Upload
others
View
5
Download
0
Embed Size (px)
Citation preview
Uppsala universitet
Inst. för informatik och media
Lösenordshantering bland anställda på
IT-företag
Fredrik Bongcam & Jamilla Johansson
Kurs: Examensarbete
Nivå: C
Termin: HT-19
Datum: 2020-01-24
Abstract:
In 2019 over 60% of Swedish companies had their business processes digitalized, which mean
that they need to protect the digitalized data and information. A common method for protecting
digital information and data is by using authentication methods. One authentication method is
by using passwords. For a password to be secure users must use the password in a secure
manner. The IT industry is responsible for developing digital services and products and
therefore have knowledge about information security and how to use passwords in a secure
manner. Although employees in the IT industry should have knowledge about how to handle
passwords, it seems that employees don’t always use passwords in a secure manner. The
research questions for this study are: How does employees in IT companies handle their
passwords regarding how they create, remember, reuse and share their passwords? and What
influences the way the employees handle their passwords? A qualitative case study was
conducted, and semi structured interviews was used for data collection. The data was analyzed
in relation to how ISO-27002 defines the secure way to handle passwords, the CIA triangle, the
protection motivation theory and previous research. The results of the case study show that the
respondents had knowledge about secure password usage, but only partly used passwords in a
secure manner. The results show that there was a contradiction between secure password usage
versus usability; secure passwords versus memory capacity; and securing password use by
systems versus passwords being the user’s responsibility. These contradictions resulted in that
the respondents sometimes deliberately chose to use passwords in an insecure manner.
Key words: information security, password, password security, password usage, IT companies,
employees, PMT, CIA
Sammanfattning:
Över 60% av svenska företag hade år 2019 digitaliserat sina affärsprocesser, vilket tyder på att
en stor andel företag har viktiga affärsdata och information digitalt som behöver skyddas. Ett
vanligt sätt att skydda information är att användare måste autentisera sig för att få tillgång till
informationen och det kan göras genom att använda lösenord. För att lösenord ska vara säkra
måste användarna hantera lösenorden på ett säkert sätt. IT-branschen ansvarar för att utveckla
digitala tjänster och produkter och har således kunskap om informationssäkerhet och lösenords-
hantering. Trots detta tycks det finnas brister när det gäller lösenordshantering även hos
anställda på IT-företag. Studiens frågeställningar är: Hur hanterar anställda på IT-företag sina
lösenord på arbetet utifrån hur de skapas, sparas, återanvänds och delas? samt Vilka faktorer
påverkar de anställdas lösenordshantering? En kvalitativ fallstudie med semistrukturerade
intervjuer och en kvalitativ dataanalys genomfördes. Fem intervjuer genomfördes och
analyserades i relation till säker lösenordshantering enligt ISO-27002, teorierna CIA-triaden
och Protection Motivation Theory samt tidigare forskning. Undersökningen visade på en
medvetenhet och kunskap hos respondenterna om vad säker lösenordshantering är och
respondenterna hanterade lösenord på ett sätt som delvis följde rekommendationerna från ISO-
27002. Undersökningen visade att det fanns motsättningar mellan lösenordssäkerhet kontra
användarvänlighet; säkra lösenord kontra minnesförmåga; samt systemstyrd lösenords-
hantering kontra användarens ansvar. Motsättningarna medförde att respondenterna inte alltid
hanterade lösenord på ett säkert sätt, medvetet valde att frångå det säkra sättet att hantera
lösenord.
