone applikationer som besrkivs i avsnitt 2.1.1, BPMs från avsnitt 2.1.2, om de inte vet, eller om de inte använder något alls. Enkäten avslutas med en öppen fråga där respondentera får kommentera vad de vill angående ämnet. Dessa kommentarer kan förhoppningsvis ge ytterligare värde till den analys som ska ske.

Tabell 3.1:Gruppering av frågor

Konstrukt från modell Frågor

External Variables

Q1 Please select your gender Q2 Please select your age group Q3 What is your nationality?

Q4 Please select the option that best reflects your marital status Q5 What is the highest level of education you have received? Q6 Please select the option that best categorizes your current or most recent occupation

Q7 What is your annual income?

Q8 How many different unique passwords do you have? Q9 How would you rate your computer proficiency?

Perceived Usefullness (U)

Q10_1 Password managers would help me remember my passwords Q10_2 Password managers would help me use more secure passwords Q10_3 Password managers make online authentication easier

Q10_4 Password managers would be useful in my everyday activities online Q10_5 Password managers offer the functions I need

Perceived Ease of Use (E)

Q11_1 Learning to operate password managers would be easy for me Q11_2 I would find password managers easy to use

Q11_3 I know how password managers work

Q11_4 I would find it easy to get the password manager to do what i want it to do Q11_5 I would find password managers to be flexible to interact with

Q11_6 It is easier to use a password manager for my password than remembering them

Attitude Toward Using (A)

Q12_1 I think password managers are a good tool Q12_2 I would feel secure using password managers

Q12_3 I feel comfortable storing my passwords in a password manager Q12_4 Using password managers is good for my online security Q12_5 I think it is valuable to use password managers

Actual System Use (AU) Q13 Do you use any form of password management?

Metod 18

3.4 Metodik för dataanalys

Från Surveyplanet exporterades en CSV-fil vilket sedan importerades till statistikverk-tyget SPSS där samtliga statistiska tester, förutom den multivariata analysen, genom-fördes. Alla analyser som genomfördes i SPSS är utförda i version 26. Inledningsvis utfördes den univariata analysen genom att skapa tabeller och diagram för att se hur fördelningen inom varje demografisk grupp såg ut. Den valda signifikansnivån för denna uppsats är 0.05, det vill säga de samband med p-värde under 0.05 anses vara statistiskt signifikanta och är med 95% sannolikhet inte beroende på slumpen.

Utifrån dessa tabeller, av vilka ett urval finns representerade i avsnitt 4.1, identifierades att en del svarsalternativ innehöll för få svar för att kunna användas i analysen. För att kunna använda svarsalternativen med låga svarsfrekvenser, och kunna genomföra Chi-square tester, grupperades svaren ihop på flera av de demografiska frågorna. Exem-pelvis grupperades de 27 angivna nationaliteterna till 4 geografiska grupper. Samtliga variabler kodades dessutom om så att de representerades av ett numeriskt värde istället för den klartext som exporterats från enkäten. Detta gjordes för att test som t.ex. Kruskal-Wallis, vilket kräver numeriska värden för att fungera, skulle kunna genomföras. Chi-square testerna genomfördes för att påvisa eventuella skillnader i användning av lösenordshanterare inom de demografiska grupperna. Samtliga variabler, med de ska-pade grupperingarna där det var nödvändigt, undersöktes och ett urval av intressanta resultat presenteras i avsnitt 4.2.

Därefter utfördes korrelationstester på frågorna i Q10, Q11 och Q12 för att undersöka den interna korrelationen i dessa frågor. Resultatet presenteras i avsnitt 4.3 och syftet med testerna var att undersöka om frågorna kan anses vara korrekt ställda och adekvata för att bygga upp de individuella konstrukten i den modifierade versionen av TAM. En analys med hjälp av smartPLS kunde då genomföras för att undersöka om frågorna ställda i Q10, Q11 och Q12 har en signifikant påverkan på modellen som presenterades i avsnitt 3.2. Denna analys visade också hur mycket av variationen i användning av lösenordshanterare som kan förklaras av modellen.

