Säker konstruktion och hantering av lösenord

Transkript

1 2003:089 SHU EXAMENSARBETE Säker konstruktion och hantering av lösenord KENNETH KARLSSON ERIK STÅLNACKE Samhällsvetenskapliga och ekonomiska utbildningar SYSTEMVETARPROGRAMMET C-NIVÅ Institutionen för Industriell ekonomi och samhällsvetenskap Avdelningen för Systemvetenskap 2003:089 SHU ISSN: ISRN: LTU - SHU - EX / SE

2 6lNHUNRQVWUXNWLRQRFK KDQWHULQJDYO VHQRUG Examensarbete utfört inom ämnesområdet Data och systemvetenskap vid Luleå tekniska universitet av Kenneth Karlsson Erik Stålnacke Luleå Handledare: Lennart Ross, Systemvetenskap, Luleå tekniska universitet

3 Förord Denna uppsats är resultatet av det examensarbete som innefattas i en kandidatexamen i Data och systemvetenskap vid Luleå Tekniska Universitet. Vi vill tacka alla personer i de tre verksamheterna som har medverkat i undersökningen och genom detta bidragit till att vi kunnat genomföra denna C uppsats. Vi vill även rikta ett stort tack till vår handledare Lennart Ross, som genom god handledning under vårt arbete bidragit med viktiga synpunkter samt varit ett värdefullt stöd. Luleå Kenneth Karlsson Erik Stålnacke

4 Abstract During the last year IT crime has increased dramatically. Poorly chosen passwords is one reason why companies have difficulties to protect their information against intrusion of unauthorized people. The purpose of this study is to show how users, systems and the people who are responsible for the system fulfil the theory demand according to password construction and handling. The study has been accomplished within three companies. A questionnaire was answered by the users that use password in their daily work to protect information. Employees with good knowledge about the control systems functionality have been interviewed.. The results show that the companies do not follow all of the security theory demand, the main part of the users have a defective password construction. The information given to the users, regarding the security demand is incomplete. The control systems in some businesses also have defective adjustments.

5 Sammanfattning De senaste åren har visat på en kraftig ökning av IT-brott. Dåligt valda lösenord har varit en av anledningarna till att verksamheter har haft svårt att skydda sin information mot intrång av obehöriga personer. Undersökningen visade i vilken grad användare, system och systemansvariga uppfyllde teorins krav gällande lösenordskonstruktion och dess hantering. Vidare lyfte undersökningen fram de bakomliggande faktorer som har påverkat detta. Undersökningen genomfördes i tre verksamheter med hjälp av enkäter och intervjuer. Enkäterna besvarades av användare som i sitt dagliga arbete hanterar lösenord för att skydda information. Intervjuerna besvarades av personer som var väl insatta i kontrollsystemets funktionalitet. Resultatet av undersökningen ger en bild av att teorins säkerhetskrav inte uppfylls till fullo av verksamheterna. Användarna har exempelvis en bristfällig lösenordskonstruktion och informationen som ges till användarna gällande verksamheters säkerhet för att skydda information är till viss del eftersatta. Även när det gäller kontrollsystemens inställningar, finns det brister i vissa verksamheter.

6 Innehållsförteckning,1/('1,1* 1.2 BAKGRUND FORSKNINGSFRÅGA SYFTE AVGRÄNSNING (25, 2.1 INFORMATIONSKLASSNING DGlULQIRUPDWLRQ" 2OLNDLQIRUPDWLRQVNODVVHU 2.2 BEHÖRIGHETSADMINISTRATION OLIKA ROLLER I ORGANISATIONEN \VWHPlJDUHQ 2SHUDWLYFKHI %HK ULJKHWVDGPLQLVWUDW UHQ $QYlQGDUHQ 2.4 IDENTIFIERING KONFIDENTIALITET AUTENTISERING LÖSENORD RQVWUXNWLRQDYO VHQRUG $QYlQGDUHQVI UYDULQJDYO VHQRUG 6\VWHPHWVO VHQRUGVKDQWHULQJ /DJULQJRFK YHUI ULQJDYO VHQRUG /nvqlqjdygdwru *DPODDQYlQGDUNRQWRQ 2.8 LOGGNING (72' 3.1 METODVAL FÖRBEREDANDE AV FRÅGESTÄLLNING ENKÄTFORMULÄR $OOPlQQDIUnJRU / VHQRUGVNRQVWUXNWLRQ +DQWHULQJDYO VHQRUG 3.4 INTERVJUFORMULÄR URVALSMETOD HUNVDPKHWHU $QYlQGDUH 3.6 GENOMFÖRANDE AV FALLSTUDIE BORTFALL (68/7$72&+$1$/<6 4.1 RESULTAT OCH ANALYS - ENKÄTUNDERSÖKNINGEN HVXOWDW±$OOPlQQDHQNlWIUnJRU 5HVXOWDW/ VHQRUGVNRQVWUXNWLRQ $QDO\V/ VHQRUGVNRQVWUXNWLRQ 5HVXOWDW/ VHQRUGVKDQWHULQJ $QDO\V/ VHQRUGVKDQWHULQJHQ 4.2 RESULTAT OCH ANALYS AV INTERVJUFRÅGORNA HVXOWDW$OOPlQQDLQWHUYMXIUnJRU

7 5HVXOWDW,QIRUPDWLRQWLOODQYlQGDUHQ $QDO\V,QIRUPDWLRQWLOODQYlQGDUHQ 5HVXOWDW.RQWUROOV\VWHPHWVLQVWlOOQLQJDU $QDO\V.RQWUROOV\VWHPHWVLQVWlOOQLQJDU 5HVXOWDW.RQWUROOV\VWHPHWVKDQWHULQJDYORJJQLQJVIXQNWLRQHU $QDO\V.RQWUROOV\VWHPHWVKDQWHULQJDYORJJQLQJVIXQNWLRQHU 5HVXOWDW6\VWHPHWVKDQWHULQJDYNU\SWHUDGHO VHQRUG $QDO\V6\VWHPHWVKDQWHULQJDYNU\SWHUDGHO VHQRUG 6/876$762&+',6.866, SLUTSATS $QYlQGDUQD 6\VWHPHW 6\VWHPDQVYDULJH 5.2 DISKUSSION KRITISK GRANSKNING AV UNDERSÖKNINGEN (*1$5()/(.7,21(5 )g56/$*7,//9,'$5()256.1,1* 5()(5(16(5 %,/$*$$ %,/$*$% %,/$*$&