Nyckelord: informationssäkerhet, lösenord, autentisering, lösenordshantering, IT-företag,
anställda, PMT, CIA
Innehåll
1 Inledning .................................................................................................................................. 1 1.1 Bakgrund och problemformulering .................................................................................. 1
1.2 Syfte och frågeställningar ................................................................................................. 3
1.3 Avgränsningar .................................................................................................................. 3
1.4 Disposition ....................................................................................................................... 3
2 Tidigare forskning ................................................................................................................... 4 3 Rekommendationer för säker lösenordshantering ................................................................... 6
4 Teori ........................................................................................................................................ 7
4.1 CIA-triaden ....................................................................................................................... 7
4.2 Protection Motivation Theory .......................................................................................... 7
5 Metod ...................................................................................................................................... 9
5.1 Forskningsansats .............................................................................................................. 9
5.2 Datainsamlingsmetod ....................................................................................................... 9
5.3 Dataanalys ...................................................................................................................... 10
5.4 Forskningsprocess .......................................................................................................... 12
5.4.1 Urval ........................................................................................................................ 12 5.4.2 Intervjuguide ........................................................................................................... 13 5.4.3 Genomförande av intervjuer .................................................................................... 13
6 Resultat och analys ................................................................................................................ 15
6.1 Lösenordssäkerhet kontra användarvänlighet ................................................................ 15
6.2 Säkra lösenord kontra minnesförmåga ........................................................................... 18
6.3 Systemstyrd lösenordssäkerhet kontra användarnas ansvar ........................................... 20
7 Slutsatser och diskussion ....................................................................................................... 23 Källförteckning ......................................................................................................................... 25 Bilagor ...................................................................................................................................... 29
Bilaga 1, Litteraturgenomgång ............................................................................................. 29
Bilaga 2, Intervjuguide ......................................................................................................... 34
1
1 Inledning
I detta inledande avsnitt beskrivs bakgrunden till studien tillsammans med en problem-
formulering, som mynnar ut i studiens syfte och frågeställning. Därefter följer avgränsningar
samt en genomgång av studiens disposition.
1.1 Bakgrund och problemformulering
Majoriteten av alla organisationer och företag i Sverige använder sig av digitala tjänster och
system i sina verksamheter. Enligt Vismas Digitaliseringsindex har över 60% av svenska
företag och organisationer digitaliserat sina affärsprocesser och siffran ökar (Visma 2019, s 4).
Detta tyder på att en stor andel organisationer och företag i Sverige har viktiga affärsdata och
information digitalt. Enligt CIA-triaden är det viktigt att skydda information och data så att den
ska vara säker utifrån konfidentialitet, integritet och tillgänglighet. Det betyder att information
endast ska kunna nås av auktoriserade användare, vara äkta och inte modifierad samt finnas
tillgänglig för behöriga personer när den behövs (Whitman & Mattord 2016, s 14-16). För att
information ska vara säker behöver den således skyddas. Ett vanligt sätt att skydda information
är genom att användare autentiserar sig (Lin, W. Lin, S. Yen & Chen 2013, s 1)
Autentisering är den process som används för att verifiera en användares identitet mot ett
system, för att säkerhetsställa att denne har behörighet att nå en viss typ av data (Skeppstedt
2019; Butterfield, Ngondi & Kerr 2016a). På företag och organisationer används ofta lösenord
för att autentisera och hantera anställdas åtkomst till olika interna system (Svenska Institutet
för Standarder (SIS) 2017, s 26). Ett lösenord är en kombination av tecken som används för att
autentisera en användare till system eller tjänster. Lösenordet som användaren fyller i måste
stämma överens med det lösenord som är lagrat i systemet, för att identiteten ska verifieras.
(Butterfield, Ngondi & Kerr 2016b) För att lösenord ska vara säkra och skydda tillgången till
det system eller information som lösenorden är tänkta att skydda, krävs det att användarna som
autentiserar sig använder lösenorden på ett säkert sätt (SIS 2017, s 24-25; Sentor 2018). Enligt
ett ledande bolag inom IT-säkerhet innebär säker lösenordshantering att användare ska välja ett
långt lösenord, använda olika sorters tecken, undvika namn och ord och undvika personlig
information. Därtill ska användaren se till att ha unika lösenord för olika tjänster. (Sentor 2018)
Dagligen rapporteras det om attacker och dataintrång mot företag och organisationer över hela
världen och många av dessa sker på grund av bristande lösenordshantering (Verizon 2017).
