Lösenordshantering bland anställda på IT-företaguu.diva-portal.org/smash/get/diva2:1395102/FULLTEXT01.pdf · Sammanfattning: Över 60% av svenska företag hade år 2019 digitaliserat

Uppsala universitet

Inst. för informatik och media

Lösenordshantering bland anställda på

IT-företag

Fredrik Bongcam & Jamilla Johansson

Kurs: Examensarbete

Nivå: C

Termin: HT-19

Datum: 2020-01-24

Abstract:

In 2019 over 60% of Swedish companies had their business processes digitalized, which mean

that they need to protect the digitalized data and information. A common method for protecting

digital information and data is by using authentication methods. One authentication method is

by using passwords. For a password to be secure users must use the password in a secure

manner. The IT industry is responsible for developing digital services and products and

therefore have knowledge about information security and how to use passwords in a secure

manner. Although employees in the IT industry should have knowledge about how to handle

passwords, it seems that employees don’t always use passwords in a secure manner. The

research questions for this study are: How does employees in IT companies handle their

passwords regarding how they create, remember, reuse and share their passwords? and What

influences the way the employees handle their passwords? A qualitative case study was

conducted, and semi structured interviews was used for data collection. The data was analyzed

in relation to how ISO-27002 defines the secure way to handle passwords, the CIA triangle, the

protection motivation theory and previous research. The results of the case study show that the

respondents had knowledge about secure password usage, but only partly used passwords in a

secure manner. The results show that there was a contradiction between secure password usage

versus usability; secure passwords versus memory capacity; and securing password use by

systems versus passwords being the user’s responsibility. These contradictions resulted in that

the respondents sometimes deliberately chose to use passwords in an insecure manner.

Key words: information security, password, password security, password usage, IT companies,

employees, PMT, CIA

Sammanfattning:

Över 60% av svenska företag hade år 2019 digitaliserat sina affärsprocesser, vilket tyder på att

en stor andel företag har viktiga affärsdata och information digitalt som behöver skyddas. Ett

vanligt sätt att skydda information är att användare måste autentisera sig för att få tillgång till

informationen och det kan göras genom att använda lösenord. För att lösenord ska vara säkra

måste användarna hantera lösenorden på ett säkert sätt. IT-branschen ansvarar för att utveckla

digitala tjänster och produkter och har således kunskap om informationssäkerhet och lösenords-

hantering. Trots detta tycks det finnas brister när det gäller lösenordshantering även hos

anställda på IT-företag. Studiens frågeställningar är: Hur hanterar anställda på IT-företag sina

lösenord på arbetet utifrån hur de skapas, sparas, återanvänds och delas? samt Vilka faktorer

påverkar de anställdas lösenordshantering? En kvalitativ fallstudie med semistrukturerade

intervjuer och en kvalitativ dataanalys genomfördes. Fem intervjuer genomfördes och

analyserades i relation till säker lösenordshantering enligt ISO-27002, teorierna CIA-triaden

och Protection Motivation Theory samt tidigare forskning. Undersökningen visade på en

medvetenhet och kunskap hos respondenterna om vad säker lösenordshantering är och

respondenterna hanterade lösenord på ett sätt som delvis följde rekommendationerna från ISO-

27002. Undersökningen visade att det fanns motsättningar mellan lösenordssäkerhet kontra

användarvänlighet; säkra lösenord kontra minnesförmåga; samt systemstyrd lösenords-

hantering kontra användarens ansvar. Motsättningarna medförde att respondenterna inte alltid

hanterade lösenord på ett säkert sätt, medvetet valde att frångå det säkra sättet att hantera

lösenord.

Nyckelord: informationssäkerhet, lösenord, autentisering, lösenordshantering, IT-företag,

anställda, PMT, CIA

Innehåll

1 Inledning .................................................................................................................................. 1 1.1 Bakgrund och problemformulering .................................................................................. 1

1.2 Syfte och frågeställningar ................................................................................................. 3

1.3 Avgränsningar .................................................................................................................. 3

1.4 Disposition ....................................................................................................................... 3

2 Tidigare forskning ................................................................................................................... 4 3 Rekommendationer för säker lösenordshantering ................................................................... 6

4 Teori ........................................................................................................................................ 7

4.1 CIA-triaden ....................................................................................................................... 7

4.2 Protection Motivation Theory .......................................................................................... 7

5 Metod ...................................................................................................................................... 9

5.1 Forskningsansats .............................................................................................................. 9

5.2 Datainsamlingsmetod ....................................................................................................... 9

5.3 Dataanalys ...................................................................................................................... 10

5.4 Forskningsprocess .......................................................................................................... 12

5.4.1 Urval ........................................................................................................................ 12 5.4.2 Intervjuguide ........................................................................................................... 13 5.4.3 Genomförande av intervjuer .................................................................................... 13

6 Resultat och analys ................................................................................................................ 15

6.1 Lösenordssäkerhet kontra användarvänlighet ................................................................ 15

6.2 Säkra lösenord kontra minnesförmåga ........................................................................... 18

6.3 Systemstyrd lösenordssäkerhet kontra användarnas ansvar ........................................... 20

7 Slutsatser och diskussion ....................................................................................................... 23 Källförteckning ......................................................................................................................... 25 Bilagor ...................................................................................................................................... 29

Bilaga 1, Litteraturgenomgång ............................................................................................. 29

Bilaga 2, Intervjuguide ......................................................................................................... 34

1

1 Inledning

I detta inledande avsnitt beskrivs bakgrunden till studien tillsammans med en problem-

formulering, som mynnar ut i studiens syfte och frågeställning. Därefter följer avgränsningar

samt en genomgång av studiens disposition.

1.1 Bakgrund och problemformulering

Majoriteten av alla organisationer och företag i Sverige använder sig av digitala tjänster och

system i sina verksamheter. Enligt Vismas Digitaliseringsindex har över 60% av svenska

företag och organisationer digitaliserat sina affärsprocesser och siffran ökar (Visma 2019, s 4).

Detta tyder på att en stor andel organisationer och företag i Sverige har viktiga affärsdata och

information digitalt. Enligt CIA-triaden är det viktigt att skydda information och data så att den

ska vara säker utifrån konfidentialitet, integritet och tillgänglighet. Det betyder att information

endast ska kunna nås av auktoriserade användare, vara äkta och inte modifierad samt finnas

tillgänglig för behöriga personer när den behövs (Whitman & Mattord 2016, s 14-16). För att

information ska vara säker behöver den således skyddas. Ett vanligt sätt att skydda information

är genom att användare autentiserar sig (Lin, W. Lin, S. Yen & Chen 2013, s 1)

Autentisering är den process som används för att verifiera en användares identitet mot ett

system, för att säkerhetsställa att denne har behörighet att nå en viss typ av data (Skeppstedt

2019; Butterfield, Ngondi & Kerr 2016a). På företag och organisationer används ofta lösenord

för att autentisera och hantera anställdas åtkomst till olika interna system (Svenska Institutet

för Standarder (SIS) 2017, s 26). Ett lösenord är en kombination av tecken som används för att

autentisera en användare till system eller tjänster. Lösenordet som användaren fyller i måste

stämma överens med det lösenord som är lagrat i systemet, för att identiteten ska verifieras.

(Butterfield, Ngondi & Kerr 2016b) För att lösenord ska vara säkra och skydda tillgången till

det system eller information som lösenorden är tänkta att skydda, krävs det att användarna som

autentiserar sig använder lösenorden på ett säkert sätt (SIS 2017, s 24-25; Sentor 2018). Enligt

ett ledande bolag inom IT-säkerhet innebär säker lösenordshantering att användare ska välja ett

långt lösenord, använda olika sorters tecken, undvika namn och ord och undvika personlig

information. Därtill ska användaren se till att ha unika lösenord för olika tjänster. (Sentor 2018)

Dagligen rapporteras det om attacker och dataintrång mot företag och organisationer över hela

världen och många av dessa sker på grund av bristande lösenordshantering (Verizon 2017).

Exempelvis drabbades Dropbox av ett dataintrång 2012 där flera miljoner av företagets

användaruppgifter läckte ut. Läckan kunde ske på grund av att LinkedIn hade blivit hackat

vilket ledde till att flera användaruppgifter, bland annat lösenord, blivit stulna. En anställd på

Dropbox hade använt samma lösenord för systemen på sitt arbete som på LinkedIn, vilket

resulterade i att angriparen kunde ta sig in i Dropbox interna nätverk. (Gibbs 2016) Attacken

mot Dropbox är bara ett av många exempel där en organisation blivit av med miljoner

användaruppgifter på grund av dataintrång där angriparen kommit över lösenord från ett ställe

och på så sätt kunnat få tillgång till även andra företag och organisationers information och data

(Sentor 2016). Exemplet ovan visar på vilka risker bristande lösenordshantering kan innebära

och vilka följder det kan få.

2

När det gäller informationssystem på arbetsplatser är lösenord och hur användarna hanterar

lösenorden en av de största riskfaktorerna för säkerhetsbrister (Sebescen & Vitak 2017).