8 1 Inledning I detta kapitel ger vi bakgrunden till vår problemställning. Dessutom specificerar vi vår forskningsfråga och vårt syfte gällande denna uppsats. Slutligen redovisar vi de avgränsningar som vi gjort. 1.2 Bakgrund Vi har valt att fördjupa oss i lösenordshantering. Anledningen till att vi valde att fördjupa oss just i detta ämnesområde, var det intresse som väcktes efter att ha tagit del av ett antal artiklar som visade på en kraftig ökning av IT-brott och problematiken med dåligt valda lösenord för att skydda information. Frykholm (2000) menar i sin artikel att dåligt valda lösenord alltid varit ett problem, allt sedan lösenord började användas för att förhindra tillgång till datorer, system och hemlig information för obehöriga. Han menar att problemet inte är mindre idag, utan tvärtom är problemet större än någonsin. Bidragande faktorer till de ökade problemen beror på att antalet datoranvändare har växt och därmed också problemen med bristfälliga och dåligt valda lösenord, men även den snabba utvecklingen av datorer och programvaror. Detta har gjort att angriparna fått tillgång till snabbare datorer som kan gissa fler lösenord per sekund. Andra faktorer är att varje användare hanterar allt fler lösenord till olika datorer, servrar och tjänster. Den snabbare uppkopplingen mot Internet och att antalet datorer som permanent är uppkopplade i nätverk är fler än tidigare, detta har bidragit till att angripare enkelt kan ge sig på datorer över hela världen. I artikeln hänvisar han även till en undersökning som gjordes på ett större företag, där 90 procent av lösenorden knäcktes inom 48 timmar. Hultqvist (2001) tar i en artikel från Computer Sweden, upp säkerhetsexperternas syn på problematiken med dåliga valda lösenord. De menar att användarna har fler lösenord idag än någonsin tidigare och är därför fortfarande den svagaste länken. Säkerhetsexperterna menar att dåliga lösenord, inkonsekvent policyuppföljning och nonchalant kontroll av vad användarna kommer åt, har gjort användarna till det största hotet mot känslig information. De menar att hoten mot en organisation finns både utanför och inom det egna nätverket, men att säkerhetsproblem inom den egna organisationen många gånger är eftersatta, eftersom majoriteten lägger sina resurser på bekämpning av hot utifrån. Artikeln hänvisar även till en undersökning som är gjord, där en säkerhetsexpert visade hur enkelt det var att missbruka interna användarkonton. Vid en säkerhetsgenomgång av det egna företaget lyckades han knäcka 800 lösenord på tre minuter med hjälp av en vanlig algoritm för att knäcka lösenord. Efter 36 timmar, hade han tillgång till alla användares lösenord, totalt För att skydda information mot intrång, obehörig förändring eller spridning i en datoriserad verksamhet krävs funktioner för behörighetskontroll. (Ledell 1997) 6

9 Ledell menar vidare att en verksamhets behörighetsadministration styrs av hur viktig informationen är för verksamheten, men att den organisatoriska och tekniska lösningen kan se olika ut beroende på systemets omfattning. Mot bakgrund av ovanstående har detta examensarbete inriktats mot att undersöka hur de säkerhetsteorier som gäller för tillfredställande lösenordshantering efterlevs av organisationer, som eftersträvar att skydda information mot obehörigt intrång. Lösenordshanteringen ska ses som en del i en verksamhets behörighetsadministration. De aspekter vi tänker studera är användarnas säkerhetsmedvetande både när det gäller konstruktionen av lösenord och den fysiska förvaringen av lösenord som dokumenterats skriftligt och om anställda aktiverar låsning av datorn vid kortare frånvaro. Vi ska också undersöka hur behörighetskontrollsystemets inställningar är gjorda när det gäller lösenords giltighetstid, begränsade inloggningsförsök och godkännande av lösenord när det gäller konstruktion, men även användandet av lösenord generationer bakåt i tiden. Andra aspekter som vi ska undersöka gällande systemet är förvaring av lösenord och den process som sker vid inloggning, d.v.s. om kryptering av lösenord används i samband med förvaring i databaser och vid överföring av lösenord till och från klient vid inloggning för att öka organisationens säkerhet. Vi ska också studera om den säkerhetsansvarige använder loggningsfunktioner för att se användarnas tidigare inloggningsförfarande, hur lösenord hanteras vid avslutad anställning och huruvida upplysning och uppföljning av säkerhetsrutiner sker till de anställda gällande alla ovanstående aspekter. Till sist ska vi kartlägga varför säkerhetsförfarandet ser ut som det gör i verksamheten. 1.3 Forskningsfråga Hur väl uppfyller anställda, systemansvariga och datasystemen i en verksamhet de säkerhetsteorier som berör lösenord. 1.4 Syfte Syftet med denna uppsats är att öka förståelsen för hur användare, system och systemansvarig tillsammans påverkar en verksamhets säkerhet gällande skydd av information. 7

10 1.5 Avgränsning Arbetet kommer att fokuseras på verksamheters EHK ULJKHWVDGPLQLVWUDWLRQ med tonvikt på lösenordshanteringen. Vi kommer även att titta på loggning och kryptering som angränsar mot lösenordshanteringen och om dessa används i samband med denna hantering. När det gäller loggning och kryptering kommer vi att avgränsa oss till att ge en förklarande bild av vad det är, men inte gå ner på detaljnivå, eftersom det skulle bli en allt för stor utsvävning från huvudämnet. Vidare avgränsar vi oss till att granska hanteringen av flergångs-lösenord, d.v.s. ett lösenord som används permanent eller under en viss tid av en användare. En undersökning gällande hanteringen av engångslösenord skulle ej ge svar på hur väl en användare handhar sitt lösenord eftersom användaren tilldelas ett nytt lösenord från systemet varje gång ett lösenord behövs och detta hanterar systemet helt och hållet utan påverkan från en användare. I en behörighetsadministration ingår även behörighetskontroll. Vi avgränsar oss till att undersöka hur denna kontroll ser ut och varför den ser ut som den gör. Undersökningen kommer inte att gälla de tekniska aspekterna, d.v.s. tekniken som ligger till grund för behörighetstilldelningen. Denna avgränsning görs för att behålla inriktningen mot lösenordshanteringen samt att hålla undersökningen hanterbar. Ett företags lösenordshantering är till för att skydda information av något slag. Vi har valt att rikta undersökningen mot verksamheter som behandlar KHPOLJ LQIRU PDWLRQ, vilket medför att vi avgränsat bort verksamheter som hanterar NYDOLILFH UDGKHPOLJLQIRUPDWLRQ, som är den högsta informationsklassen. Anledningen till avgränsningen är att denna informationsklass kräver ett annat säkerhetsskydd än lösenord I undersökningen kommer vi att begränsa oss till att granska tre olika verksamheter med minst tjugo anställda som i sitt dagliga arbete använder sig av lösenord för att skydda hemlig information. Anledningen till att vi valt verksamheter med minst 20 anställda är att vi vill få ett bra svarsunderlag till vår enkätundersökning. 1 Se kap. 2.2, 2, 3 Se kap