Exempelvis drabbades Dropbox av ett dataintrång 2012 där flera miljoner av företagets
användaruppgifter läckte ut. Läckan kunde ske på grund av att LinkedIn hade blivit hackat
vilket ledde till att flera användaruppgifter, bland annat lösenord, blivit stulna. En anställd på
Dropbox hade använt samma lösenord för systemen på sitt arbete som på LinkedIn, vilket
resulterade i att angriparen kunde ta sig in i Dropbox interna nätverk. (Gibbs 2016) Attacken
mot Dropbox är bara ett av många exempel där en organisation blivit av med miljoner
användaruppgifter på grund av dataintrång där angriparen kommit över lösenord från ett ställe
och på så sätt kunnat få tillgång till även andra företag och organisationers information och data
(Sentor 2016). Exemplet ovan visar på vilka risker bristande lösenordshantering kan innebära
och vilka följder det kan få.
2
När det gäller informationssystem på arbetsplatser är lösenord och hur användarna hanterar
lösenorden en av de största riskfaktorerna för säkerhetsbrister (Sebescen & Vitak 2017).
Riskfaktorer för bristande lösenordshantering är antal lösenord som används, hur lösenord
sparas, hur starka lösenord som väljs samt att de anställda har svårt att minnas sina lösenord
(Florencio & Herley 2007; Bang, Lee, Bae & Ahn 2012, s 412). Enligt en studie gjord av
Kaspersky (2016, s 18) återanvände så många som 70% av respondenterna sina lösenord och
10% av respondenterna hade samma lösenord till samtliga av sina konton. Av respondenterna
hade 28% delat lösenord till en familjemedlem och 11% hade någon gång delat sitt lösenord
med en eller flera vänner. Enligt studien var det svårt att minnas lösenord och många av
respondenterna använde sig av bristfälliga metoder för att minnas dem. Till exempel hade 11%
av respondenterna skrivit ner sina lösenord på en lapp vid datorn och 22% hade skrivit sitt
lösenord i ett anteckningsblock. (ibid) En anledning till att användare skapade osäkra och
simpla lösenord ansågs vara för att de var lata och därför inte orkade anstränga sig tillräckligt
för att skapa säkra lösenord (Shen, Yu, Xu, Yang & Guan 2016, s 138-139). Därtill tenderade
användare att tro att inget skulle hända dem:
...despite understanding security risks, individuals are still inclined to take
risks because they are unrealistically optimistic and believe that negative
events are less likely to happen to them. (Campbell, Greenauer, Macaluso
& End 2005, se Whitty, Doodson, Creese & Hodges 2015, s 1)
Det är problematiskt att användare inte hanterar lösenord på ett säkert sätt då de flesta lyckade
dataintrång beror på just dålig lösenordshantering (Verizon 2017, s 3). Även efter tillkomsten
av password managers och andra hjälpmedel för hantering av lösenord tycks problemen kvarstå
och både företag och individer riskerar att förlora kontrollen över sina viktiga informations-
tillgångar (ibid).
År 2017 fanns det över 50000 IT-företag i Sverige och siffran ökar. IT-branschen ansvarar för
tillverkning och utveckling av data- och kommunikationsprodukter samt andra digitala tjänster
och produkter. (IT&Telekomföretagen 2018) Företag i IT-branschen ansvarar även för att se
till att dessa digitala produkter och tjänster är säkra (EVRY 2019; Knowit 2019) varför
informationssäkerhet och lösenordshantering ofta anses vara en naturlig del av arbetet (Duggen,
Johnson & Grawemeyer 2012). Även inom IT-branschen verkar det finnas säkerhetsbrister,
främst på grund av den mänskliga faktorn och bristande lösenordshantering. En undersökning
med över 1200 anställda inom IT-branschen i flera olika länder visade att majoriteten av
respondenterna tyckte att det var svårt att hantera sina lösenord på ett säkert sätt, trots att de
ansåg det vara viktigt. Cirka 70% av respondenterna angav att de hade delat lösenord med
kollegor och cirka 50% hade återanvänt sina lösenord för både privata konton och på
arbetsplatsen. Därtill angav cirka 30% av respondenterna att de hade skrivit ner sina lösenord
på papper. (Ponemon Institute 2019, s 31-34) Rapporten från Ponemon Institute (2019) visar
således på att även anställda på IT-företag hade brister vad gäller säker lösenordshantering.
Studiens undran är hur anställda på IT-företag hanterar sina lösenord.