Riskfaktorer för bristande lösenordshantering är antal lösenord som används, hur lösenord

sparas, hur starka lösenord som väljs samt att de anställda har svårt att minnas sina lösenord

(Florencio & Herley 2007; Bang, Lee, Bae & Ahn 2012, s 412). Enligt en studie gjord av

Kaspersky (2016, s 18) återanvände så många som 70% av respondenterna sina lösenord och

10% av respondenterna hade samma lösenord till samtliga av sina konton. Av respondenterna

hade 28% delat lösenord till en familjemedlem och 11% hade någon gång delat sitt lösenord

med en eller flera vänner. Enligt studien var det svårt att minnas lösenord och många av

respondenterna använde sig av bristfälliga metoder för att minnas dem. Till exempel hade 11%

av respondenterna skrivit ner sina lösenord på en lapp vid datorn och 22% hade skrivit sitt

lösenord i ett anteckningsblock. (ibid) En anledning till att användare skapade osäkra och

simpla lösenord ansågs vara för att de var lata och därför inte orkade anstränga sig tillräckligt

för att skapa säkra lösenord (Shen, Yu, Xu, Yang & Guan 2016, s 138-139). Därtill tenderade

användare att tro att inget skulle hända dem:

...despite understanding security risks, individuals are still inclined to take

risks because they are unrealistically optimistic and believe that negative

events are less likely to happen to them. (Campbell, Greenauer, Macaluso

& End 2005, se Whitty, Doodson, Creese & Hodges 2015, s 1)

Det är problematiskt att användare inte hanterar lösenord på ett säkert sätt då de flesta lyckade

dataintrång beror på just dålig lösenordshantering (Verizon 2017, s 3). Även efter tillkomsten

av password managers och andra hjälpmedel för hantering av lösenord tycks problemen kvarstå

och både företag och individer riskerar att förlora kontrollen över sina viktiga informations-

tillgångar (ibid).

År 2017 fanns det över 50000 IT-företag i Sverige och siffran ökar. IT-branschen ansvarar för

tillverkning och utveckling av data- och kommunikationsprodukter samt andra digitala tjänster

och produkter. (IT&Telekomföretagen 2018) Företag i IT-branschen ansvarar även för att se

till att dessa digitala produkter och tjänster är säkra (EVRY 2019; Knowit 2019) varför

informationssäkerhet och lösenordshantering ofta anses vara en naturlig del av arbetet (Duggen,

Johnson & Grawemeyer 2012). Även inom IT-branschen verkar det finnas säkerhetsbrister,

främst på grund av den mänskliga faktorn och bristande lösenordshantering. En undersökning

med över 1200 anställda inom IT-branschen i flera olika länder visade att majoriteten av

respondenterna tyckte att det var svårt att hantera sina lösenord på ett säkert sätt, trots att de

ansåg det vara viktigt. Cirka 70% av respondenterna angav att de hade delat lösenord med

kollegor och cirka 50% hade återanvänt sina lösenord för både privata konton och på

arbetsplatsen. Därtill angav cirka 30% av respondenterna att de hade skrivit ner sina lösenord

på papper. (Ponemon Institute 2019, s 31-34) Rapporten från Ponemon Institute (2019) visar

således på att även anställda på IT-företag hade brister vad gäller säker lösenordshantering.

Studiens undran är hur anställda på IT-företag hanterar sina lösenord.

3

1.2 Syfte och frågeställningar

Då anställda i IT-branschen dagligen arbetar med IT-säkerhet kan de antas ha kunskap om vad

säker lösenordshantering innebär och hur lösenord bör hanteras för att vara säkra. Samtidigt

visar rapporter (Ponemon Institute 2019, s 31-34) på att det finns brister i lösenordshantering

även hos anställda på IT-företag, vilket gör det intressant att undersöka hur det faktiskt ligger

till. Genom att göra en fallstudie på ett IT-konsultföretag förväntas studien resultera i en

beskrivning av hur de anställda hanterar sina lösenord och vilka faktorer som kan påverka hur

lösenorden hanteras. Studien kan vara av intresse både för yrkesverksamma inom IT-branschen

såväl som för fortsatt forskning inom informationssäkerhet och lösenordshantering. Studiens

syfte är således att få en ökad förståelse för hur anställda på IT-företag hanterar sina lösenord.

Studiens forskningsfrågor är:

• Hur hanterar anställda på IT-företag sina lösenord på arbetet utifrån hur de skapas,

sparas, återanvänds och delas?

• Vilka faktorer påverkar de anställdas lösenordshantering?

1.3 Avgränsningar

En fallstudie har genomförts där ett IT-konsultföretag studerades, för att kunna gå på djupet

och få en mer detaljerad förståelse för fenomenet på det valda företaget. För att få en ökad

förståelse för hur de anställda på IT-konsultföretaget hanterar sina lösenord har endast aspekter

som de anställdas egna upplevelser och beteenden studerats. Därmed har tekniska aspekter som

exempelvis kryptering av lösenord exkluderats.

Enligt IT&Telekomföretagen (2018) har majoriteten av IT-företag 0-49 anställda, varför ett

företag av den storleken valdes för undersökningen.

För att avgränsa och definiera vad som menas med säker lösenordshantering används för

studien den beskrivning som finns i ISO-27002 (SIS 2017) och som beskrivs nedan i avsnitt 3.

1.4 Disposition

I avsnitt 2 presenteras tidigare forskning om lösenordshantering för att skapa en förståelse för

hur forskningsläget ser ut i ämnet. I avsnitt 3 beskrivs begreppet säker lösenordshantering som

sedan kommer att användas för att analysera det insamlade materialet. I avsnitt 4 presenteras

teorierna CIA-triaden samt Protection Motivation Theory som även de kommer att analyseras

och diskuteras i relation till undersökningen. I avsnitt 5 redovisas undersökningens forsknings-

ansats, metod för datainsamling och dataanalys samt forskningsprocess. I avsnitt 6 presenteras

och analyseras resultatet från undersökningen. Slutligen, i avsnitt 7, besvaras studiens

frågeställningar samt att slutsatser dras.

4

2 Tidigare forskning

I detta avsnitt redovisas det nuvarande forskningsläget vad gäller lösenordshantering. Den

tidigare forskning som används har tagits fram med hjälp av metoden Scoping (Mähler 2020).

För en fullständig redovisning av hur litteraturgenomgången genomfördes, se Bilaga 1,

Litteraturgenomgång.

När det gäller lösenordshantering visade flera studier att användare inte var bra på att följa de

säkerhetskrav som fanns för säker lösenordshantering, utan hanterade lösenorden på mindre

säkra sätt (Farcasin & Chan-tin 2015: Shen m fl 2016). En undersökning av Shen m fl (2016, s

139) på sex miljoner användarlösenord visade att användare tenderade att vara lata och att så

många som 15% därför använde sig av vanligt förekommande lösenord som “123456789” då

det ansågs enkelt att skapa och minnas. Därtill användes främst de specialtecken som var enkla

att nå på tangentbordet, exempelvis ! eller @ (ibid). En annan anledning till att användare inte

hanterade sina lösenord på säkert var på grund av att säkra lösenord ansågs vara svåra att minnas

(Shay, Komanduri, Durity, Huh, Mazurek, Segreti, Ur, Bauer, Christin & Cranor 2016; Farcasin

& Chan-tin 2015). I studien gjord av Farcasin och Chan-tin (2015) fick deltagarna välja mellan

att använda ett för-genererat lösenord, fyra olika val, eller att själva skapa lösenordet. Resultatet

blev att 87% valde att skapa ett eget lösenord och anledningen till detta, var enligt 62% av

deltagarna, att de för-generade lösenorden var för svåra att minnas (Farcasin & Chan-tin 2015,

s 2364).

För att öka medvetenheten kring informationssäkerhet och lösenordshantering visade studier

av Bauer, Bernroider och Chudzikowski (2017) och av Safa, Sookhak, von Solms, Furnell,

Ghani och Herawan (2015) att utbildningsinsatser eller informativa meddelanden kan

användas, och att det ledde till ett säkrare beteende. Ett säkrare beteende kan i sin tur även få

användare att följa informationssäkerhetspolicys (Safa m fl 2015). Enligt Bauer, Bernroider och

Chudzikowski (2017) är det viktigt att användare är positivt inställda till ett säkerhetsbeteende

och att de är villiga att följa lösenordspolicys för att minimera informationssäkerhetsincidenter.

Bélanger, Collignon, Enget och Negangard (2017) menade att det även är viktigt att användare

och anställda från start är positivt inställda till en implementation av lösenordspolicys då det

oftast resulterar i fortsatt säkert beteende även efter implementation. Motsatsvis menade

Sebescen och Vitak (2017) att en kombination av individuella egenskaper hade en större

påverkan på den anställdes risknivå än vad kunskap hade.

Farcasin och Chan-tin (2015) och Yıldırım och Mackie (2019) menade på att det inte alltid var

effektivt för ett säkerhetsbeteende att ha strikta lösenordspolicys eller regler för hur lösenord

skulle utformas. Studierna visade att det var mer effektivt att ge användarna meddelanden och

inspirera dem till att skapa starka lösenord och metoder för att minnas dem, istället för att tvinga

de att följa strikta riktlinjer (ibid). Enligt Furnell, Khern-am-nuai, Esmael, Yang och Li (2018)

och Yevseyeva, Morisset och van Moorsel (2016) är nudging en effektiv metod för att influera

eller styra användare att bete sig säkert. Ett sätt att använda nudging var att ge feedback när

användaren gjort ett säkert val, exempelvis genom användandet av “password meters” eller

“smileys” som rent grafiskt illustrerade om valet av lösenord var säkert (Furnell m fl 2018, s 4-

6). Förutom att ge positiv feedback och influera användare till säkert beteende menade van

Bavel, Rodríguez-Priego, Vila och Briggs (2019) och Aurigemma och Mattson (2018) att det

även kunde vara effektivt att nyttja användarnas önskan att undvika hot och fara. Genom att

använda sig av Protection Motivation Theory visade studierna att användare blev mer benägna

att bete sig säkert om de blev medvetna om vilka risker osäkra lösenord innebar och vilka

5

konsekvenser det kunde medföra. Exempelvis undersökte Aurigemma och Mattson (2018) hur

användare påverkades av olika hot och sårbarhet inför hoten och huruvida det fick dem att

förändra sitt säkerhetsbeteende. Enligt van Bavel m fl (2019), som också använde sig av

Protection Motivation Theory, kunde användare motiveras till att förbättra sitt säkerhets-

beteende genom att få motiverande meddelanden och information om hot. När det gäller

lösenordssäkerhet har Protection Motivation Theory även använts för att se hur användare

kunde motiveras till att använda säkra lösenord och få ett ökat säkerhetstänk. För att användare

skulle förbättra sitt säkerhetsbeteende gällde det dock att kostnaden inte var för hög, det fick

således inte vara för krångligt och svårt att bete sig säkert. (Safa m fl 2015).