11 2 Teori I detta kapitel tar vi upp de teorier som vi använt oss av och som ligger till grund för vår frågeställning. Teorierna är utvalda utifrån den litteratur som vi studerat och som anknyter till det valda ämnesområdet. Inledningsvis ges en beskrivning och förklaring av olika begrepp som används i uppsatsen. 2.1 Informationsklassning Här presenteras en definition av information, men även hur information kan delas in i olika klasser beroende på dess innehåll Vad är information? Begreppet information, definieras på olika sätt beroende på vilken författare man läser. När det gäller information som har anknytning till IT och säkerhet, beskriver Ledell (1997), att information är ett föremål, dokument eller en muntlig uppgift som rör ett företags eller en myndighets verksamhet. Informationsbärare kan exempelvis vara en handling, en ritning eller en datadiskett. Information har olika livslängd och olika värde, detta värde kan dessutom variera över tiden. För att inte information ska hamna i orätta händer så är det viktigt att den skyddas och hanteras på ett riktigt sätt Olika informationsklasser Enligt Ledell (1997) bör all information inom en verksamhet klassas i någon av grupperna:.ydolilfhudwkhpoljkhpoljlqwhuqeller SSHQ.YDOLILFHUDGKHPOLJLQIRUPDWLRQ, är enligt sekretesslagen av synnerligen betydelse för rikets säkerhet. Det kan också vara mycket känslig information som berör den personliga integriteten och som enligt Datainspektionens klassificering tillhör klass 1. (Ledell 1997) +HPOLJLQIRUPDWLRQ, kan vara det som skadar ett företag om den hamnar i fel händer. Det kan också vara det som rör den personliga integriteten och som enligt datalagen kräver särskilt tillstånd för att föras med hjälp av dator och som enligt Datainspektionens klassificeringssystem tillhör klass 2. (Ledell 1997),QWHUQLQIRUPDWLRQ, kan spridas relativt fritt inom organisationen och det innebär ringa eller ingen skada alls om den skulle spridas utanför verksamheten. Informa- 9

12 tion av denna klass kan dock ställa stora krav på begränsningar i rätten att ändra i informationen och i kraven på förvaring av denna. Några exempel på intern information kan vara interna telefonkataloger och interna instruktioner. I den mån det förekommer personuppgifter så är de inte integritetskänsliga och tillhör Datainspektionens klass 3. (Ledell 1997) gsshqlqirupdwlrq, är gjord för att spridas utanför verksamheten. Det kan vara en kundtidning, en broschyr eller ett pressmeddelande. (Ledell 1997) 2.2 Behörighetsadministration Det krävs funktioner för behörighetskontroll för att skydda information och program mot obehörig förändring eller spridning i en datoriserad verksamhet. Kraven på behörighetsadministrationen styrs av hur viktig informationen är för verksamheten. Behörighetskontroll, innebär administrativa och tekniska åtgärder för tilldelning och kontroll av användarens identitet, styrning av användarens behörighet samt registrering av denna användning. (Ledell 1997) Ett normalt företag har mellan 25 och 100 olika informationsdatabaser där användaridentiteten hanteras. Det kan därför uppstå problem ifall det inte finns tydliga gränser för system och tjänster som i sin tur har en tydlig behörighetsadministration. De flesta företag är mycket medvetna om just behörighetsadministrationen och har en tydlig ansvarsfördelning. (Mitrovi c 2001) Med behörighetskontrollsystem, så avses de säkerhetsfunktioner som tillsammans utför behörighetskontroll i ett IT-system. Ledell (1997) menar att dess tekniska funktioner ska ge möjlighet till identifiering av användare och verifiering av den föregivna identiteten, reglering av åtkomsträttigheter och registrering av användarens aktiviteter i systemet, vilket ofta benämns loggning. 2.3 Olika roller i organisationen Grunden till all IT-säkerhet ligger i en tydlig organisation av företagets ITanvändning, manifesterat i en säkerhetspolicy. En sådan policy innehåller klara besked om ansvarsfrågor, behörighetsadministration och allt säkerhetsrelaterat arbete inom företaget. (Mitrovi c 2001) Systemägaren Systemägaren, är en person som förvaltar ett IT-system inom en organisation. Arbetsuppgifter som tillhör systemägaren är ansvar för användares rättigheter att använda olika delar av systemet, delegera den löpande administrationen till behörig- 10

13 hetsadministratören samt ansvara för att löpande uppföljning av behörigheten i systemet görs. (Ledell 1997) Operativ chef Operativ chef, har löpande ansvar för en eller flera användare i ett IT-system. Ofta kan operativa chefen och systemägaren vara samma person. Den operativa chefen ansvarar för att användare får rätt behörighet tilldelad vid nyanställning. (Ledell 1997) Mitrovi ć (2001) anser att när en individ anställs och blir en medarbetare gäller det att säkra åtkomsten till den information som rollen kräver. Normalt läggs en nyanställd först upp i ett personaladministrativt system. Där skapas en unik användaridentitet baserat på den namnstandard som företaget har tagit fram. Att ha unika identiteter är mycket viktigt för all framtida avvislighet eller oavvislighet 1. Carroll (1996) menar att när det blir känt att någon anställd inom en organisation ska byta avdelning som kräver en annan behörighet, ska hon eller han omedelbart förnekas tillträde till alla säkerhetsområden, känsliga tillgångar och klassificerad information på den gamla avdelningen. När det gäller byte av arbetsuppgift, så menar Ledell (1997) att bästa resultatet och dokumentationen nås genom att betrakta ändringen som två transaktioner. Först tas den gamla behörigheten bort, därefter läggs en helt ny behörighet upp. En förutsättning för detta är, att det finns färdiga behörighetsprofiler som används för att rationalisera administrationen. Vidare så ska den operativa chefen se till att behörigheten tas bort vid avslutad anställning Behörighetsadministratören Enligt Ledell (1997) bör behörighetsadministratören utföra det löpande, praktiska och administrativa arbetet med behörighetsadministrationen. Arbetsuppgifter kan vara att ha ansvar för hjälp och råd om problem uppstår vid användandet av behörighetskontrollsystem, som t.ex. bortglömt lösenord eller tappad användaridentitet. Vidare menar Ledell, att information bör ges till användaren om hur ett behörighetskontrollsystem fungerar i organisationen. Informationen ska innehålla krav på lösenordets längd och utformning, hur ofta lösenordet ska bytas, vad som händer vid misslyckade inloggningar samt vad som loggas och hur uppföljning angående detta sker. Behörighetsadministratören ska även på uppdrag av systemägaren utföra löpande uppföljning av vem som använt vissa speciella transaktioner, om det förekommer ett stort antal misslyckade inloggningsförsök av vissa användare samt om det förekommer inloggningsförsök på udda arbetstider. 1 Med oavvislighet menas en princip som tillämpas vid överföring av meddelande vari dess avsändande och/eller mottagande ej i efterhand skall kunna förnekas. 11