Modellen validerades i smartPLS vilket tillät oss att undersöka om det finns en skillnad i hur användare och icke användare besvarat frågorna Q10, Q11 och Q12 med hjälp av Kruskal-Wallis testet. Då modellen förklarade en stor del av variansen i fråga Q13, faktiskt användning av lösenordshanterare, utifrån svaren på frågorna Q10, Q11 och Q12 blev det möjligt att analysera svaren från de olika demografiska grupperna med avseende på dessa.

Empiri 19

4 Empiri

I detta avsnitt presenteras och analyseras ett urval av det resultat som enkäten genererade med hjälp av frekvenstabeller och andra beskrivande diagram. Chi-square tester och korrelationsanalys utförs och följs upp av en multivariat analys med PLS av vår modifierade TAM-modell.

4.1 Presentation av univariat analys

Fullständiga svarsfrekvenstabeller för varje fråga finns bifogat i bilaga B. Figur 4.1 visar antalet respondenter som valt man, kvinna eller annat i enkäten. Totalt av de respon-denter som fanns med i analysen efter att en utelämnats på grund av saknade värden var det 69 som valde man, 38 kvinna och 6 annat. Figur 4.2 visar en större del yngre respondenter med t.ex. 60 svar i gruppen 19-24, och endast 1 respektive 4 i "45-54 years old" och "55-64 years old". Ingen äldre än 64 år svarade på enkäten.

Empiri 20

Figur 4.2:Fördelning av ålder

På frågan om inkomst var det 23 som valde "Prefer not to answer", vilket resulterade i 20.2% avsaknade värden för denna fråga. Utöver det var det många av respondenterna som hade en låg inkomst, med 50 svar i alternativet "< 20 000 $". Fördelningen av detta presenteras i figur 4.3. Användande av lösenordshanterare var väl fördelat med 34.2, 29.8 och 35.1% av svaren i respektive stapel i figur 4.4.

Empiri 21

Figur 4.4:Användande av lösenordshanterare

Fördelningen av nationaliteter var mycket spridd, med 27 unika svar. Dessa grupper-ades under olika kontinenter och i ett fall nordiska länder för att få nog med svar per grupp. Detta presenteras i figur 4.5. Majoriteten, 44 stycken, av respondenterna valde United States of America som sin nationalitet. Utbildningsnivån var förhållandevis hög, med 49.7% av respondenter med minst en kandidatutbildning. En mindre del, 3 stycken, hade en utbildningsnivå på "Doctoral Degree" eller högre, vilket visas i Figur 4.6.

Empiri 22

Figur 4.6:Utbildningsnivå

Många av respondenterna uppskattade att de hade en hög nivå av "Computer profi-ciency". I figur 4.7 ser man endast 3 svar i "Below Average" och en avsaknad av en stapel för "Poor", då det var 0 respondenter som valde det svaret. Antalet unika lösenord som respondenterna använde varierade. Vanligast var att man använde "5-15" stycken, och ovanligast var "16-25". Detta visas i figur 4.8.

Empiri 23

Figur 4.8:Antal unika lösenord

Åsiktsfrågorna som ställdes angående "Perceived Usefullness", "Perceived Ease of Use" och "Attitude Toward Using" summeras i figur 4.9, 4.10 och 4.11. Större delen av frågorna bemöttes av ett medhållande, då alla förutom två av påståendena hade mest svar i "Strongly Agree". Störst oenighet fanns i fråga 12a-e, där svaren är mer spridda över alla alternativ.

Empiri 24

Figur 4.10:Frågor relaterade till "Perceived Ease of Use"

Empiri 25

4.2 Chi-square tester

För att se om det fanns en skillnad i användning av lösenordshanterare inom de de-mografiska variablerna genomfördes Chi-square tester på samtliga av variablerna. I tabellerna med resultaten från Chi-square testerna är p-värdet presenterat som "Asymp-totic Sig. (2-sided)" i raden för Pearson Chi-Square. Ett urval av resultaten presenteras i tabellerna 4.1-4.8.