3
1.2 Syfte och frågeställningar
Då anställda i IT-branschen dagligen arbetar med IT-säkerhet kan de antas ha kunskap om vad
säker lösenordshantering innebär och hur lösenord bör hanteras för att vara säkra. Samtidigt
visar rapporter (Ponemon Institute 2019, s 31-34) på att det finns brister i lösenordshantering
även hos anställda på IT-företag, vilket gör det intressant att undersöka hur det faktiskt ligger
till. Genom att göra en fallstudie på ett IT-konsultföretag förväntas studien resultera i en
beskrivning av hur de anställda hanterar sina lösenord och vilka faktorer som kan påverka hur
lösenorden hanteras. Studien kan vara av intresse både för yrkesverksamma inom IT-branschen
såväl som för fortsatt forskning inom informationssäkerhet och lösenordshantering. Studiens
syfte är således att få en ökad förståelse för hur anställda på IT-företag hanterar sina lösenord.
Studiens forskningsfrågor är:
• Hur hanterar anställda på IT-företag sina lösenord på arbetet utifrån hur de skapas,
sparas, återanvänds och delas?
• Vilka faktorer påverkar de anställdas lösenordshantering?
1.3 Avgränsningar
En fallstudie har genomförts där ett IT-konsultföretag studerades, för att kunna gå på djupet
och få en mer detaljerad förståelse för fenomenet på det valda företaget. För att få en ökad
förståelse för hur de anställda på IT-konsultföretaget hanterar sina lösenord har endast aspekter
som de anställdas egna upplevelser och beteenden studerats. Därmed har tekniska aspekter som
exempelvis kryptering av lösenord exkluderats.
Enligt IT&Telekomföretagen (2018) har majoriteten av IT-företag 0-49 anställda, varför ett
företag av den storleken valdes för undersökningen.
För att avgränsa och definiera vad som menas med säker lösenordshantering används för
studien den beskrivning som finns i ISO-27002 (SIS 2017) och som beskrivs nedan i avsnitt 3.
1.4 Disposition
I avsnitt 2 presenteras tidigare forskning om lösenordshantering för att skapa en förståelse för
hur forskningsläget ser ut i ämnet. I avsnitt 3 beskrivs begreppet säker lösenordshantering som
sedan kommer att användas för att analysera det insamlade materialet. I avsnitt 4 presenteras
teorierna CIA-triaden samt Protection Motivation Theory som även de kommer att analyseras
och diskuteras i relation till undersökningen. I avsnitt 5 redovisas undersökningens forsknings-
ansats, metod för datainsamling och dataanalys samt forskningsprocess. I avsnitt 6 presenteras
och analyseras resultatet från undersökningen. Slutligen, i avsnitt 7, besvaras studiens
frågeställningar samt att slutsatser dras.
4
2 Tidigare forskning
I detta avsnitt redovisas det nuvarande forskningsläget vad gäller lösenordshantering. Den
tidigare forskning som används har tagits fram med hjälp av metoden Scoping (Mähler 2020).
För en fullständig redovisning av hur litteraturgenomgången genomfördes, se Bilaga 1,
Litteraturgenomgång.
När det gäller lösenordshantering visade flera studier att användare inte var bra på att följa de
säkerhetskrav som fanns för säker lösenordshantering, utan hanterade lösenorden på mindre
säkra sätt (Farcasin & Chan-tin 2015: Shen m fl 2016). En undersökning av Shen m fl (2016, s
139) på sex miljoner användarlösenord visade att användare tenderade att vara lata och att så
många som 15% därför använde sig av vanligt förekommande lösenord som “123456789” då
det ansågs enkelt att skapa och minnas. Därtill användes främst de specialtecken som var enkla
att nå på tangentbordet, exempelvis ! eller @ (ibid). En annan anledning till att användare inte
hanterade sina lösenord på säkert var på grund av att säkra lösenord ansågs vara svåra att minnas
(Shay, Komanduri, Durity, Huh, Mazurek, Segreti, Ur, Bauer, Christin & Cranor 2016; Farcasin
& Chan-tin 2015). I studien gjord av Farcasin och Chan-tin (2015) fick deltagarna välja mellan
att använda ett för-genererat lösenord, fyra olika val, eller att själva skapa lösenordet. Resultatet
blev att 87% valde att skapa ett eget lösenord och anledningen till detta, var enligt 62% av
deltagarna, att de för-generade lösenorden var för svåra att minnas (Farcasin & Chan-tin 2015,
s 2364).