14 2.3.4 Användaren När en användare har blivit tilldelad en behörighet så ska han eller hon enligt Ledell (1997) kunna skriva under på följande: Jag är registrerad som användare i behörighetskontrollsystemet med erhållen identitet och att loggfunktion finns aktiverad. Jag är personligen ansvarig för min behörighet. Jag får inte låna ut min behörighet. Jag måste alltid hålla mitt lösenord och betydelsen av det hemligt. Jag måste alltid logga av min utrustning när jag lämnar den. Jag får endast använda min behörighet vid handläggning av tjänsteärenden och i den utsträckning som krävs för att jag ska kunna utföra mina arbetsuppgifter. Jag måste omgående anmäla, till operativ chef/behörighetsadministratör, sådana förändringar i mina arbetsuppgifter som påverkar min behörighet. 2.4 Identifiering En del som krävs för att en användare ska komma åt information av något slag är identifieringen. Detta sker genom att användare uppger en användaridentitet. När användare ska komma åt olika applikationer som ligger på olika servrar i ett nätverk kan det krävas flera användaridentiteter. Idealet är dock att det går att ordna ett gemensamt ID för en användare så att alla applikationer nås i ett nätverk. Detta medför dock att organisationen har bra samordning mellan användare, systemadministratör och säkerhetsansvarig. (Ahuja 1996) 2.5 Konfidentialitet Ahuja (1996) menar att hemlig data behöver skydd där den ligger lagrad eller när den ska överföras i nätverket. När den är lagrad lokalt så kan data skyddas med kryptering. Mitrovi ć (2001) menar att konfidentialitet ingår som en del av begreppet informationssäkerhet. Avsikten är att innehållet i ett informationsobjekt eller ibland även dess existens, inte får avslöjas eller göras tillgänglig för obehöriga. 12

15 2.6 Autentisering Ahuja (1996) beskriver autentiseringen som en process där verifiering sker av användaridentiteten som en användare uppgett. Verifieringen kräver ett utbyte av en gemensam hemlighet mellan användare och applikation. Detta görs ofta genom att använda ett lösenord som är 6 till 8 tecken långt. Applikationen har sitt lösenord sparat i en säker databas, medan användaren memorerar det eller låser in sitt exemplar på ett säkert ställe. Verifieringen börjar med att användaren sänder sitt lösenord till applikationen. Applikationen godkänner användaridentiteten genom att jämföra det mottagna lösenordet med det lösenord som finns lagrat i databasen för den aktuella användaridentiteten. Oavsett var informationen om autentiseringen är lagrad, så ska databasen inte på några villkor innehålla lösenord som inte är krypterade. Om någon obehörig lyckas komma åt databasen eller den back-up som finns, kan följderna av att inte lagra lösenorden krypterade bli ett stort hot mot en verksamhets information, på grund av att inkräktaren kan personifiera alla användare. (Kaufman 1995) Att sköta autentisering med hjälp av en dator för att verifiera att en person är den han eller hon uppger sig för att vara kan skötas med hjälp av tre huvudtekniker (Kaufman 1995). De tre teknikerna är: Vad du vet. Vad du har. Vad du är. Användandet av lösenord är en metod som ger tillförlitlighet att användaren är den han eller hon uppger sig att vara, detta medför att användandet av lösenord hamnar i kategorin vad du vet. När en person har en fysisk nyckel eller ett smart card 2 så hamnar personen i kategorin vad du har. Sista kategorin vad du är innehåller biologisk identifikation som röst och fingeravtryck. (Kaufman 1995) 2 Kort utrustat med en eller flera integrerade kretsar inkluderande komponenter för lagring och bearbetning av data. 13

16 2.7 Lösenord Mitrovi ć (2001) menar att man som första säkerhetsnivå aldrig får förbise användningen av lösenord i olika system. De flesta system har detta inbyggt och funktionellt är det ett bra skydd om de uppfyller vissa ingredienser Konstruktion av lösenord Enligt Mitrovi ć (2001), ska ett bra lösenord uppfylla följande kriterier: o Det ska vara minst sju tecken långt. o Bestå av tecken ur följande klasser: o Stora bokstäver ABC. o Små bokstäver abc. o Nummer 123. o o Specialtecknen ska ej placeras längst ut, på grund av att det är en av de första tester personer som gissar lösenord prövar. o Ska inte vara lika som de tre föregående lösenord som använts. o Består inte av personnamn eller andra ord som finns i ordlistor. o Består inte av vardagliga fraser. För att få ett säkert lösenord ska en användare inte heller använda sig av någon tangentbordskombination som exempelvis 1qaz2wsx, eller qwerty. (Sorgonet 2001) Carroll (1996) anser att de flesta användare väljer ett alltför osäkert lösenord, vilket medför att det lätt kan listas ut av en hackare eller person som har viss privat kunskap om användaren. När användaren väljer ett lösenord ska det inte bygga på saker som tillhör användaren på något sätt. Exempel på det som ska undvikas är, enligt Carroll, för- och efternamn, namn baklänges, initialer, telefonnummer, registreringsnummer på bilen, husdjurs namn samt födelsedatum. Att välja ett så krångligt lösenord att en användare inte kan komma ihåg det leder dock till problemet, att det måste skrivas ner. Detta kan leda till att det lätt kan bli stulet om det inte förvaras ordentligt inlåst. Även Hutt (1995) anser att de flesta användare väljer ett allt för svagt lösenord. Vidare så anser Hutt att ett system ska kunna stoppa lösenord som exempelvis innehåller något personligt, ord från ordlistor eller om det är konstruerat med färre än sex tecken. Frykholm (2000) tar upp en metod som kan hjälpa en användare att både få ett säkert lösenord samtidigt som det går att komma ihåg det. Metoden bygger på att skapa en mening som är personlig och lätt att komma ihåg och sedan bilda ett lösenord utifrån meningen. En mening som Min första bil var en Saab 9000, skul- 14