6

3 Rekommendationer för säker lösenordshantering

I detta avsnitt redogörs begreppet “säker lösenordshantering” enligt standarden Riktlinjer för

Informationssäkerhetsåtgärder: SS-EN ISO/IEC 27002:2017 (SIS 2017). Framöver benämns

standarden ISO-27002. Denna definition kommer sedan att användas för att jämföras med hur

respondenterna hanterar lösenord. I ISO-27002 delas användningen av lösenord upp i flera

punkter, varav de fyra som används för föreliggande undersökning redogörs nedan.

Skapa säkert lösenord. Ett starkt lösenord bör vara enkelt att komma ihåg, inte bestå av ord från

ordböcker och inte bestå av endast alfabetiska eller numeriska tecken. Lösenord ska inte heller

bestå av personrelaterad information som exempelvis namn, personnummer eller telefon-

nummer. Lösenord bör bytas snarast om det finns tecken på att obehörig fått tillgång till den.

(SIS 2017, s 24-25)

Spara lösenord. Lösenord ska inte sparas med osäkra medel, exempelvis på papper, handhållen

enhet eller på en fil. Om lösenord sparas för automatisk inloggning ska korrekt skydd

säkerställas. (SIS 2017, s 24-25)

Återanvändning av lösenord. Samma lösenord ska inte användas på arbetsplatsen som för

privata syften (SIS 2017, s 24-25).

Inte dela lösenord. Det är viktigt att hålla sin autentiseringsinformation konfidentiell, med

andra ord inte dela sina lösenord till vare sig externa eller interna parter. Vidare bör användning

av delade konton inom en organisation minimeras. Delade konton bör endast användas om det

är väsentligt för verksamheten och det bör då vara väldokumenterat och godkänt. En anledning

till att använda unika konton är för att användare ska kunna kopplas till sitt konto och hållas

ansvariga för sina handlingar. (SIS 2017, s 24-25)

7

4 Teori

Nedan presenteras de teorier som användes för att analysera och diskutera det insamlade

materialet från undersökningen. CIA-triaden är en teori som används för att förstå vad som

krävs för att information och data ska anses vara säker och vilka hot som finns mot säkerheten.

I den tidigare forskning som var en del av studiens litteraturgenomgång identifierades

Protection Motivation Theory som en teori som ofta används för att beskriva förklara faktorer

som påverkar hur användare hanterar lösenord.

4.1 CIA-triaden

CIA-triaden är en teori som används för att förklara grunden till informationssäkerhet och hur

information bör hanteras ut ett säkerhetsperspektiv. De tre grundpelarna inom CIA-triaden är:

konfidentialitet, integritet och tillgänglighet. (Whitman & Mattord 2016, s 11)

Konfidentialitet innebär att data endast ska nås av auktoriserade användare och att

informationen inte ska nås av personer utan auktoriserad tillgång. Målet med konfidentialitet är

således att skydda informationstillgångar mot felanvändning eller icke-auktoriserad tillgång.

(Whitman & Mattord 2016, s 15) Bästa sättet att skydda informationens konfidentialitet av att

implementera skyddsåtgärder som ökar chansen för att ett intrång ska fångas. Genom testning,

träning och åtkomstkontroller såsom lösenord går detta att uppnå. (Greene 2014)

Integritet är skyddandet av information mot icke-auktoriserad förändring, oavsett om

förändringen skett medvetet eller omedvetet. Integriteten av informationen ska således innebära

att den är korrekt. (Whitman & Mattord 2016, s 16) Det finns ofta ett samband mellan integritet

och konfidentialitet. Sambandet kan exemplifieras med att konfidentialiteten hotas om en

person delar sitt lösenord till en icke-auktoriserad person, vilket i sin tur hotar integriteten av

informationen om den icke-auktoriserade personen sedan modifierar eller förstör

informationen. (Greene 2014)

Den sista delen av CIA triaden, tillgänglighet, innebär att information alltid skall finnas

tillgänglig för auktoriserade personer (Whitman & Mattord 2016, s 14). Hot mot

tillgängligheten av information kan dels vara medvetna attacker i form av denial of service

attacker men även mänskliga fel och naturkatastrofer (Greene 2014).

4.2 Protection Motivation Theory

Protection Motivation Theory, framöver kallat PMT, har funnits sedan 1975 (Maddux & Rogers

1983) och förklarar hur individer motiveras till att skydda sig själva om de utsätts för hot eller

farliga situationer samt hur attityder och beteenden kan förändras när individer utsätts för hot

(Floyd, Prentice-Dunn & Rogers 2000). Från början användes teorin främst för forskning inom

hälso- och sjukvård för att beskriva hur individer hanterar rädsla, men används numera även i

forskning inom samhällsvetenskapliga områden såsom informationssystem och IT. PMT kan

exempelvis användas för att förklara hur individer kan motiveras till att följa riktlinjer för

informationssäkerhet. (Vance, Siponen & Pahnila 2012; van Bavel m fl 2019)

8

Enligt PMT motiveras individer till att förändra sin attityd och sitt beteende utifrån två

processer (Floyd, Prentice-Dunn & Rogers 2000, s 409-411), som illustreras i modellen nedan.

Figur 1: Modell över Protection Motivation Theory. Inspiration hämtad från Wikipedia commons (2014).

Modellens övre del handlar om att värdera och bedöma hot genom att värdera hotets

allvarlighetsgrad samt hur sårbar individen är för att hotet ska uppstå. Därefter bedöms de

belöningar, det vill säga positiva aspekter och vinster, av att fortsätta bete sig riskfyllt och

därmed inte ändra sitt beteende för att skydda sig mot hotet. Dessa delar används tillsammans

för att bedöma om individen motiverats att förändra attityden eller beteendet kring situationen.

Om vinsterna av det riskfyllda beteendet bedöms vara högre än allvarligheten i hotet, kommer

attityden och beteendet inte att förändras. (Floyd, Prentice-Dunn & Rogers 2000, s 409-411;

Vance, Siponen & Pahnila 2012, s 191)

Den undre delen av modellen handlar om att värdera och bedöma hur hotet ska hanteras. Däri

ingår hur effektivt individen bedömer att det rekommenderade beteendet är för att eliminera

hotet, svarseffektivitet, samt hur individen bedömer sina egna förmågor att följa det

rekommenderade beteendet. Därefter bedöms svarskostnaderna för att börja följa det

rekommenderade beteendet. En bedömning görs således av hur effektivt det rekommenderade

beteende är och hur väl individen tror att denne kan genomföra förändringen till detta beteende

för att hantera den hotfulla eller farliga situationen. Om de positiva effekterna av ändrad attityd

eller beteende anses vara högre än kostnaderna för förändringen, kommer individen att förändra

sina attityder och beteenden kring det aktuella hotet. Modellen används i sin helhet för att

värdera och bedöma hotet samt bedöma hur väl individen kan hantera hotet, vilket därmed

påverkar hur motiverad individen är att skydda sig från hotet. (Floyd, Prentice-Dunn & Rogers

2000, s 409-411; Vance, Siponen & Pahnila 2012, s 191)

9

5 Metod

Nedan beskrivs undersökningens forskningsansats och metod, samt processen för hur under-

sökningens data samlades in och analyserades. Den litteraturgenomgång som genomfördes för

att ta fram studiens tidigare forskning finns beskriven i Bilaga 1, Litteraturgenomgång.

5.1 Forskningsansats

Det övergripande tillvägagångssättet för undersökningen var en kvalitativ fallstudie på ett

svenskt IT-konsultföretag. En kvalitativ fallstudie lämpade sig väl för undersökningen då målet

var en djupgående beskrivande förståelse för hur ett fenomen fungerar i en specifik kontext

samt vilka faktorer som påverkade fenomenet (Yin 2009), det vill säga hur anställda på IT-

företag hanterade sina lösenord. Undersökningen hade ett induktivt förhållningssätt då målet

var att använda det insamlade intervjumaterialet och utgå från respondenternas upplevelser för

att tolka och förstå det undersökta fenomenet, lösenordshantering. I förhållande till ett deduktivt

förhållningssätt som utgår från teorier och hypoteser och testar insamlat material mot dessa,

användes i föreliggande undersökning det insamlade materialet som grund för analys

tillsammans med tidigare forskning och teorier. (Patton 2002, s 56) För undersökningens

datainsamling användes semistrukturerade intervjuer. Semistrukturerade intervjuer lämpade sig

väl då målet var att få en djupgående detaljerad förståelse för hur individer upplevde och tänkte

kring ett fenomen, i detta fall lösenordshantering (Lantz 2013, s 43).

Undersökningen bedrevs utifrån den interpretivistiska forskningsparadigmen, som används för

att identifiera, utforska och förklara faktorer i en social miljö (Klein & Myers 1999, s 72).

Undersökningen var lämplig att bedriva utifrån den interpretivistiska forskningsparadigmen då

syftet var att få en förståelse för hur anställda på IT-företag hanterade lösenord, det vill säga

hur de upplevde och uppfattade verkligheten. Undersökningen resulterade i en diskussion kring

hur de anställda hanterade sina lösenord och vad som påverkade hanteringen. Till skillnad mot

forskning som bedrivs ur den positivistiska paradigmen var målet med studien inte att få fram

ett enda objektivt resultat som kunde generaliseras, utan snarare diskutera de olika

förklaringarna som framkom i intervjuerna och litteraturgenomgången. (Oates 2012, 292-306)

Undersökningen hade som målsättning att bidra med beskrivande samt förklarande kunskap

kring respondenternas lösenordshantering och vilka faktorer som påverkade hanteringen av

lösenord. (Goldkuhl 2011, s 11-14)

5.2 Datainsamlingsmetod

För datainsamlingen genomfördes semistrukturerade intervjuer som lämpade sig väl då målet

var att få detaljerad information om respondenternas upplevelser av lösenordshantering.