För att öka medvetenheten kring informationssäkerhet och lösenordshantering visade studier
av Bauer, Bernroider och Chudzikowski (2017) och av Safa, Sookhak, von Solms, Furnell,
Ghani och Herawan (2015) att utbildningsinsatser eller informativa meddelanden kan
användas, och att det ledde till ett säkrare beteende. Ett säkrare beteende kan i sin tur även få
användare att följa informationssäkerhetspolicys (Safa m fl 2015). Enligt Bauer, Bernroider och
Chudzikowski (2017) är det viktigt att användare är positivt inställda till ett säkerhetsbeteende
och att de är villiga att följa lösenordspolicys för att minimera informationssäkerhetsincidenter.
Bélanger, Collignon, Enget och Negangard (2017) menade att det även är viktigt att användare
och anställda från start är positivt inställda till en implementation av lösenordspolicys då det
oftast resulterar i fortsatt säkert beteende även efter implementation. Motsatsvis menade
Sebescen och Vitak (2017) att en kombination av individuella egenskaper hade en större
påverkan på den anställdes risknivå än vad kunskap hade.
Farcasin och Chan-tin (2015) och Yıldırım och Mackie (2019) menade på att det inte alltid var
effektivt för ett säkerhetsbeteende att ha strikta lösenordspolicys eller regler för hur lösenord
skulle utformas. Studierna visade att det var mer effektivt att ge användarna meddelanden och
inspirera dem till att skapa starka lösenord och metoder för att minnas dem, istället för att tvinga
de att följa strikta riktlinjer (ibid). Enligt Furnell, Khern-am-nuai, Esmael, Yang och Li (2018)
och Yevseyeva, Morisset och van Moorsel (2016) är nudging en effektiv metod för att influera
eller styra användare att bete sig säkert. Ett sätt att använda nudging var att ge feedback när
användaren gjort ett säkert val, exempelvis genom användandet av “password meters” eller
“smileys” som rent grafiskt illustrerade om valet av lösenord var säkert (Furnell m fl 2018, s 4-
6). Förutom att ge positiv feedback och influera användare till säkert beteende menade van
Bavel, Rodríguez-Priego, Vila och Briggs (2019) och Aurigemma och Mattson (2018) att det
även kunde vara effektivt att nyttja användarnas önskan att undvika hot och fara. Genom att
använda sig av Protection Motivation Theory visade studierna att användare blev mer benägna
att bete sig säkert om de blev medvetna om vilka risker osäkra lösenord innebar och vilka
5
konsekvenser det kunde medföra. Exempelvis undersökte Aurigemma och Mattson (2018) hur
användare påverkades av olika hot och sårbarhet inför hoten och huruvida det fick dem att
förändra sitt säkerhetsbeteende. Enligt van Bavel m fl (2019), som också använde sig av
Protection Motivation Theory, kunde användare motiveras till att förbättra sitt säkerhets-
beteende genom att få motiverande meddelanden och information om hot. När det gäller
lösenordssäkerhet har Protection Motivation Theory även använts för att se hur användare
kunde motiveras till att använda säkra lösenord och få ett ökat säkerhetstänk. För att användare
skulle förbättra sitt säkerhetsbeteende gällde det dock att kostnaden inte var för hög, det fick
således inte vara för krångligt och svårt att bete sig säkert. (Safa m fl 2015).
6
3 Rekommendationer för säker lösenordshantering
I detta avsnitt redogörs begreppet “säker lösenordshantering” enligt standarden Riktlinjer för
Informationssäkerhetsåtgärder: SS-EN ISO/IEC 27002:2017 (SIS 2017). Framöver benämns
standarden ISO-27002. Denna definition kommer sedan att användas för att jämföras med hur
respondenterna hanterar lösenord. I ISO-27002 delas användningen av lösenord upp i flera
punkter, varav de fyra som används för föreliggande undersökning redogörs nedan.