4.2.1 Kön

När testet genomfördes för variabeln kön uteslöts de individer som angett "Other" för att det fanns för få respondenter i denna kategori, vilket resulterade i att de förväntade frekvenserna understeg det minsta värdet som presenterades i avsnitt 2.4.4. Genom att utesluta dem från den här delen av dataanalysen sjönk antalet respondenter från 113 stycken till 106 stycken. I tabell 4.2 och 4.1 kan det utläsas att det finns tendenser till en skillnad mellan hur män och kvinnor använder lösenordshanterare men att den skillnaden inte är signifikant på 95% nivån då p-värdet för testet är 0.067.

Tabell 4.1:Kön mot användning av lösenordshanterare

Gender

UsageOfPM Male Female Total

No Count 22 18 40

Expected Count 26,0 14,0 40,0 Yes, browser based application Count 19 12 31

Expected Count 26,0 14,0 40,0 Yes, stand alone application Count 28 7 35

Expected Count 22,8 12,2 35,0

Total Count 69 37 106

Expected Count 69,0 37,0 106,0

Tabell 4.2:Resultat från Chi-square test av tabell 4.1

Value df Asymptotic Sig. (2-sided) Pearson Chi-Square 5,414a _{2 ,067}

Likelihood Ratio 5,674 2 ,059 Linear-by-Linear Association 4,994 1 ,025 N of Valid Cases 106

Empiri 26

4.2.2 Utbildning

Tabell 4.3 och 4.4 visar förhållandet mellan utbildningsnivå och användning av lösenord-shanterare. Resultatet från det testet tyder på att det inte finns någon skillnad i använd-ning mellan de olika utbildanvänd-ningsnivåerna. Ett problem med detta test är att tre celler har ett förväntat värde under 5 och att alla dessa återfinns i den högsta utbildningsnivån. Antalet giltiga svar i denna undersökning var 112 stycken, det var alltså bara en av alla de 113 som besvarade enkäten som valde att inte svara på frågan om utbildningsnivå.

Tabell 4.3:Utbildningsnivå mot användning av lösenordshanterare

Education

UsageOfPM Low Medium High Total

No Count 9 27 3 39

Expected Count 8,0 27,5 3,5 39,0 Yes, browser based application Count 8 22 4 34

Expected Count 7,0 24,0 3,0 34,0 Yes, stand alone application Count 6 30 3 39

Expected Count 8,0 27,5 3,5 39,0

Total Count 23 79 10 112

Expected Count 23,0 79,0 10,0 112,0

Tabell 4.4:Resultat från Chi-square test av tabell 4.3

Value df Asymptotic Sig. (2-sided) Pearson Chi-Square 1,614a _{4 ,806}

Likelihood Ratio 1,627 4 ,804 Linear-by-Linear Association ,407 1 ,524 N of Valid Cases 112

Empiri 27

4.2.3 Antal lösenord

Antal lösenord var en annan av de demografiska variablerna där en signifikant skillnad mellan grupperna upptäcktes i samband med Chi-square testerna. Tabell 4.5 och 4.6 presenterar detta resultat där vi kan se att p-värdet för den upptäckta skillnaden är 0.000 vilket betyder att skillnaden är signifikant även på 99% signifikansnivå. Det kan dessutom utläsas att det som har fler än 50 stycken lösenord överstiger det förväntade värdet med ungefär 150%. På samma sätt är de som har färre än 5 unika lösenord överrepresenterade bland de som inte använder lösenordshanterare. Totalt svarade 110 stycken av de 113 möjliga på denna fråga.