17 le t.ex. kunna bli M1:abveS90*3. Det är även viktigt att få med både stora och små bokstäver, siffror och specialtecken i lösenordet. Längden ska uppgå till minst 8 tecken. 7DEHOO) UDWWYLVDVNLOOQDGHQLNRPSOH[LWHWVnKDU0LWURYL FVNDSDWI OMDQGHWDEHOO 9DULDWLRQHU / VHQRUG 0 MOLJDNRPELQDWLRQHU Bokstäver (2) Ab 676 Bokstäver (4) Abcd Bokstäver (7) Abcdefg 8 miljarder Bokstäver och nummer (7) A1b2c3d 78 miljarder Bokstäver, nummer och symboler (6) A1@b2% 98 miljarder Bokstäver, nummer och symboler (7) A1@b2%c miljader Användarens förvaring av lösenord Det bästa sättet att förvara ett lösenord är att memorera det. Problem med detta är att lösenordet lätt kan glömmas bort. Många löser dock detta problem genom att dokumentera ner det, vilket kan leda till att det kommer i orätta händer. Frykholm (2000) anser dock att det inte behöver vara så osäkert. Om användaren skriver ner lösenordet på en Post-It lapp och har det löst på exempelvis kontoret så är det som att kasta bort säkerheten. Men om det förvaras inlåst på ett säkert ställe så uppnås hög säkerhet. Att förvara det i plånboken är ett mellanalternativ, eftersom den inte blir stulen så ofta och skulle den bli det så märks det fort och då kan användaren byta lösenord. Att ha ett svårgissat, slumpmässigt lösenord, ex. h*3u{3hf, på en lapp i plånboken är därför många gånger säkrare än att ha ett lättgissat lösenord, ex. hemlig37, i huvudet Systemets lösenordshantering Många system begränsar antalet misslyckade inloggningsförsök som görs för att komma in i ett nätverk. Antalet försök som kan göras i en följd, brukar normalt vara mellan 3 till 6 gånger. Om inloggningen misslyckas så kommer systemet att stänga ute den aktuella användaridentiteten. Detta medför att en obehörig användare inte kan använda olika program som bygger på att lösenordet gissas. (Ahuja 1996) Ett lösenord bör ha en begränsad giltighetstid, när denna tid uppnås så ska användaren informeras, så att ett nytt lösenord kan aktiveras (väljs ofta av användaren). Vilken längd som en giltighetstid ska ha varierar mellan olika författare. 15

18 Carroll (1996) anser att ett lösenords giltighetstid inte bör överstiga en månad. Medan Ahuja (1996) anser att giltighetstiden kan vara mellan ett kvartal och upp till ett halvår för att vara relativt säkert. Användaren ska även kunna ändra lösenordet under tiden fram till det att giltighetstiden går ut, eftersom det finns risk att någon obehörig kan ha kommit över det lösenord som använts. Det ska ej heller gå att välja om ett lösenord som tidigare har använts. Om det krävs så ska även systemadministratören manuellt ha tillstånd att spärra ett lösenord i syfte att motverka ett säkerhetshot. Övervakningen av valt lösenord kan ske på två sätt. Lösenord kan bli testade genom att köra ett cracker-program som i frekventa intervaller jämför det existerande lösenorden mot en lista som innehåller lätt gissade lösenord. De lösenord som hamnar i kategorin lätt gissade kommer systemet att stänga och meddela användaren om detta. Denna teknik kallas reaktiv lösenordsövervakning, eftersom lösenordsövervakningen görs när lösenordet är i bruk och har använts av användaren för inloggningen. En del system har en algoritm som träder in och kontrollerar det lösenord som valts när det aktiveras första gången av användaren. Tekniken heter proaktiv lösenordsövervakning och bygger på att en algoritm kontrollerar att lösenordet uppfyller de krav som är satta. Om inte kraven är uppfyllda, så kommer systemet att kräva av användaren att byta ut lösenordet. Det är dock viktigt att algoritmen är designad att ta hänsyn till både användarvänlighet och säkerhetskrav. En användare ska inte behöva avsätta arbetstid för att en algoritm är för strängt designad och ständigt tillbakavisar valda lösenord. (Ahuja 1996) Lagring och överföring av lösenord Ahuja (1996) menar att varje system måste kunna förvara och underhålla autentiseringsdata. För att öka säkerheten så är lösenord ofta lagrade i någon krypterad form. När kryptering används så omvandlas originallösenordet till ett slumpmässigt bitmönster. Detta medför att obehöriga som lyckas komma åt innehållet där lösenorden lagras eller överförs inte kan översätta och använda de utan att ha tillgång till krypteringsalgoritmen samt nyckeln. De flesta algoritmer är publika, vilket medför att krypteringsnyckeln endast ska vara känd för systemadministratören. Även Ledell (1997) anser att om en bra säkerhet skall uppnås vid överföringar av känslig information, så ska det som överförs vara krypterat Låsning av dator I en verksamhets avdelning används ofta flera datorer. Kontoren på avdelningen står olåsta under arbetsdagen och i kontoret står datorerna. Under en arbetsdag passerar både anställda och besökare kontoren vid flera olika tillfällen. För att säkra den information som finns tillgänglig via en dator så menar Mitrovi ć 16

19 (2001) att varje anställd som lämnar datorn utan uppsikt ska aktivera inloggning via lösenord genom att låsa datorn. Detta kan exempelvis göras med de nyare pc:na genom att använda tangentbordskombinationen Ctrl + Alt + Delete och välja Lock Computer. Ahuja (1996) menar också att aktivering av låsning är en mycket värdefull egenskap för att skydda användarens dator. Om det blir ett längre uppehåll gällande arbetet vid datorn utan att användaren har låst eller loggat ut, så bör systemet automatiskt låsa datorn efter en viss tid. Datorn kan nu endast aktiveras genom att användaren uppger det korrekta lösenordet Gamla användarkonton Stora system kan innehålla gamla konton som tillhört före detta anställda. Dessa konton kan användas av obehöriga för att komma åt information som finns lagrat på olika ställen. Eftersom före detta anställda inte finns i organisationen så kan dessas intrång bli oupptäckta. För att slippa detta så bör det finnas rutiner som identifierar och tar bort alla konton efter något bestämt mönster. (Ahuja 1996) 2.8 Loggning Loggning innebär kontinuerligt insamlande av information om de operationer som utförs i ett system. Registrerade uppgifter kan utnyttjas till att i efterhand analysera vilka operationer som utförts och vilka användare som initierat dessa. Registreringen omfattar som regel tidpunkt, användaridentitet, berörda objekt (t ex registerposter) och övriga resurser samt utförda operationer. Registreringen kan ibland vara så detaljerad att bearbetningen i detalj kan rekonstrueras, men är oftast av utrymmesskäl begränsad till att gälla bearbetningens huvuddrag. (Mitrovi ć 2001) Mitrovi ć menar också att loggningsfunktionen är en viktig del i att bekämpa insiderhot. Med bra loggningsfunktioner, kombinerat med god behörighetsadministration, ska det vara möjligt att kunna åstadkomma hållbara bevis för- eller emot någon. En av författarna i SIG Security (1995) anser förutom att presentationen av loggar över försök till intrång m.m. bör ske på ett så enkelt och överskådligt sätt, att det även bör vara möjligt att via användargränssnittet konfigurera olika typer av larm. Detta så att säkerhetssystemet kan påkalla säkerhetsadministratörens uppmärksamhet vid olika typer av säkerhetsproblem. Carroll (1996) menar att alla datasystem ska ha möjligheten att använda någon form av loggningsfunktioner för att kunna göra ett noggrant urval av alla transaktionerna i systemet. Men eftersom det är svårt att avgöra vad som är intrångsförsök och vad som inte är det, föreslår han att all trafik som berör säkerhetskontroll 17