Semistrukturerade intervjuer användes då undersökningen hade teman och frågor som

besvarades, samtidigt som respondenterna hade möjlighet att prata fritt kring ämnet. Det var

viktigt att respondenterna tilläts prata fritt kring ämnet för att få detaljerade och djupgående

svar samt för att få möjlighet att ställa följdfrågor på sådant som var intressant. (Dalen 2015, s

34; Lantz 2013, s 43) Till skillnad mot strukturerade intervjuer var det också möjligt att ändra

ordningen på intervjufrågorna och anpassa samtalet till respondenten och samtalets rytm (Lantz

2013, s 69).

10

Fem intervjuer genomfördes, uppdelade på två dagar. Intervjuerna genomfördes på

respondenternas arbetsplats. Genom att genomföra intervjuerna i en miljö som respondenterna

var vana vid var förhoppningen att respondenterna på så sätt skulle känna sig avslappnade och

kunna prata mer fritt. (Lantz 2013, s 97) En risk med att genomföra intervjuerna på

respondenternas arbetsplats kunde ha varit att de inte kände sig bekväma med att prata fritt om

eventuella brister i deras arbete då kollegor eller chefer kunde höra dem. Genom att använda

ett enskilt konferensrum med möjlighet att skärma av insynen från övriga delar av kontoret

minimerades risken för att respondenterna skulle känna sig obekväma. Utöver det lovades

anonymitet och tystnadsplikt gentemot arbetsgivare och andra, för att respondenterna skulle

känna sig trygga att prata fritt.

För att kunna fokusera på samtalet som fördes och på det som respondenten berättade spelades

intervjuerna in. Inspelade intervjuer förenklade även transkriberingen av intervjuerna och höjde

kvaliteten på materialet då inget blev misstolkat eller gick förlorat. (Lantz 2013, s 97)

5.3 Dataanalys

Dataanalysen genomfördes induktivt, genom att utgå ifrån intervjumaterialet och utveckla

koder och teman som sedan analyserades i relation till tidigare forskning och teorier för att ta

fram undersökningens resultat (Hjerm, Lindgren & Nilsson 2014, s 67). Analysen av det

insamlade intervjumaterialet började direkt efter första intervjutillfälle, genom att intervjun

transkriberades till text. Genom att direkt lyssna igenom materialet erhölls en första uppfattning

av teman och begrepp som förekommit under intervjuerna. En sådan initial analys var viktig då

det ledde till följdfrågor som behövde ställas till nästkommande intervju samt gav tillfälle att

justera intervjufrågor som upplevdes otydliga. (Hjerm m fl, 2014)

Som verktyg för att analysera det insamlade intervjumaterialet användes programmet

MAXQDA samt Excel. MAXQDA är en programvara för kvalitativa analyser och användes

för att analysera det insamlade materialet (MAXQDA 2019).

Reduktion av data (kodning). Dataanalysen påbörjades med att datamaterialet ordnades och

sorterades genom kodning med hjälp av MAXQDA. Proceduren genomfördes genom öppen

axial kodning, där varje transkriberad intervju lästes igenom på bredden för identifiera stycken

och längre passager som kunde kopplas till bredare kategorier (Dalen 2015, s 79-83). I den

inledande kodningen användes de kategorier som fanns utifrån undersökningens första fråge-

ställning, det vill säga hur de anställda skapade, mindes, återanvände och delade lösenord. De

stycken och passager som var intressanta granskades sedan noggrannare och kodades på djupet

för att få mer detaljerade koder och kategorier (Hjerm m fl 2014, s 56-61).

11

Först kategoriserades materialet således utifrån hur respondenterna beskrev den nuvarande

lösenordshanteringen, med underteman för att beskriva respektive del.

Tema Undertema

Skapa a. Hur gör respondenterna? b. Vilka svårigheter upplevs? c. Vilken kunskap har respondenterna? d. Hur tycker respondenterna att säker

lösenordshantering bör göras?

Minnas

Återanvända

Dela

Tabell 1: första kategoriseringen

Presentation av data (tematisering). Efter den första öppna kodningen gjordes fortsatta analyser

genom axial kodning för att se hur de olika kategorierna förhöll sig och relaterade till varandra

(Dalen 2015, s 79-83). Koderna grupperades och sorterades i teman som identifierades i

analysen. De teman som identifierades bestod av motsättningar av faktorer som kunde påverka

respondenternas lösenordshantering. Resultatet av denna tematisering redovisas nedan i tabell

2. Genom att göra denna tematisering erhölls en djupare förståelse för materialet samt att

mönster i respondenternas svar kunde identifieras och användas för att ta fram undersökningens

resultat. (Hjerm m fl 2014, s 63-72)

Teman

Lösenordssäkerhet ← → Användarvänlighet

Säkra lösenord ← → Minnesförmåga

Systemstyrd lösenordsäkerhet ← → Användarnas ansvar

Tabell 2: slutlig tematisering

Slutsats och verifiering (summering). Sista delen av analysen gick ut på att summera och dra

slutsatser från materialet. Här analyserades och diskuterades även materialet i förhållande till

de teorier och tidigare forskning som användes till studien. I denna del av dataanalysen

undersöktes även materialet ytterligare en gång för att säkerhetsställa att de slutsatser som tagits

fram stämde samt för att se om nya intressanta fynd kunde hittas i materialet. (Hjerm m fl 2014,

s 73-86)

Hela dataanalysen skedde iterativt och de olika delarna av analysen gjordes flera gånger, både

enskilt och tillsammans. Genom detta iterativa arbete kunde en mättnad nås, när inga nya

mönster eller teman kunde identifieras i materialet. (Hjerm m fl 2014, s 34-35) Efter att intervju-

materialet och litteraturgenomgången färdigställdes, analyserades de tillsammans för att

besvara studiens forskningsfrågor.

12

5.4 Forskningsprocess

Nedan beskrivs tillvägagångssättet för forskningsprocessen. Först redovisas processen för

urvalet av deltagare till undersökningen. Därefter beskrivs den intervjuguide som ligger till

grund för undersökningen och sist beskrivs proceduren för intervjuerna.

5.4.1 Urval

För urvalet till undersökningen användes ett målinriktat typical case sampling. Typical case

sampling används för att hitta en urvalsgrupp som är typisk för populationen, det vill säga ett

fall som är genomsnittligt i populationen. (Patton 2002, s 236) För denna undersökning gjordes

urvalet att studera anställda på ett svenskt IT-konsultföretag. För att hitta ett typiskt fall ur

population valdes ett företag ut utifrån att det hade 0-49 anställda, då majoriteten av IT-företag

är av den storleken (IT&Telekomföretagen 2018). Företaget arbetade med tillverkning och

utveckling av digitala tjänster och produkter, vilket är vanligt för ett IT-företag (ibid). Vidare

var det valda företaget ett IT-konsultföretag, av den anledning att det enligt SACO är vanligt

inom IT-branschen att arbeta som IT-konsult (SACO 2020). Genom att välja ett typiskt fall ur

populationen kan det vara möjligt att få en uppfattning om hur det skulle kunna vara på andra

IT-företag (Patton 2002, s 236).

För att hitta deltagare som passade in på ovanstående målgrupp användes metoden chain

sampling (Patton 2002, s 236), se figur 2. En av skribenterna hade en bekant som arbetade på

ett IT-konsultföretag varpå denne kontaktades för att få tillgång till vidare kontakter på

personens arbetsplats. Kontakten med den bekanta resulterade i mailkontakt med en

konsultchef på ett svenskt IT-konsultföretag. Den initiala kontaktpersonen nyttjades endast för

att skapa en kontakt med ansvarig chef och därefter hölls all vidare kontakt med konsultchefen.

Inledningsvis introducerades undersökningens syfte och frågeställningar tillsammans med en

förfrågan om deltagande i studien. Konsultchefen skickade därefter ut en intern förfrågan till

de anställda om de ville medverka i en intervju. Fem personer valde att tacka ja till deltagande.

Antalet respondenter diskuterades utifrån om det skulle räcka för att få ett tillräckligt detaljrikt

underlag. När intervjuerna hade genomförts ansågs djupet av materialet tillräckligt i förhållande

till storleken av studien varpå ytterligare respondenter inte ansågs nödvändigt.

Figur 2: Modell över urval

Urvalet av deltagare var inte slumpmässigt då en förfrågan skickades till alla anställda på

företaget, där de som ville fick välja att ställa upp. Genom att deltagandet baserades på

frivillighet kan detta ha inneburit att deltagarna var mer insatta i lösenordshantering än andra

som inte valde att delta. Därtill kan deltagarna varit mer positivt inställda till säkerhet och/eller

hade positioner där de arbetade med säkerhet och lösenordshantering. Vidare visade det

intervjuschema som tilldelats att dels den initiala bekanta kontakten samt en ytterligare ytligt

bekant person valt att ställa upp på intervju. Det finns både för- och nackdelar med att bekanta

personer deltar i kvalitativa studier. En nackdel är att en bekantskap med en respondent kan

innebära en viss partiskhet, på engelska bias (Patton 2002, s.48). Om en respondent är partisk

13

kan det innebära att respondenten svarar som denne tror att forskarna vill. En fördel kan dock

vara att respondenten känner sig bekväm med forskaren och på så sätt har enklare att dela med

sig av sina upplevelser kring forskningsämnet. Vidare menade Patton (2002, s.48) att en distans

till en respondent inte nödvändigtvis innebär objektivitet och närhet innebär således inte

automatiskt en partiskhet.