Tabell 4.5:Antal lösenord mot användning av lösenordshanterare

Nr of Passwords

UsageOfPM <5 5-15 16-50 50+ Total

No Count 11 18 7 2 38

Expected Count 6,2 13,5 7,9 10,4 38,0 Yes, browser based application Count 6 19 7 1 33

Expected Count 5,4 11,7 6,9 9,0 33,0 Yes, stand alone application Count 1 2 9 27 39

Expected Count 6,4 13,8 8,2 10,6 39,0

Total Count 18 39 23 30 110

Expected Count 18,0 39,0 23,0 30,0 110,0

Tabell 4.6:Resultat från Chi-square test av tabell 4.5

Value df Asymptotic Sig. (2-sided) Pearson Chi-Square 63,712a 6 ,000

Likelihood Ratio 70,759 6 ,000 Linear-by-Linear Association 43,551 1 ,000 N of Valid Cases 110

Empiri 28

4.2.4 Datorvana

Hur respondenterna uppskattar sin egen datorförmåga har en signifikant påverkan på om de använder sig av lösenordshanterare eller inte. Tabell 4.7 och 4.8 visar denna skillnad där 24 stycken som angett att de använder sig av lösenordshanterare också uppskattat sin datorvana som "excellent". Det förväntade värdet för denna kategori var 15,3 vilket medför att det observerade värdet var nästan 50% högre än det förväntade. Antalet som svarat att de inte använder sig av lösenordshanterare och angett "Average" på datorvana översteg det förväntade värdet med nästan 30%. Ett problem med denna del av analysen är att 25% av cellerna har ett förväntat värde under 5 och en cell är så låg som 0,91. Alla dessa celler finns i den grupp som angett "Below average" på frågan om datorvana. Antalet respondenter som ingick i analysen var 112 stycken av de 113 möjliga vilket innebär att endast en valde att avstå från denna fråga.

Tabell 4.7:Datorvana mot användning av lösenordshanterare

Computer Proficiency

UsageOfPM Below Avg. Avg. Above Avg. Excellent Total

No Count 1 9 17 12 39

Expected Count 1,0 6,6 16,0 15,3 39,0 Yes, browser based application Count 2 7 17 8 34

Expected Count ,9 5,8 14,0 13,4 34,0 Yes, stand alone application Count 0 3 12 24 39

Expected Count 1,0 6,6 16,0 15,3 39,0

Total Count 3 19 46 44 112

Expected Count 3,0 19,0 46,0 44,0 112,0

Tabell 4.8:Resultat från Chi-square test av tabell 4.7

Value df Asymptotic Sig. (2-sided) Pearson Chi-Square 14,960a 6 ,021

Likelihood Ratio 15,820 6 ,015 Linear-by-Linear Association 7,931 1 ,005 N of Valid Cases 112

Empiri 29

4.3 Korrelationanalys

Korrelationsanalysen som finns presenterad i tabellerna 4.9-4.11 utfördes utifrån Spear-man’s metod. De visar att det finns en hög korrelation mellan samtliga frågor i varje konstrukt och att samtliga är signifikanta på antingen 95% eller 99% signifikansnivå. Förteckning för frågorna finns i bilaga A.