20 skall sparas, inklusive system-inloggning, fil-inloggning och de transaktioner som sker i terminaler, arbetsstationer och PC:n. Denna logg ska sedan sparas på ett betryggande sätt mot obehöriga operatörer och användare. Carroll (1996) menar vidare att alla datasystem bör kunna identifiera alla följande händelser: 1. Onormala avslutningar på ett arbete. 2. Ett onormal systemfel krasch. 3. Fel på säkerhetsmekanismen i hård- och mjukvara. 4. Misslyckade försök att logga in på systemet. 5. Försök från obehöriga att få access till klassificerade filer. 6. Försök att använda privilegierade eller olämpliga instruktioner. När något tillstånd som är relevant för säkerheten har upptäckts, ska systemet ha registrerat händelseförloppet och från denna registrering ska det sedan vara möjligt att kunna identifiera från vilken terminal och vilken typ av intrång det gäller. Det ska även gå att identifiera vilken användare det gäller, vid vilket datum och tidpunkt detta har skett och vilka filer som är föremål för intrånget. 18

21 3 Metod Under detta kapitel redovisas den metod och det tillvägagångssätt som har används för att undersöka den ställda forskningsfrågan. 3.1 Metodval När empiriska undersökningsmetoder används kan tillvägagångssättet ske på flera olika sätt för att fånga in material till sina studier. Den forskningsmetod som användes i undersökningen är fallstudie. Anledningen till att just fallstudie har använts som undersökningsmetod är att fallstudie, enligt Patel (1991), lämpar sig väl när en undersökning görs på en mindre avgränsad grupp. Ett fall kan vara en individ, en grupp individer eller en organisation. Vid fallstudien utgår man från ett helhetsperspektiv och försöker få så täckande information som möjligt. Fallstudien används ofta när processer och förändringar ska undersökas. Fördelen med fallstudier som undersökningsmetod och tillvägagångssätt är att vi inte behöver avsätta tid, för att beskriva eller undersöka alla eller alltför många fall, för att kunna beskriva verkligheten. Enligt Ejvegård (1996) lämpar sig fallstudier utmärkt när ett eller några fall av många möjliga ska studeras och med hjälp av de studerade fallen beskriva verkligheten och låta dessa få representera verkligheten. De tekniker som användes för datainsamlingen var enkäter och intervjufrågor. Ejvegård (1996) menar att intervjuer lämpar sig bäst om det är experter som skall utfrågas och då noggranna fakta efterlyses. Medan enkäter är ett mindre tidskrävande sätt att samla in data när många personer ska nås samtidigt. Även bearbetningen blir enklare jämfört med intervjuer, eftersom de svar som fås in redan är nedskrivna. 3.2 Förberedande av frågeställning För att få ett så bra underlag som möjligt till våra frågeställningar, har vi studerat aktuell litteratur inom problemområdet, vi har också tagit del av artiklar från tidskrifter och Internet. Initialt studerades olika författares synpunkter rörande datasäkerhet. Detta i syfte att öka vår kunskapsnivå inom ämnesområdet, men även i syfte att ge oss en bra grund och bredd att utgå från i det fortsatta teoriarbetet. När vi sedan smalnat av området och på djupet börjat ringa in vilka teorier som var av vikt för oss började vi från dessa teorier formulera våra frågor. För att få svaren både kvantitativa och 19

22 kvalitativa så delade vi upp frågeställningen i ett enkätformulär (se bilaga A) och i ett intervjuformulär (se bilaga B). Frågorna vi ställde i både enkät- och intervjuformuläret fick karaktären av att besvara KXU och YDUI U. Svaren skulle med andra ord beskriva hur hanteringen fungerade i verksamheten men också ge en beskrivning om varför hanteringen såg ut som den gjorde. 3.3 Enkätformulär Enkätformuläret inleddes med en kortare information om vilka vi var och i vilket syfte vi ville genomföra undersökningen. Här gavs också en kortare anvisning om hur de skulle besvara frågor där inget eller inga av de svarsalternativ som fanns med passade in på just den användaren (se bilaga A). Vidare så anpassades informationen i enkätformuläret för respektive verksamhet, där vi gjorde ett förtydligande om vilket system de skulle utgå från vid besvarande av enkäten. Eftersom varje verksamhet har flera olika system, gjordes detta förtydligande för att minska risken att användarna skulle utgå från fel system. Frågorna i enkätformuläret riktades till de användare som i sitt vardagliga arbete loggar in och arbetar med verksamhetens information. Formuläret delades in i tre olika avsnitt som vi valde att kalla $OOPlQQDIUnJRU/ VHQRUGVNRQVWUXNWLRQresp. +DQWHULQJ DY O VHQRUG Anledningen till denna uppdelning var att lättare kunna strukturera och kategorisera frågorna och därmed minska risken att missa någon fråga som annars skulle kunna vara relevant för den ställda forskningsfrågan. För att minska riskerna att frågorna i enkäten skulle kunna misstolkas, samt för att öka dess validitet och reliabilitet, så testade vi först enkäten på några personer som i sitt dagliga arbete loggar in i ett nätverk med hjälp av användaridentitet och lösenord Allmänna frågor Frågorna under denna rubrik ska ses som bakgrundsvariabler och kommer endast att användas om vi kan utläsa något samband med den övriga frågeställningen Lösenordskonstruktion Frågorna i avsnittet som behandlar lösenordskonstruktionen består av O VHQRUGHWV OlQJG(se bilaga A, fråga 4) DQYlQGDQGHWDYROLNDWHFNHQ (se bilaga A, fråga 5-9). O VHQRUGHWVVDPPDQVlWWQLQJ( se bilaga A, fråga 10-13) och en I UNODUDQGHGHO(se bilaga A, frågorna 14-19). 20