5.4.2 Intervjuguide

En intervjuguide upprättades för att formulera intervjufrågor och utifrån de forskningsfrågor

som undersökningen hade skapades först teman till intervjun. För varje tema skapades sedan

intervjufrågor och följdfrågor, för att på ett strukturerat sätt säkerställa att de centrala delarna

för undersökningen inkluderades. (Kvale, Brinkmann & Torhell 2014, s 165-166) I början av

intervjuguiden lades en introducerande del in, med en presentation av studien samt inledande

neutrala frågor om respondentens bakgrund och roll på företaget. Respondenterna informerades

även om de etiska förutsättningarna för intervjuerna, bland annat anonymitet, tystnadsplikt

gentemot arbetsgivare och andra, om frivillighet och samtycke till att spela in intervjun. (Lantz

2013, s 70-82) Därefter lades huvuddelen in, med de centrala intervjufrågorna. Efter huvud-

delen av intervjun lades en avslutande del till, för att knyta ihop säcken och på ett naturligt sätt

avsluta intervjun. Intervjuguiden i sin helhet finns bifogad i Bilaga 2, Intervjuguide.

Intervjuguiden testades sedan genom prov-intervjuer. Forskarna intervjuade både varandra och

andra studenter i närheten för att se att de utformade frågorna var enkla att förstå, inte gav

upphov till missförstånd, samt besvarade de centrala frågeställningarna (Dalen 2015, s 40).

5.4.3 Genomförande av intervjuer

Intervjuerna fördelades på två dagar, med två intervjuer den första dagen och tre intervjuer den

andra dagen. Att dela upp intervjuerna gav tid för reflektion och en möjlighet att justera

intervjufrågorna så att de flöt på bättre och gav mer utförliga svar. En fråga som ändrades

mellan dagarna var frågan “Händer det att du delar dina lösenord med andra?”. Frågan gav

väldigt korta svar och bedömningen gjordes att frågan kanske var känslig och att

respondenterna inte kände sig bekväma med att svara på den. Frågan formulerades om till det

mer neutrala “Hur ser du på att dela lösenord med andra?” vilket resulterade i mer utförliga

svar. Intervjuerna hölls på respondenternas arbetsplats, i ett av företagets konferensrum. En av

intervjuerna hölls via telefonkonferens, då respondenten befann sig på annan ort. Samtliga

intervjuer spelades in med ljudinspelningsprogram på skribenternas telefoner.

Varje intervju började med en introduktion och kort presentation av oss forskare, syftet med

undersökning och vad vi menade med begreppet lösenordshantering. Respondenten

informerades även om de etiska forskningsprinciperna: att deltagandet var frivilligt; hur

informationen skulle användas; vilka som skulle få tillgång till den; att alla svar skulle

anonymiseras; och att intervjun skulle komma att spelas in (Kvale, Brinkmann & Torhell, 2014,

s 105-114). Därtill redovisades begreppet “lösenordshantering” utifrån undersökningens

definition. Respondenten gavs även tillfälle att ställa frågor innan själva intervjun började.

Intervjun inleddes därefter med inledande frågor kring respondentens roll på företaget samt

andra grundläggande frågor. Enligt Kvale m fl (2014, s 170) är inledningen av intervjun

avgörande för att respondenterna ska känna sig bekväma. När den inledande delen av intervjun

var avklarad påbörjades intervjuns kärnfrågor, utifrån den utformade intervjuguiden. Under

14

intervjun ställdes öppna och korta frågor, för att respondenten skulle ha möjlighet att prata fritt.

Följdfrågor ställdes för att förtydliga, fördjupa eller bekräfta svaren. Efter att de huvudsakliga

frågorna var avhandlade fanns en avslutande del där respondenten dels fick ställa frågor och

eventuellt förtydliga sina svar. (Kvale m fl 2014, s 170-172; Lantz 2013, s 70-82)

15

6 Resultat och analys

Intervjumaterialet sammanställdes och analyserades tillsammans med de tidigare beskrivna

teorierna CIA-triaden och PMT, standarden ISO-27002 samt tidigare forskning. Resultatet av

undersökningen presenteras i avsnittet nedan i form av teman av motsättningar som

identifierades i undersökningen:

• lösenordssäkerhet kontra användarvänlighet

• säkra lösenord kontra minneskapacitet

• systemstyrd lösenordssäkerhet kontra användarens ansvar

Utifrån de etiska förutsättningarna om anonymitet som redovisas i Bilaga 2: Intervjuguide

kommer respondenterna refereras till som: R-X, R-Z, R-Q, R-W och R-Y. “R” står för

respondent och den följande bokstaven är koden för respondenten.

Det undersökta fallet var ett IT-konsultföretag i Mellansverige, med 15-25 anställda. Företaget

arbetade med utveckling och drift av verksamhetssystem och IT-lösningar för kunder. De fem

respondenterna som intervjuats arbetade som IT-konsulter på företaget med roller som

systemutvecklare och projektledare. Respondenterna hade arbetat på företaget mellan 1,5-11

år.

6.1 Lösenordssäkerhet kontra användarvänlighet

Undersökningen visade på en motsättning mellan lösenordssäkerhet och användarvänlighet, då

respondenterna upplevde att de ofta behövde välja mellan dem. Lösenordssäkerhet ansågs vara

viktigt i respondenternas arbete, då de arbetade med att utveckla system och funktioner som

skulle vara säkra. En respondent uttryckte detta så här: “Det är ändå en viktig business vi håller

på med, med mycket säkerhet. Det är ju högsta prio, i allra högsta fall.” (R-X). Respondenterna

ansåg således att säkerhet och att skydda information var viktigt, vilket är i enlighet med CIA-

triadens syn på informationssäkerhet (Whitman & Mattord 2016, s 11-16). I undersökningen

framkom att respondenterna trodde de var bättre än anställda i andra branscher då de hade

kunskap om IT-säkerhet och var medvetna om vilka risker som fanns. Å andra sidan framkom

det i undersökningen att respondenterna trots denna kunskap inte alltid agerade så säkert. Ett

exempel var: “... jag tror medvetenheten är större, men sen behöver det kanske inte vara så att

man är absolut bäst på att följa det.” (R-Z). Respondenten menade att de nog visste bättre, men

inte alltid gjorde som de borde. Ett annat exempel var:

“Jag tror att inom IT-branschen så vet man hur det ska göras på ett bra

sätt. Men, sen hur det används i praktiken… [...] Jag tror det är en skillnad

i att man vet hur det ska göras men att man faktiskt kanske inte gör det.”

(R-Y)

Respondenten menade således att det inom IT-branschen fanns kunskap om hur lösenord bör

hanteras, men att lösenord inte alltid hanteras på bästa sätt. Enligt Sebescen och Vitak (2017)

fanns det ingen stark korrelation mellan hög kunskapsnivå kring informationssäkerhet och

risknivå för att drabbas för exempelvis dataintrång. Även personer med hög kunskap och

medvetenhet kring säkerhet riskerade således att drabbas av intrång. Sebescen och Vitak (2017)

menade således på att det kanske är något annat än kunskap som påverkar säkerheten, vilket

även föreliggande undersökning visade på.

16

Undersökningen visade på att respondenterna hade en medvetenhet om riskerna med att

återanvända lösenord och att återanvändning bör undvikas. Det framkom dock i under-

sökningen att lösenord stundtals återanvändes. En respondent beskrev det så här:

“Jag tycker att det är en dum idé, men jag gör det för att det är mycket

enklare. Men jag vill ju egentligen inte göra det, för jag vet hur dumt det

är. Kommer du åt ett [lösenord] så kommer du åt allt. Men jag är inte redo

att anstränga mig mer för att inte göra det.” (R-Q)

I undersökningen framkom således att respondenter medvetet frångick det säkra sättet om att

inte återanvända lösenord (SIS 2017). När lösenord återanvändes gjorde respondenterna det för

att det ansågs enklare och mer användarvänligt, samt för att arbetet skulle bli mer effektivt.

Utifrån PMT kan det således tolkas som att allvarlighetsgraden i förhållande till sårbarheten av

att återanvända lösenord inte var tillräckligt höga för respondenterna skulle sluta återanvända

lösenord (Vance, Siponen & Pahnila 2012, s 191).

För att hålla information säker framkom det i undersökningen att respondenterna ansåg att det

vara viktigt att inte dela lösenord till personliga konton på arbetet såsom företagsprofil och

email. En respondent beskrev det så här:

“Där får man väl bara inse att man aldrig ska göra det [dela lösenord].

Och man ska ifrågasätta, varför ska du ha mitt lösenord? Vad ska du med

det? Varför ska du logga in?” (R-Y)

Respondenterna ansåg med andra ord att det var viktigt ur säkerhetssynpunkt att hålla sina

lösenord till viktiga konton hemliga. Vidare framkom det i undersökningen att det var viktigt

att inte dela lösenord med andra för att ha möjlighet att spåra vem som gjort vad. En respondent

uttryckte att: “För att allt loggas i personens namn. För vi kan inte säga att företaget gjorde

det, utan det måste vara att hen gjorde det.” (R-W). Respondenterna upplevde således att det

var viktigt att kunna spåra händelser till enskilda personer, vilket stämmer överens med ISO-

27002:s rekommendationer (SIS 2017).

I undersökningen framkom att respondenterna upplevde en motsättning mellan

lösenordssäkerhet och användarvänlighet. En anledning till att respondenterna upplevde denna

motsättning var för att det säkra sättet att hantera lösenord ansågs vara krångligt. En respondent

uttryckte det så här: “Man fuskar väl lite, för att det ska gå fort och enkelt.” (R-Q). En annan

respondent sa: “Folk vill bara snabbt kunna jobba och göra sitt, och då är det enkelt att det

nallas på lösenordssäkerheten.” (R-Y). Respondenterna menade på att det stora antalet

inloggningar per dag gjorde att de ibland valde att bortse från säkerheten för att kunna arbeta

på ett effektivt och smidigt sätt.