Tabell 4.9:Korrelationsanalys av Q10_1-5 Q10_1 Q10_2 Q10_3 Q10_4 Q10_5 Q10_1 Correlation Coefficient 1,000 ,321** ,374** ,370** ,372** Sig. (2-tailed) . ,001 ,000 ,000 ,000 N 113 113 113 113 113 Q10_2 Correlation Coefficient ,321** 1,000 ,546** ,645** ,586** Sig. (2-tailed) ,001 . ,000 ,000 ,000 N 113 113 113 113 113 Q10_3 Correlation Coefficient ,374** ,546** 1,000 ,719** ,544** Sig. (2-tailed) ,000 ,000 . ,000 ,000 N 113 113 113 113 113 Q10_4 Correlation Coefficient ,380** ,645** ,719** 1,000 ,782** Sig. (2-tailed) ,000 ,000 ,000 . ,000 N 113 113 113 113 113 Q10_5 Correlation Coefficient ,372** ,586** ,544** ,782** 1,000 Sig. (2-tailed) ,000 ,000 ,000 ,000 . N 113 113 113 113 113 Tabell 4.10:Korrelationsanalys av Q11_1-6 Q11_1 Q11_2 Q11_3 Q11_4 Q11_5 Q11_6 Q11_1 Correlation Coefficient 1,000 ,813** ,681** ,623** ,629** ,211* Sig. (2-tailed) . ,000 ,000 ,000 ,000 ,025 N 113 113 113 113 113 113 Q11_2 Correlation Coefficient ,813** 1,000 ,704** ,733** ,637** ,353** Sig. (2-tailed) ,000 . ,000 ,000 ,000 ,000 N 113 113 113 113 113 113 Q11_3 Correlation Coefficient ,681** ,704** 1,000 ,685** ,545** ,414** Sig. (2-tailed) ,000 ,000 . ,000 ,000 ,000 N 113 113 113 113 113 113 Q11_4 Correlation Coefficient ,623** ,733** ,685** 1,000 ,738** ,504** Sig. (2-tailed) ,000 ,000 ,000 . ,000 ,000 N 113 113 113 113 113 113 Q11_5 Correlation Coefficient ,629** ,637** ,545** ,738** 1,000 ,455** Sig. (2-tailed) ,000 ,000 ,000 ,000 . ,000 N 113 113 113 113 113 113 Q11_6 Correlation Coefficient ,211* ,353** ,414** ,504** ,455** 1,000 Sig. (2-tailed) ,025 ,000 ,000 ,000 ,000 . N 113 113 113 113 113 113

Empiri 30 Tabell 4.11:Korrelationsanalys av Q12_1-5 Q12_1 Q12_2 Q12_3 Q12_4 Q12_5 Q12_1 Correlation Coefficient 1,000 ,852** ,803** ,863** ,883** Sig. (2-tailed) . ,000 ,000 ,000 ,000 N 113 113 113 113 113 Q12_2 Correlation Coefficient ,852** 1,000 ,926** ,879** ,899** Sig. (2-tailed) ,000 . ,000 ,000 ,000 N 113 113 113 113 113 Q12_3 Correlation Coefficient ,803** ,926** 1,000 ,874** ,854** Sig. (2-tailed) ,000 ,000 . ,000 ,000 N 113 113 113 113 113 Q12_4 Correlation Coefficient ,863** ,879** ,874** 1,000 ,880** Sig. (2-tailed) ,000 ,000 ,000 . ,000 N 113 113 113 113 113 Q12_5 Correlation Coefficient ,883** ,899** ,854** ,880** 1,000 Sig. (2-tailed) ,000 ,000 ,000 ,000 . N 113 113 113 113 113

Empiri 31

4.4 Multivariat analys med PLS

Figur 4.12 visar de uträknade "R-square" värdena och path coefficients som smartPLS tagit fram. Path coefficients från Perceived Ease of Use till Perceived Usefullness är 0.669, från Perceived Ease of Use till Attitude Toward Using 0.090, från Perceived Usefullness till Attitude Toward Using 0.773 och Attitude Toward Using till Actual system Use 0.779. Perceived Ease of Use förklarar 44% av variansen i Perceived Usefullness. Tillsammans så förklarar Perceived Ease of Use och Perceived Usefullness 69.9% av variansen i Attitude Toward Using, som i sin tur förklarar 60.6% av variansen i Actual System Use.

Empiri 32

Tabell 4.12 visar att modellens tillförlitlighet är bra, med samtliga värden i kolumnerna "Composite reliability", "Cronbach’s α" och "AVE" över sina respektive tröskelvärden. Majoriteten av indikatorernas outer loadings är över tröskelvärdet, med bäst resultat i A, och sämst i E.