23 Vi har utifrån teorin gjort en egen poängfördelning gällande lösenordets längd och användandet av olika teckenvarianter (se Tabell 3.1). Anledningen till detta är att få en ökad förståelse för hur säkerheten påverkas vid de olika kombinationerna. Poängfördelningen för varje enskild del svarar upp mot de teorier vi studerat. Vi anser också att den kombination som är sammanställt av oss i Figur 2.1 ger en relativt rättvis säkerhetsbedömning gällande om lösenordet är godkänt eller ej. Sammansättningen av lösenordet, d.v.s. var de olika tecknen är placerade, är dock svår att poängsätta. Så för den delen gäller godkänd säkerhet eller ej godkänd, beroende på om lösenordet innehåller någon sorts kombinationsföljd som tas upp i vår frågeställning. Den förklarande delen i enkäten användes för att öka förståelsen för YDUI U användarna konstruerade sina lösenord på det sätt de gjorde. Längden av lösenordet är av stor betydelse för säkerheten. Efter att vi tagit del av olika teorier så har vi kommit fram till följande: Lösenord som understiger sex tecken uppfyller inte de krav som teorierna förespråkar, men det är dock ett lösenord och får en säkerhetspoäng. Lösenord som har sex tecken är till sin längd precis godkänt och får två poäng. Lösenord som har en längd på sju tecken håller en bra säkerhet sett till längden och får tre säkerhetspoäng. Lösenord som uppnår åtta tecken eller mer har en mycket bra säkerhet sett till längden och får fyra säkerhetspoäng. När det gäller användning av olika kategorier av tecken så har vi gjort följande gradering i vår mätning: Endast stora bokstäver, små bokstäver, siffror eller specialtecken medför en säkerhetspoäng. Lösenord som innehåller stora och små bokstäver, medför två säkerhetspoäng. Lösenord som innehåller stora eller små bokstäver tillsammans med siffra eller specialtecken får två säkerhetspoäng. Ett lösenord som innehåller en variation från tre av de fyra klasserna får tre säkerhetspoäng. Ett lösenord som innehåller tecken från alla fyra klasserna får fyra säkerhetspoäng. 21

24 Om vi ser till kombinationen gällande längd och teckenvariation så har vi skapat följande tabell för att få en kombinerad säkerhetsbedömning. 7DEHOO6lNHUKHWVEHG PQLQJYLGHQNRPELQDWLRQDYEnGHO VHQRUGHWVOlQJGRFKDQWDOHWWHFNHQ YDULDQWHU. / VHQRUG Färre än sex tecken Sex tecken Sju tecken En teckenvariant Två teckenvarianter Tre teckenvarianter Fyra teckenvarianter Två säkerhetspoäng 8QGHUNlQW Tre säkerhetspoäng 8QGHUNlQW Fyra säkerhetspoäng 8QGHUNlQW Fem säkerhetspoäng *RGNlQW Hantering av lösenord Tre säkerhetspoäng 8QGHUNlQW Fyra säkerhetspoäng 8QGHUNlQW Fem säkerhetspoäng *RGNlQW Sex säkerhetspoäng *RGNlQW Fyra säkerhetspoäng 8QGHUNlQW Åtta eller fler tecken Fem säkerhetspoäng *RGNlQW Fem Sex säkerhetspoäng säkerhetspoäng *RGNlQW *RGNlQW Sex säkerhetspoäng *RGNlQW Sju säkerhetspoäng %UD Sju säkerhetspoäng %UD Åtta säkerhetspoäng 0\FNHWEUD Frågorna i denna del är i likhet med konstruktionsfrågorna både av beskrivande och förklarande karaktär (se bilaga A, frågorna 20-31). Till skillnad från konstruktionsdelen så gav vi ingen direkt poängsättning för något samband gällande de svar vi fick in. Anledningen till det är att en egen poängsättande modell av något slag skulle bli allt för ohållbar, detta på grund av att det inte finns tydliga samband mellan hanteringsfrågorna i de teorier som vi studerat. Vi gjorde istället en bedömning för varje fråga. Denna bedömning visar hur många användare i verksamheterna som utifrån teorierna uppfyller en säker lösenordshantering. 3.4 Intervjuformulär Frågorna i intervjuformuläret riktades till den systemansvarige eller systemadministratör, som ansvarade för den löpande driften av systemen. Frågorna var också utformade på ett sådant sätt att de skulle ge svar på om verksamheten uppfyllde de krav som enligt teorierna ska infrias för en tillfredställande lösenordshantering och som vi belyser i uppsatsens teoriavsnitt. På samma sätt och av samma anledning som enkätformuläret, kategoriserade vi intervjufrågorna i olika avsnitt (se bilaga B). Detta för att lättare kunna kontrollera 22

25 om relevanta frågor var medtagna och rätt ställda, men även minska risken för att missa frågor som skulle kunna vara av vikt för undersökningen. De inledande frågorna under $OOPlQQDXSSJLIWHU ställdes för att förvissa oss om att svaren som angavs, besvarades av de personer som vi avsett. Det vill säga den systemansvarige eller systemadministratör som var väl insatta i systemen och som i övrigt hade god kännedom om säkerhet. De resterande frågorna delades in i kategorierna DGPLQLVWUDWLYDnWJlUGHUoch WHNQLVNDnWJlUGHU. Dessa frågor fungerade som en mall och checklista över att alla förutbestämda frågor ställdes. Därutöver lämnade vi öppet för följdfrågor som eventuellt kunde ställas utifrån de svars som angavs. Fördelen med att genomföra intervjuer är att det sker en dialog med den tillfrågade så att begrepp och missförstånd på ställda frågor kan klaras ut och undvikas och därmed kan också en större klarhet uppnås. Dessutom kan nya infallsvinklar framkomma från den intervjuade som kan ge oss ytterligare djup och förståelse av problemsituationen. 3.5 Urvalsmetod Här presenteras de urval som gjordes när det gäller verksamheter och användare Verksamheter För att kunna välja ut vilka verksamheter som skulle passa in i vår undersökning satte vi upp följande kriterier som de skulle uppfylla: Verksamheterna skulle ha viss information som tillhör klassen hemlig information (se Olika informationsklasser). Antalet anställda som dagligen arbetade med denna information skulle till antalet vara så pass många att vi kunde slumpa fram mellan 20 till 30 användare som skulle svara på vår enkät. Det skulle finnas en person som kunde svara på intervjufrågor gällande det system som användarna loggar in på för att komma åt denna information. Verksamheterna skulle använda sig av lösenord - dock ej engångslösenord, för att logga in i systemet och på så sätt komma åt informationen. Användarna skulle ha tillgång till en egen dator och ett eget kontor. När kriterierna var satta, kontaktades verksamheter som vi bedömde som aktuella för undersökningen. På de verksamheter som visade intresse och som vi ansåg 23