För att ha möjlighet till samarbete och att hjälpa varandra vid frånvaro eller arbetstoppar

användes en gemensam password manager där lösenord för olika projekt lagrades. Till

password managern fanns ett gemensamt lösenord som alla hade tillgång till, så att de enkelt

kunde få tillgång till inloggningsuppgifter. En respondent beskrev fördelarna med password

managern så här:

“Alltså det finns alltid en fördel med att använda en gemensam pool av

lösenord. [...] Främst i och med att vi i bygger så många olika sajter och

det är så personberoende på något vis. Så om en kollega är borta så måste

vi andra kunna hjälpa till och åtgärda det som behövs. Då är det en bra

idé med gemensam pool [med lösenord].” (R-W)

Respondenterna såg således lösningen med password managern som en nödvändig och

användarvänlig lösning för att kunna samarbeta och arbeta smidigt och för att säkerställa att

17

inga uppgifter försvinner om en kollega skulle sluta eller vara frånvarande. Enligt CIA-triaden

(Whitman & Mattord 2016, s 15) kan informationens konfidentialitet hotas om lösenord delas

eftersom icke auktoriserade användare kan nå informationen, vilket det kanske fanns en risk för

enligt det som framkom i föreliggande undersökning. Därtill kunde även tillgängligheten för

informationen hotas (Greene 2014) då det i undersökningen uppgavs att det fanns en risk att

lösenord skrevs över då endast en person kunde ha tillgång till password managern samtidigt.

En respondent uttryckte det så här: “Jag tycker det är drygt med en fysisk fil på en server som

jag hela tiden måste öppna och som inte flera kan ha tillgång till samtidigt, för då kan man

spara över varandra.” (R-W). Respondenterna upplevde således inte enbart fördelar med en

gemensam password managern, utan upplevde att det även finnas risker och problem med

password managern. I undersökningen framkom dock att respondenterna ändå att använde

password managern för att det var användarvänligt och smidigt.

För att användare ska börja hantera lösenord på ett säkrare sätt är det enligt PMT nödvändigt

att belöningarna av ett förändrat beteende är högre än kostnaderna för ansträngningen att

förändra sitt beteende (Floyd, Prentice-Dunn & Rogers 2000, s 409-411). I undersökningen

uttrycktes att konsekvenserna om något skulle ske kunde vara allvarliga och att det därför var

viktigt att skydda sina lösenord. En respondent uttryckte att:

“Ja i värsta fall kan data läcka ut. Och det kan få väldigt stora

konsekvenser. Skulle tex någon komma åt min laptop här på jobbet så

kommer de åt källkod och en massa data. Säg att jag redan är inloggad på

en av databaserna, då kan de komma åt den och radera allt, förstöra hela

system. Så det kan ju vara förödande om ett lösenord kommer ut.” (R-Y)

Respondenterna var således medvetna om vilka risker och hot som fanns ifall de inte hanterade

sina lösenord säkert. I undersökningen framkom å andra sidan även att respondenterna inte

alltid såg riskerna som tillräckligt allvarliga för att ändra sitt beteende. En respondent uttryckte

det såhär:

“Om det skulle vara något som har hänt i närtid så skulle man nog vara

mer skärpt på att verkligen skapa lösenord som blir svåra att hacka. Men

vi har inte haft några såna incidenter så då känns det inte lika motiverat.”

(R-Z)

Respondenterna upplevde inte risken för intrång eller annat hot som allvarlig, eftersom det inte

hade varit några incidenter tidigare. Undersökningen visade på att respondenterna ansåg att det

var för krångligt att använda säkra lösenord i alla situationer, vilket i förhållande till PMT kan

ses som att svarskostnaderna för att förändra ett riskfyllt beteende var för höga för att det skulle

anses vara värt det (Floyd, Prentice-Dunn & Rogers 2000, s 409-411). Respondenterna

bedömde helt enkelt att situationen hade så låg allvarlighetsgrad att de inte behöver hantera

lösenord på ett säkrare sätt än vad de redan gjorde.

18

6.2 Säkra lösenord kontra minnesförmåga

Undersökningen visade på en motsättning mellan att använda säkra lösenord och att ha förmåga

att minnas lösenorden, då säkra lösenord ansågs vara svåra att minnas. Enligt respondenterna

skulle ett säkert lösenord vara långt, komplext och uppbyggt med hjälp av stora och små

bokstäver, siffror och specialtecken. En respondent beskrev ett säkert lösenord så här:

“Man skapar lösenord som har minst 10 tecken. Det ska inte vara lätt att

klura ut eller brute-forca enkelt. Så jag tänker att det ska ha en viss längd,

och specialtecken, stora och små bokstäver. Och man ska inte skriva upp

lösenorden någonstans, om man inte har dem i en password manager.”

(R-Z)

Respondenterna uppgav även att det var bra att skapa långa lösenord med flera ord eller fraser

som inte hade någon koppling till varandra: “Sen kan man generera såna “pass phrases”, så

att man sätter ihop massa ord istället. Till exempel “Correcthorsebatterystaple”.” (R-X). Det

ovan beskrivna sättet att skapa lösenord kunde enligt respondenterna även kombineras med

specialtecken och/eller siffror och respondenterna ansåg att det skapade säkra lösenord som var

svåra att gissa men ändå lätta att minnas. Den lösenordskompositionen som respondenterna

uppgav stämde överens med rekommendationerna enligt ISO-27002 (SIS 2017), vilket visade

på en medvetenhet hos respondenterna kring hur säkra lösenord skapades. Ett annat sätt att

skapa lösenord var enligt respondenterna att använda ord eller fraser som var roliga eller hade

en personlig koppling, vilket dock inte rekommenderas av ISO-27002 (SIS 2017). Vidare angav

respondenterna att det var viktigt att byta lösenord samt inte dela lösenord med andra, vilket en

respondent uttryckte så här: “Det är främst att se till att byta lösenord, att ha bra lösenord, att

inte lämna ut dem. Det är för mig säker lösenordshantering.” (R-Y). Respondenternas

uppfattning om hur lösenord ska hanteras stämde överens med ISO-27002, om att inte dela

lösenord samt att byta lösenord (SIS 2017).

I undersökningen framkom att respondenterna använde en gemensam password manager för

vissa konton och tjänster, vilket sågs som en bra lösning: “En lösenordshanterare sköter det

[lösenordshantering] åt en. Så man behöver aldrig bry sig om det.” (R-X). Password managern

som användes genererade således säkra lösenord samt lagrade lösenorden så att respondenterna

inte behövde fundera på varken hur de skulle skapa lösenord eller minnas lösenorden. Att

minnas lösenord kan ses vara en förutsättning för att få tillgång till den information som skyddas

samtidigt som åtkomstkontrollen i form av lösenord inte får vara för enkel då det kan leda till

att konfidentialiteten och integriteten hotas (Greene 2014; Whitman & Mattord 2016, s 14-16).

Det framkom i undersökningen att respondenterna ibland upplevde att det var svårt att minnas

komplexa lösenord, varför respondenterna stundtals skapade enklare lösenord. Exempelvis

uttryckte en respondent det så här:

“Däremot så kanske det är jobbigt att komma ihåg längre lösenord som

egentligen är säkrare. Jag har ofta kanske 6-8 tecken, men man kanske

borde ha upp till 15. Men hur ska jag komma ihåg det i huvudet?” (R-Z)

Undersökningen visade således på svårigheter med att minnas lösenord som var långa och att

respondenterna därför valde kortare lösenord, även om de kortare lösenorden inte var lika säkra

att använda. Genom att välja lösenord som var enklare att minnas men som var mindre säkra,

kunde konfidentialiteten av informationen hotas eftersom det då fanns en ökad risk för intrång

(Greene 2014). Vid ett eventuellt intrång skulle integriteten kunna hotas eftersom en icke-

auktoriserad användare kan få tillgång till informationen och eventuellt modifiera den

(Whitman & Mattord 2016, s 16; Greene 2014). Tidigare forskning av Shay m fl (2016),

19

Yıldırım och Mackie (2019) samt Farcasin och Chan-tin (2015) visade att komplexa och mer

säkra lösenord anses vara svårare att minnas, vilket således bekräftas av föreliggande under-

sökning.

I undersökningen framkom att respondenterna använde mellan 10 och 40 lösenordskyddade

system dagligen, vilket gjorde att respondenterna upplevde att de inte hade förmågan att minnas

alla olika lösenord. En ytterligare faktor som respondenterna ansåg försvårade möjligheten att

minnas alla lösenord var att olika system hade olika krav på lösenordskomposition. En

respondent uttryckte den problematiken så här:

“En del system vill inte att man har något snedstreck exempelvis. Så det

kan jag uppleva som krångligt att det är väldigt olika med vilka krav som

finns på vad som är ett säkert lösenord, beroende på system.” (R-Z)

Respondenterna upplevde således att det blev svårare att minnas lösenord när olika system hade

olika krav på hur lösenordskomposition då det innebar att respondenterna inte kunde använda

samma minnestekniker och mönster för lösenord som de brukade. Ett sätt att hantera mängden

lösenord som framkom i undersökningen var att återanvända lösenord till flera tjänster:

“Bara för att det ska bli lite smidigare brukar jag ändå göra så. Jag vet ju

att det inte alltid är det bästa, men att just på vårt email-inlogg och

datorinlogg så brukar vi köra samma.” (R-X)

Undersökningen visade att respondenterna återanvända lösenord till flera tjänster, exempelvis

email och dator, för att det minskade mängden lösenord och då var det lättare för

respondenterna att minnas de lösenord som användes. Genom att lösenord återanvändes fanns

en risk utifrån CIA-triaden att konfidentialiteten av informationstillgångarna hotades (Greene

2014) då risken för att icke-auktoriserade användare kunde få tillgång till informationen ökade,

likt det som hände Dropbox 2012 (Gibbs 2015). Ett annat sätt att minnas lösenord som framkom

i undersökningen var att respondenterna använde ord med en personlig koppling eller som

ansågs vara roliga, vilket gjorde lösenorden enkla att minnas. En respondent beskrev processen

för att skapa lösenord med hjälp av en password manager så här: “... generera fler ord tills det

är några ord som jag tycker är roliga eller känner igen, så kan det bli lättare att komma ihåg

dem.” (R-X). Genom att sätta ihop flera ord blev det lättare att minnas lösenordet. Ett annat sätt

att minnas lösenord som framkom i undersökningen var att spara lösenordet i verksamhetens

password manager, för att på så sätt slippa minnas lösenord i huvudet. Det framkom i

undersökningen även att lösenord ibland sparades i mobiltelefonen, vilket en respondent

uttryckte så här:

“Jag brukar ofta börja och sluta på samma sätt och så har jag ett par

orelaterade ord i mellan. [...] I början brukar jag skriva upp det på

mobilen, för jag kommer aldrig ihåg det” (R-W)

I undersökningen framkom således att lösenord ibland sparades i mobiltelefonen, för att på så

sätt slippa återställa lösenord i de fall då lösenordet glömts bort. Att spara lösenord i telefonen

är enligt ISO-27002 inte ett rekommenderat beteende, då det inte anses vara säkert (SIS 2017).