Tabell 4.12:Reflective measurment model assesment

Convergent validity Internal consistency reliability Outer loadings AVEa _{Composite reliability Cronbach’s α}

RLOCsb _{Indicators >0.708 >0.5 >0.7 >0.7}

Perceived Usefullness (U) Q10_1 0.913 0.537 0.843 0.835 Q10_2 0.844

Q10_3 0.688 Q10_4 0.739 Q10_5 0.344

Perceived Ease of Use (E) Q11_1 0.504 0.520 0.855 0.891 Q11_2 0.584

Q11_3 0.586 Q11_4 0.635 Q11_5 0.657 Q11_6 1.160

Attitude Toward Using (A) Q12_1 0.961 0.855 0.967 0.967 Q12_2 0.920

Q12_3 0.884 Q12_4 0.883 Q12_5 0.972

Empiri 33

4.5 Kruskal-Wallis tester

Detta avsnitt presenterar Kruskal-Wallis testerna där det undersöktes om det fanns nå-gon skillnad mellan hur olika grupper har svarat på frågorna Q10-Q12. Inledningsvis ser vi att beroende på hur respondenten svarat på frågan om de använder lösenordshanter-are så finns det också en signifikant skillnad på hur respondenten svarat inom samtliga frågor kopplade till konstrukten användarvänlighet, nytta och attityd, vilket presenteras i tabellerna 4.13-4.15. Nästkommande sektioner presenterar de signifikanta resultat från liknande tester där grupperingen istället skett på de demografiska variablerna.

Tabell 4.13:Resultat från Kruskal-Wallis test på Q10 grupperat på användning av lösenordshanterare Questionsa Q10_1 Q10_2 Q10_3 Q10_4 Q10_5 Kruskal-Wallis H 9,020 49,889 33,235 53,165 52,367 df 2 2 2 2 2 Asymp. Sig. ,011 ,000 ,000 ,000 ,000

a. Grouping Variable: UsageOfPM

Tabell 4.14:Resultat från Kruskal-Wallis test på Q11 grupperat på användning av lösenordshanterare Questionsa Q11_1 Q11_2 Q11_3 Q11_4 Q11_5 Q11_6 Kruskal-Wallis H 10,064 14,289 17,237 20,704 20,118 41,615 df 2 2 2 2 2 2 Asymp. Sig. ,007 ,001 ,000 ,000 ,000 ,000 a. Grouping Variable: UsageOfPM

Tabell 4.15:Resultat från Kruskal-Wallis test på Q12 grupperat på användning av lösenordshanterare Questionsa Q12_1 Q12_2 Q12_3 Q12_4 Q12_5 Kruskal-Wallis H 62,694 64,909 60,533 53,898 67,350 df 2 2 2 2 2 Asymp. Sig. ,000 ,000 ,000 ,000 ,000

Empiri 34

4.5.1 Kön

Kön var en av de variabler som nästan hade en statistiskt signifikant påverkan på använ-dandet av lösenordshanterare vilket kan ses i tabell 4.2. I tabell 4.16 och 4.17 presenteras de frågor där det finns en signifikant skillnad i hur respondenterna svarat beroende på om de är en man, kvinna eller inte identifierar sig som något av de traditionella könen. De största skillnaderna ligger i frågorna kopplade till konstruktet attityden till användning där endast fråga Q12_4 inte uppvisade signifikanta skillnader i svaren. P-värdet ligger dock precis ovanför gränsvärdet vilket tyder på att det kan finnas en skillnad även i svaren även på denna fråga.

Tabell 4.16:Resultat från Kruskal-Wallis test på Q10 grupperat på kön

Questionsa

Q10_1 Q10_2 Q10_3 Q10_4 Q10_5

Kruskal-Wallis H 2,377 4,648 5,982 2,954 6,102

df 2 2 2 2 2

Asymp. Sig. ,305 ,098 ,050 ,228 ,047

a. Grouping Variable: Gender

Tabell 4.17:Resultat från Kruskal-Wallis test på Q12 grupperat på kön

Questionsa

Q12_1 Q12_2 Q12_3 Q12_4 Q12_5

Kruskal-Wallis H 6,297 6,847 8,671 5,592 8,115

df 2 2 2 2 2

Asymp. Sig. ,043 ,033 ,013 ,061 ,017

a. Grouping Variable: Gender

4.5.2 Geografisk grupp

I tabell 4.18 kan vi se att det fanns signifikanta skillnader bland svaren kopplade till an-vändarvänligheten, grupperat på geografisk plats. Det fanns inga signifikanta skillnader i frågorna om upplevd nytta och attityd till användning.