26 mest uppfyllde våra kriterier, bokade vi möten med respektive IT-chef. Varje möte gav oss möjlighet att på ett tydligt sätt förklara våra tankar angående undersökningen. Vi informerade även om att både verksamheten och användarna skulle förbli anonyma utan möjlighet att kunna identifiera svaren till dessa. Även vi fick information som ökade vår förståelse gällande de olika verksamheterna. För att till slut få undersökningen hanterbar i mängd och tid valde vi att göra undersökningen på tre verksamheter som vi ansåg som mest lämpade för vårt arbete Användare När vi gjort klart vilka verksamheter som skulle ingå i undersökningen så var det dags att göra urvalet av användarna som skulle besvara enkätfrågorna. Här tog vi hjälp av de kontaktpersoner i respektive verksamhet, som varje IT-chef hade hänvisat oss till. Utifrån våra kriterier gav kontaktpersonerna oss namnen på de avdelningar som var aktuella för vår undersökning. Urvalet skedde genom att slumpvis välja ut en av de framtagna avdelningarna i respektive verksamhet. På de avdelningar som hade 30 eller färre användare valde vi att låta alla användare besvara enkäten. I de avdelningar som hade fler än 30 användare, slumpade vi fram de 30 användare som skulle besvara enkäterna. Urvalet på vilka användare som skulle ingå i undersökningen, skedde genom att från en personallista slumpvis välja ut de användare som skulle besvara enkäten. 3.6 Genomförande av fallstudie Genomförandet av undersökningen skedde på olika sätt. När vi av de olika kontaktpersonerna fått klartecken att utföra undersökningen på de avdelningar som slumpats fram, tog vi kontakt med de personer vi blivit hänvisade till. När det gäller Verksamhet A så skickade vi enkäterna med e-post till vår kontaktperson. Den person som vi hade kontakt med gällande avdelningarna såg till att enkäterna delades ut till rätt användare. Denna person såg också till att samla in enkäterna som vi senare hämtade. Verksamhet B och C besökte vi personligen och förklarade för de ansvariga på plats vad vi ville uppnå med undersökningen. Vi hade med oss färdiga enkäter som delades ut till användarna som slumpats fram. Även här så återkom vi för att personligen hämta de besvarade enkäterna. Efter att ha sammanställt enkäterna och på så vis fått de sista underlagsuppgifterna till intervjufrågorna, kontaktades de respondenter som skulle besvara våra frågor. Via telefon bestämdes tid och plats för våra möten. Intervjuerna genomfördes 24

27 på respektive respondens arbetsplats. Innan varje intervju inleddes, gavs en mer ingående förklaring till syftet med intervjun och undersökningen. Vidare informerades respondenterna om att svaren skulle behandlas konfidentiellt. Vid intervjuerna ställde en av oss frågorna, medan den andra iakttog och förde anteckningar. Respondenterna vi intervjuade fick efter varje fråga god tid på sig att formulera och utveckla sina svar. För att vara säker på att få med allt som respektive respondent svarade, använde vi bandspelare vid alla intervjuer. När det gäller verksamhet B och C, som ingår i samma organisation, gjordes en intervju som gäller för båda verksamheterna, eftersom båda dessa verksamheter använder samma system. 3.7 Bortfall Totalt delades det ut 85 enkätformulär i de tre verksamheterna. I verksamhet A blev bortfallet 5 enkäter av 25 utdelade. Två stycken var sjuka och tre lämnade inte in något enkätsvar. När det gäller verksamhet B blev bortfallet 6 av de utdelade 30. Till sist kan vi konstatera att bortfallet i verksamhet C blev 4 av de 30 som vi delade ut. Om vi ser till det totala bortfallet på alla tre verksamheterna så uppgår det till omkring 18 procent. 25

28 4 Resultat och analys I detta kapitel presenteras och analyseras de sammanställda svaren som samlats in från undersökningen. Sammanställningen är uppdelad i enkätundersökning och intervjuundersökning för att tydliggöra det insamlade materialet på ett bra sätt. 4.1 Resultat och analys - Enkätundersökningen För att tydliggöra hur svaren från enkätfrågorna ser ut, använder vi förutom text även några figurer som sammanställer det insamlade svarsmaterialet. Eftersom vi har delat upp enkäten i olika avsnitt (se bilaga A), så redovisar vi för tydlighetens skull vårt insamlade material uppdelat i dessa delar. I varje del beskriver vi först varje verksamhet för sig för att sedan ge en total beskrivning av de tre verksamheterna tillsammans. Beskrivningen ska visa på hur användarna uppfyller säkerhetsaspekterna som gäller för lösenords- och konstruktionshantering. Den kompletta sammanställningen av alla enkätsvar har vi åskådliggjort i diagram (se bilaga C) Resultat Allmänna enkätfrågor De svar vi fått angående datorvanan, ger en klar bild av att de flesta anser sig ha bra vana. I verksamhet A, har 65 procent uppgett att de har bra datorvana, 25 procent anser att de har mycket bra datorvana och endast 10 procent anser att de har mindre bra eller dålig datorvana. I verksamhet B, tycker 58 procent att de har bra datorvana, 25 procent anser att de har mycket bra datorvana medan 17 procent anser att den är mindre bra. När det gäller verksamhet C, anser 75 procent att de har bra datorvana, medan vardera 12,5 procent anser att den är mycket bra eller mindre bra. Totalt sett för de tre verksamheterna så anser 21 procent att de har mycket bra vana, 66 procent anser sig ha bra vana, 12 procent mindre bra och dålig vana 1 procent Resultat - Lösenordskonstruktion Vi valde att dela upp lösenordskonstruktionen i tre delar (se Metod kap 3). Svaren vi fick in har vi sammanställt i dessa tre delar för att få en tydlig bild av hur användarna har uppfyllt de säkerhetsaspekter som teorierna tar upp. Den första delen, gällande konstruktionen, berör hur många tecken som används vid lösenordskonstruktionen. I verksamheterna A, använder majoriteten 6 tecken vid konstruktionen. I Verksamhet B, är majoriteten relativt jämt fördelat mellan de som har ett lösenord som innehåller 6 eller 7 tecken. I verksamhet C, är använ- 26