Undersökningen visade på att respondenterna upplevde att det var problematiskt att börja

använda mer säkra lösenord, i relation till minnesförmågan. Som svar på frågan om det fanns

något som kunde få respondenterna att använda säkrare lösenord uppgav en respondent att:

“... inte om jag måste skriva in det själv varje gång. Det är för lätt att jag

glömmer lösenorden, och så måste man spendera 10 minuter på att

återställa lösenorden. Och då har man ett till lösenord att komma ihåg.”

(R-Q)

20

Respondenten menade att de måste lägga för mycket tid på att återställa lösenord som de inte

kom ihåg och att det inte var tidseffektivt och angav det som en anledning till att lösenord åter-

användes. För att motiveras till att skydda sig mot hotfulla situationer är det enligt PMT viktigt

att individen upplever sig ha förmågan att följa det rekommenderade beteendet (Floyd,

Prentice-Dunn & Rogers 2000). Undersökningen visade att det stundtals fanns en problematik

kring att minnas komplexa lösenord som ansågs vara säkra. Respondenterna upplevde således

att de inte hade förmågan att följa det rekommenderade beteendet, det vill säga de krav som

fanns på lösenord, och kom därför inte att motiveras till att skydda sig.

6.3 Systemstyrd lösenordssäkerhet kontra användarnas ansvar

I undersökningen framkom det motsättningar mellan huruvida lösenordshantering skulle säkras

genom att systemen styr eller om det skulle styras och bestämmas av användarna själva. Det

framkom å ena sidan att lösenordshantering bör styras genom system, vilket en respondent

uttryckte så här: “Jag tror på att försöka bygga bort problemet så mycket som möjligt, men

ändå göra det så enkelt som möjligt.” (R-Y). Det framkom således att det vore bra om systemen

byggdes så att användarnas brister vad gällde lösenordshantering minimerades och att systemen

på så sätt tvingade användarna till en säker lösenordshantering. Genom att bygga bort

användarnas brister kunde säkerheten av informationen utifrån CIA-triaden öka, då mänskliga

brister ofta sågs som en risk (Whitman & Mattord 2016, 14-16; Greene 2014). En lösning på

en bristande lösenordshantering kunde således enligt föreliggande undersökning vara att låta

systemen styra och ha striktare krav på bland annat lösenordskompositionen. Det framkom även

i undersökningen att det skulle vara en bra lösning att låta systemen styra när lösenord skulle

bytas, vilket en respondent uttryckte så här:

“[…] att systemen i sig ska tvinga dig att ha säker lösenordshantering.

För har de [systemen] ingen lösenordspolicy eller tvingar dig att till

exempel byta lösenordet, ja då vet man hur det blir. Då byter du det inte.”

(R-Y)

Respondenterna ansåg således nödvändigt att låta systemen styra när de behövde byta sina

lösenord, utifrån att de annars inte skulle göra det. Shen m fl (2016) kom fram till att användare

ofta är lata framförallt när de skapade lösenord, vilken även föreliggande undersökning visade

då en anledning som angavs till varför system bör styra lösenordshanteringen var just lathet.

Det enda sättet att få användare att hantera lösenord säkrare var enligt respondenterna att inte

ge dem valet att vara lata. En respondent uttryckte att: “Det [Microsofts lösenordskrav] är en

bra policy. Den är jobbig. Men jag tycker det är bra att den tvingar folk, för då vet jag att andra

gör det. (R-W) Det bästa sättet att säkerställa att alla hanterade lösenord på en säker nivå var

enligt respondenterna således att ta bort användarnas val och ansvar. Enligt PMT är det viktigt

att användarna bedömer kostnaderna för ett säkert beteende som tillräckligt låga för att

motiveras till att bete sig säkert (Floyd, Prentice-Dunn & Rogers 2000, s 409-411; Safa m fl,

2015). I undersökningen framkom det att respondenterna ansåg sig vara lata och därför svåra

att påverka, vilket kan tyda på att de inte ansåg att vinsterna var tillräckligt höga för att de skulle

motiveras till att förändra sitt beteende och börja bete sig säkrare.

Enligt en studie av Bélanger m fl (2017) var det viktigt att användare var positivt inställda till

att följa lösenordspolicys och krav för att de faktiskt ska följa dem. Studien av Bélanger m fl

(2017) visade att användare som var positivt inställda att följa policys i högre grad gjorde det

än användare som var negativt inställda. I undersökningen framkom att om systemen hade

striktare krav på lösenord genom exempelvis policys, skulle det betyda att användare tvingas

21

ha säkrare lösenord. Respondenterna ansåg att detta var positivt och nödvändigt för att få dem

att använda säkra lösenord. Exempelvis uttryckte en respondent att: “Ja, försöka bygga in

kraven på hur ett lösenord ska se ut är bra. Det skulle hjälpa mig om jag blir tvingad att göra

bra lösenord.” (R-Z). Respondenterna såg det således som positivt att låta systemen styra

lösenordskompositionen och det skulle enligt respondenterna kunna ha en positiv påverkan på

hur säkra lösenord som faktiskt användes. Enligt tidigare forskning av Furnell m fl (2018) och

Yevseyeva, Morisset och van Moorsel (2016) var ett sätt att få användare att använda säkra

lösenord exempelvis kunna vara genom nudging, det vill säga att låta systemet ge användaren

positiv feedback som gör att denne gör säkra val när denne skapar lösenord.

I motsättning till att lösenordshantering ska styras genom system framkom det i undersökningen

tankar om att systemen inte bör ha för strikta regler kring lösenordshantering, för det skulle

bara innebära att respondenterna skulle strunta i kraven. En respondent uttryckte det så här:

“...det är klart att man kan säga att hårdare krav skulle hjälpa. [...], Men

jag hade ju varit som nu, jag hade fortsatt som jag gör. Så det finns inget

som man kan införa som gör mig bättre och som jag faktiskt skulle följa.

Jag tror inte det.” (R-Q)

Citatet ovan visade på en attityd som inte skulle komma att leda till ett förändrat beteende, utan

pekar på att för hårda säkerhetskrav istället skulle kunna leda till att respondenterna inte följde

kraven utan kringgick dem på olika sätt, vilket även en studie av Farcasin och Chan-tin (2015)

visade. Enligt respondenterna hade olika system dessutom ofta olika krav vilket ytterligare

begränsade möjligheterna att följa kraven vad gäller att skapa och minnas lösenorden.

I undersökningen framkom även tankar om huruvida det vore bra att användarna själva skulle

ta ansvar för att hantera lösenord säkert, med hjälp av utbildning och information, istället för

att lösenordshantering enbart skulle styras av systemen. En respondent uttryckte detta som att:

“Föreläsningar och utbildning inom ämnet är bra, för att ju mer

utbildningar eller liknande information du får, så kommer du ofta på saker

och du börjar tänka mer kring hur du kan göra. För det är svårt att börja

med något du inte ens vet att du borde göra.” (R-W)

Enligt undersökningen behövdes således information och utbildning om lösenordssäkerhet och

lösenordshantering, för att öka användarnas medvetenhet om säker lösenordshantering, vilket

även framkom i en studie av Safa m fl (2015). I förhållande till PMT kunde det ses som att

utbildning och information gjorde att användare fick en ökad förståelse för lösenordshantering

och därmed fick en större självförmåga att följa de rekommenderade beteendena, samt lättare

kunna bedöma om det är värt svarskostnaden för att börja följa det rekommenderade beteendet

(Vance, Siponen & Pahnila 2012, s 191). En annan respondent uttryckte att utbildningen borde

vara obligatorisk så att de själva kunde ta ansvar:

“Det borde nästan vara obligatoriskt kan jag tycka att man måste

genomgå någon form av IT-säkerhet så att man kan veta säkerhetsrisken

med att ha en dålig lösenordshantering.” (R-X)

I undersökningen framkom således att utbildning och vägledning var viktigt för hur användare

skulle hantera lösenord. Enligt Furnell m fl (2018) var vägledning och stöd det som mest

påverkade användare till att göra säkrare val av lösenord och hur lösenord hanterades, vilket

således även föreliggande undersökning visade. I undersökningen framkom det att vägledning

från företagets ledning var viktigt för att känna att det var viktigt att hantera lösenord säkert. En

respondent uttryckte det så här:

“Det skulle väl ändå vara att man mer påminner, från ledningen. Att de

visar att det är viktigt. Annars känns det som att folk tar lite lätt på det...

22

Ja men, då behöver inte jag vara så noga heller. [...] För att jag ska skärpa

mig tror jag det är viktigt att man hör det från ledningen, som då visar

med gott exempel.” (R-Z)

Respondenterna ansåg således att det var viktigt att det fanns vägledning från ledningen för att

lösenordssäkerheten skulle anses vara prioriterat och viktigt.