Tabell 4.18:Resultat från Kruskal-Wallis test på Q11 grupperat på geografisk grupp

Questionsa

Q11_1 Q11_2 Q11_3 Q11_4 Q11_5 Q11_6 Kruskal-Wallis H 12,513 10,793 8,472 6,896 9,445 1,017

df 3 3 3 3 3 3

Asymp. Sig. ,006 ,013 ,037 ,075 ,024 ,797 a. Grouping Variable: continentCode

Empiri 35

4.5.3 Antal lösenord

Tabell 4.19-4.21 presenterar de skillnader som finns i svaren grupperad på hur många unika lösenord respondenterna angett att de har. För denna demografiska variabel kan vi se att det finns signifikanta skillnader i svaren på samtliga av de ställda frågorna i alla tre konstrukten.

Tabell 4.19:Resultat från Kruskal-Wallis test på Q10 grupperat på antal lösenord

Questionsa

Q10_1 Q10_2 Q10_3 Q10_4 Q10_5

Kruskal-Wallis H 9,732 29,471 23,096 32,815 28,469

df 4 4 4 4 4

Asymp. Sig. ,045 ,000 ,000 ,000 ,000

a. Grouping Variable: nrOfPasswordModified

Tabell 4.20:Resultat från Kruskal-Wallis test på Q11 grupperat på antal lösenord

Questionsa

Q11_1 Q11_2 Q11_3 Q11_4 Q11_5 Q11_6 Kruskal-Wallis H 15,048 18,074 23,936 13,555 14,719 30,513

df 4 4 4 4 4 4

Asymp. Sig. ,005 ,001 ,000 ,009 ,005 ,000 a. Grouping Variable: nrOfPasswordModified

Tabell 4.21:Resultat från Kruskal-Wallis test på Q12 grupperat på antal lösenord

Questionsa

Q12_1 Q12_2 Q12_3 Q12_4 Q12_5

Kruskal-Wallis H 40,195 41,548 38,801 35,512 43,784

df 4 4 4 4 4

Asymp. Sig. ,000 ,000 ,000 ,000 ,000

Empiri 36

4.5.4 Datorvana

När det kommer till datorvana var skillnaderna i svaren inte lika stora som de var för antal unika lösenord men det fanns en hel del skillnader i denna demografiska variabel också. När det kommer till upplevd nytta så fanns det en signifikant skillnad i svaren på frågan om lösenordshanterarna skulle hjälpa respondenten att använda sig av starkare lösenord. För alla frågor utom en inom användarvänlighet fanns det en signifikant skillnad i hur respondenterna hade svarat. Den enda fråga där skillnaden precis inte var signifikant handlade om att det skulle vara lättare att använda sig av en lösenordshanterare än att komma ihåg sina lösenord. När det kommer till attityden till användning fanns det en signifikant skillnad i hur respondenterna svarat på frågan om lösenordshanterare är bra för den egna säkerheten online. Dessa resultat finns presenterade i tabellerna 4.22-4.24.

Tabell 4.22:Resultat från Kruskal-Wallis test på Q10 grupperat på datorvana

Questionsa

Q10_1 Q10_2 Q10_3 Q10_4 Q10_5

Kruskal-Wallis H 1,402 9,109 1,886 1,406 3,756

df 3 3 3 3 3

Asymp. Sig. ,705 ,028 ,596 ,704 ,289

a. Grouping Variable: ComputerProficiency

Tabell 4.23:Resultat från Kruskal-Wallis test på Q11 grupperat på datorvana

Questionsa

Q11_1 Q11_2 Q11_3 Q11_4 Q11_5 Q11_6 Kruskal-Wallis H 20,957 20,331 25,755 14,817 8,922 7,620

df 3 3 3 3 3 3

Asymp. Sig. ,000 ,000 ,000 ,002 ,030 ,055 a. Grouping Variable: ComputerProficiency

Tabell 4.24:Resultat från Kruskal-Wallis test på Q12 grupperat på datorvana

Questionsa

Q12_1 Q12_2 Q12_3 Q12_4 Q12_5

Kruskal-Wallis H 5,717 5,998 5,310 10,779 6,442

df 3 3 3 3 3

Asymp. Sig. ,126 ,112 ,150 ,013 ,092

Empiri 37

4.6 Mann-Whitney tester

Mann-Whitney testen undersökte om det fanns skillnader i hur användarna av applika-tioner och användarna av BPMs svarade på frågorna Q10-Q12. Testen visar att det fanns signifikanta skillnader i svaren på alla frågorna förutom Q10_5.

Tabell 4.25:Resultat från Mann-Whitney test på Q10 grupperat på typ av användning

Questionsa

Q10_1 Q10_2 Q10_3 Q10_4 Q10_5 Mann-Whitney U 361,000 320,000 500,000 358,500 604,500 Wilcoxon W 956,000 915,000 1095,000 953,500 1199,500

Z -3,603 -4,351 -2,028 -4,381 -,711

Asymp. Sig. (2-tailed) ,000 ,000 ,043 ,000 ,477 a. Grouping Variable: KindOfUse

Tabell 4.26:Resultat från Mann-Whitney test på Q11 grupperat på typ av användning

Questionsa

Q11_1 Q11_2 Q11_3 Q11_4 Q11_5 Q11_6 Mann-Whitney U 457,500 413,500 388,000 386,000 361,500 357,500 Wilcoxon W 1052,500 1008,500 983,000 981,000 956,500 952,500 Z -2,868 -3,309 -3,527 -3,405 -3,510 -4,056 Asymp. Sig. (2-tailed) ,004 ,001 ,000 ,001 ,000 ,000 a. Grouping Variable: KindOfUse

Tabell 4.27:Resultat från Mann-Whitney test på Q12 grupperat på typ av användning

Questionsa

Q12_1 Q12_2 Q12_3 Q12_4 Q12_5 Mann-Whitney U 210,000 161,000 206,500 220,500 168,500 Wilcoxon W 808,000 756,000 801,500 815,500 763,500

Z -5,758 -5,986 -5,404 -5,465 -6,085

Asymp. Sig. (2-tailed) ,000 ,000 ,000 ,000 ,000 a. Grouping Variable: KindOfUse

Empiri 38

4.7 Öppen fråga

Den öppna fråga som ställdes besvarades av 29 respondenter. Från dessa presenteras här ett urval med intressanta kommentarer och synpunkter som anses vara relevanta för kommande diskussion.

– "I use both LastPass and Google Passwords, but the latter more often. I still occasionally have to manually transcribe passwords, which is always annoying."

– "I keep a note of my passwords but not using a formal password manager. I haven’t used one because I am apprehensive about someone getting my passwords through it, but would appreciate more information on how they store and protect passwords and would be open to using one."

– "Password manager are just too expensive to get one that syncs between devices. (I Found a good one tho, forghetti)"

– "I only use password managers for things I’m not concerned about the security for." – "I only use fully offline password managers. I don’t trust those with cloud features." – "I don’t understand how Google auto generating password systems work... Like where

they’re stored and how. So I do not use them."

– "I worry about the security of storing all passwords in one place."

– "Password managers store data. All data is hackable. Therefore, all password managers are a security risk."

– "iOS’s password manager is annoying when paired with using a PC as it means many passwords are stored but on IOS only"

– "I only use password managers for non-mission critical passwords. Anything of major importance (Banking Info, credit card sites, or anything of that nature) I have memorized. I think people put too much trust in password managers and they become a crutch for many."

– "I have had issues with password managers before (unable to restore passwords after having to reset my computer, passwords being randomly deleted, password manager suddenly not working any more). I probably would have rated their utility better without those experiences.