23

7 Slutsatser och diskussion

Nedan besvaras studiens frågeställningar och de slutsatser som kan dras redovisas. Därefter

diskuteras undersökningens resultat i förhållande till teorier och tidigare forskning, samt ger

förslag på framtida forskning.

Studiens frågeställningar var:

• Hur hanterar anställda på IT-företag sina lösenord på arbetet utifrån hur de skapas,

sparas, återanvänds och delas?

• Vilka faktorer påverkar de anställdas lösenordshantering?

Som svar på den första frågeställningen visade undersökningen på att respondenterna hade en

hög kunskap och medvetenhet om vad en säker lösenordshantering innebär i relation med den

ISO-standard som presenterats, ISO-27002 (SIS 2017). Bland annat visade undersökningen på

att respondenterna hade kunskap om hur lösenord skulle skapas och sparas på ett säkert sätt,

samt att lösenord inte skulle delas. När det gäller hur respondenterna faktiskt hanterade lösenord

så följdes inte alltid ISO-27002:s rekommendationer (SIS 2017). Lösenord skapades på ett

relativt säkert sätt utifrån de val av lösenordskompositioner som redovisats. Undersökningen

visade på ett antal olika sätt att spara lösenord, bland annat med hjälp av en password manager

och genom att minnas lösenorden. Respondenterna delade lösenord med varandra till olika

system i den gemensamma password managern, vilket kan anses gå emot rekommendationerna

i ISO-27002 om att lösenord inte ska delas (SIS, 2017). Den password manager som användes

kan dock anses vara väsentlig för verksamheten varpå delande av lösenord kan vara motiverat

(SIS 2017). Lösenorden återanvändes också i viss utsträckning för att det skulle vara lättare att

minnas lösenorden och därmed effektivisera arbetet. Enligt Sentor (2018) bör lösenord aldrig

återanvändas då det ökar risken för intrång och förlust av informationstillgångar.

Som svar på den andra frågeställningen visade undersökningen på att det fanns flera faktorer

som påverkade hur de anställda hanterade sina lösenord vilket redovisades i form av

motsättningar. En påverkande faktor var att en säker lösenordshantering inte alltid upplevdes

som användarvänlig, och att respondenterna då stundtals valde användarvänlighet framför

lösenordssäkerhet. Därtill framkom det att arbetet behövde vara tidseffektivt och fungera

smidigt, varför enkla lösenord användes och återanvändes. Det ansågs bland annat ta för lång

tid att återställa lösenord som glömts bort, vilket resulterade i att det ansågs smidigare att

använda enkla lösenord eller att återanvända lösenord. Enligt PMT kan detta förklaras som att

användarvänligheten var en högre belöning än vad den upplevda allvarlighetsgraden var, vilket

resulterar i att användarvänligheten gick före säkerheten (Vance, Siponen & Pahnila 2012, s

191). En ytterligare faktor till varför lösenord återanvändes var för att det ansågs svårt att

minnas så många lösenord som behövdes användas.

I undersökningen framkom det även delade meningar om huruvida säker lösenordshantering

skulle vara användarnas ansvar eller om det skulle styras av system och riktlinjer. Tidigare

forskning av Yıldırım och Mackie (2019) visade att strikt lösenordspolicy eller strikta

systemkrav inte var effektivt för att få användarna att använda säkra lösenord, utan att det var

bättre att på olika sätt inspirera användarna till att använda starka lösenord. Denna undersökning

bekräftar detta eftersom det framkom åsikter om att för strikta systemkrav inte skulle hjälpa.

Undersökningen visade på att utbildning och stöd var ett sätt att förbättra hanteringen av

lösenord, vilket bekräftar vad tidigare forskning, bland annat Safa m fl (2015) kommit fram till.

Eftersom undersökningen visade på delade meningar hur säker lösenordshantering ska

24

förbättras, vore det intressant för framtida forskning att studera detta mer. Det vill säga om

lösenordshantering skall styras av system eller av användare.

I förhållande till CIA-triaden (Whitman & Mattord 2016, s 14-16; Greene 2014) var det viktigt

att hantera lösenord säkert, för att informationstillgångarnas integritet, konfidentialitet och

tillgänglighet skulle bibehållas. Undersökningen visade på vissa risker med de anställdas

lösenordshantering när det gäller konfidentialitet då lösenord delades med kollegor, vilket kan

betyda att icke-auktoriserade användare kunde få tillgång till information som de inte var

berättigade till. Vidare var informationen inte alltid tillgänglig, exempelvis då ett lösenord

glömdes bort och behövde återställas. Därtill fanns det även risker mot integriteten av

verksamhetens information då en intern eller extern icke-auktoriserad användare med flit eller

av misstag kunde modifiera informationen. Detta kunde exempelvis ske på grund av att de

anställda delade password manager och således hade tillgång till andra anställdas information.

I förhållande till PMT (Floyd, Prentice-Dunn & Rogers 2000; Vance, Siponen & Pahnila 2012)

framkom det några olika perspektiv på att förändra sitt beteende till att hantera lösenord mer

säkert. En respondent upplevde att det var väldigt viktigt att ha en säker lösenordshantering och

att det därför var värt ansträngningen att till exempel ha unika lösenord till alla tjänster. En

annan respondent uttryckte motsatsvis att det inte fanns något som kunde få denne att sluta

återanvända lösenord och hantera lösenord på ett mer säkert sätt.

Undersökningens resultat ska såklart ses i förhållande till dess begränsningar. En begränsning

är att urvalet gjordes genom ett målinriktat chain-sampling, där en personlig kontakt användes

för att nå urvalsgruppen. Att intervjua en bekant skulle kunna ha lett till partiskhet och begränsat

undersökningens validitet. Enligt Kvale, Brinkmann & Torhell (2014, s 297-299) handlar

validitet i intervjuundersökningar bland annat om tillförlitligheten i respondenternas svar och

berättelser. Genom att redogöra för riskerna samt ge en detaljerad beskrivning av data-

insamling, urval och analysprocess kan undersökningens tillförlitlighet och validitet ändå anses

vara tillfredsställande.

Sammanfattningsvis bekräftar studien det tidigare antagandet om att anställda på IT-företag har

en hög medvetenhet och kunskap om hur lösenord ska hanteras på ett säkert sätt. Studien

bekräftar även antagandet om att det finns brister hos anställda på IT-företag, då

undersökningen visade att respondenterna inte alltid hanterade lösenord så säkert som de ansåg

att de borde. Studien bidrar även med ny kunskap när det gäller lösenordshantering genom att

identifiera faktorer som påverkar de anställdas lösenordshantering. Bland annat visade studien

att anställda medvetet valde användarvänlighet före säkerhet, för att kunna arbeta smidigt och

effektivt. Detta visar på att kunskap och medvetenhet inte verkar vara den avgörande faktorn

för säker lösenordshantering. De faktorer som påverkar huruvida anställda på ett IT-

konsultföretag hanterar sina lösenord säkert är inte nödvändigtvis typiska för just IT-branschen

eftersom flertalet av faktorerna visar på mer generella mänskliga brister och val. Resultatet i

form av dessa faktorer och motsättningar är därför intressanta och skulle kunna tyda på att det

finns liknande motsättningar även i andra kontexter än det som studerades i föreliggande

undersökning. Liknande motsättningar återfanns även i tidigare forskning vilka pekade på olika

faktorer som påverkade hur användare hanterade lösenord. Det skulle därmed vara intressant

för framtida forskning att ytterligare undersöka hur säker lösenordshantering ska uppnås, även

inom IT-branschen.

25

Källförteckning

Aurigemma, S. & Mattson, T. (2018). Exploring the effect of uncertainty avoidance on taking

voluntary protective security actions, Computers & Security, vol. 73, pp. 219-234.

Bang, Y., Lee, D., Bae, Y. & Ahn, J. (2012). Improving information security management: An

analysis of ID–password usage and a new login vulnerability measure. International Journal

of Information Management, vol. 32(5), pp. 409-418.

Bauer, S., Bernroider, E.W.N. & Chudzikowski, K. (2017). Prevention is better than cure!

Designing information security awareness programs to overcome users' non-compliance with

information security policies in banks, Computers & Security, vol. 68, pp. 145-159.

Bélanger, F., Collignon, S., Enget, K. & Negangard, E. (2017). Determinants of early

conformance with information security policies, Information & Management, vol. 54, no. 7, pp.

887-901.

Butterfield A., Ngondi, E. G. & Kerr A. (2016a). Authentication. A Dictionary of Computer

Science, 7th edn. Oxford University Press.

Butterfield A., Ngondi, E. G. & Kerr A. (2016b). Password. A Dictionary of Computer Science,

7th edn. Oxford University Press.

Dalen, M., (2015). Intervju som metod, 2 uppl. Malmö: Gleerup.

Duggen, G. B., Johnson, H. & Grawemeyer, B. (2012). Rational security: Modelling everyday

password use. International Journal of Human-Computer Studies, vol. 70(6), pp. 415-431.

EVRY (2019). Säkerhet och risk. EVRY. Tillgänglig:

https://www.evry.com/sv/arbeta-tillsammans/tjanster/sakerhet-och-risk/ [Hämtad 2020-01-

02]

Farcasin, M. & Chan-tin, E. (2015). Why we hate IT: two surveys on pre-generated and expiring

passwords in an academic setting. Security and Communication Networks, vol. 8, no. 13, pp.

2361-2373.

Florencio, D. & Herley, C. (2007). A large-scale study of web password habits. ACM, WWW

2007, pp. 657.

Floyd, D. L., Prentice-Dunn, S. & Rogers, R.W. (2000). A Meta-Analysis of Research o

Documents

Lösenordshantering bland anställda på IT-företaguu.diva-portal.org/smash/get/diva2:1395102/FULLTEXT01.pdf · Sammanfattning: Över 60% av svenska företag hade år 2019 digitaliserat