Skapa säkert lösenord. Ett starkt lösenord bör vara enkelt att komma ihåg, inte bestå av ord från
ordböcker och inte bestå av endast alfabetiska eller numeriska tecken. Lösenord ska inte heller
bestå av personrelaterad information som exempelvis namn, personnummer eller telefon-
nummer. Lösenord bör bytas snarast om det finns tecken på att obehörig fått tillgång till den.
(SIS 2017, s 24-25)
Spara lösenord. Lösenord ska inte sparas med osäkra medel, exempelvis på papper, handhållen
enhet eller på en fil. Om lösenord sparas för automatisk inloggning ska korrekt skydd
säkerställas. (SIS 2017, s 24-25)
Återanvändning av lösenord. Samma lösenord ska inte användas på arbetsplatsen som för
privata syften (SIS 2017, s 24-25).
Inte dela lösenord. Det är viktigt att hålla sin autentiseringsinformation konfidentiell, med
andra ord inte dela sina lösenord till vare sig externa eller interna parter. Vidare bör användning
av delade konton inom en organisation minimeras. Delade konton bör endast användas om det
är väsentligt för verksamheten och det bör då vara väldokumenterat och godkänt. En anledning
till att använda unika konton är för att användare ska kunna kopplas till sitt konto och hållas
ansvariga för sina handlingar. (SIS 2017, s 24-25)
7
4 Teori
Nedan presenteras de teorier som användes för att analysera och diskutera det insamlade
materialet från undersökningen. CIA-triaden är en teori som används för att förstå vad som
krävs för att information och data ska anses vara säker och vilka hot som finns mot säkerheten.
I den tidigare forskning som var en del av studiens litteraturgenomgång identifierades
Protection Motivation Theory som en teori som ofta används för att beskriva förklara faktorer
som påverkar hur användare hanterar lösenord.
4.1 CIA-triaden
CIA-triaden är en teori som används för att förklara grunden till informationssäkerhet och hur
information bör hanteras ut ett säkerhetsperspektiv. De tre grundpelarna inom CIA-triaden är:
konfidentialitet, integritet och tillgänglighet. (Whitman & Mattord 2016, s 11)
Konfidentialitet innebär att data endast ska nås av auktoriserade användare och att
informationen inte ska nås av personer utan auktoriserad tillgång. Målet med konfidentialitet är
således att skydda informationstillgångar mot felanvändning eller icke-auktoriserad tillgång.
(Whitman & Mattord 2016, s 15) Bästa sättet att skydda informationens konfidentialitet av att
implementera skyddsåtgärder som ökar chansen för att ett intrång ska fångas. Genom testning,
träning och åtkomstkontroller såsom lösenord går detta att uppnå. (Greene 2014)
Integritet är skyddandet av information mot icke-auktoriserad förändring, oavsett om
förändringen skett medvetet eller omedvetet. Integriteten av informationen ska således innebära
att den är korrekt. (Whitman & Mattord 2016, s 16) Det finns ofta ett samband mellan integritet
och konfidentialitet. Sambandet kan exemplifieras med att konfidentialiteten hotas om en
person delar sitt lösenord till en icke-auktoriserad person, vilket i sin tur hotar integriteten av
informationen om den icke-auktoriserade personen sedan modifierar eller förstör
informationen. (Greene 2014)
Den sista delen av CIA triaden, tillgänglighet, innebär att information alltid skall finnas
tillgänglig för auktoriserade personer (Whitman & Mattord 2016, s 14). Hot mot
tillgängligheten av information kan dels vara medvetna attacker i form av denial of service
attacker men även mänskliga fel och naturkatastrofer (Greene 2014).
4.2 Protection Motivation Theory
Protection Motivation Theory, framöver kallat PMT, har funnits sedan 1975 (Maddux & Rogers
1983) och förklarar hur individer motiveras till att skydda sig själva om de utsätts för hot eller
farliga situationer samt hur attityder och beteenden kan förändras när individer utsätts för hot
(Floyd, Prentice-Dunn & Rogers 2000). Från början användes teorin främst för forskning inom
hälso- och sjukvård för att beskriva hur individer hanterar rädsla, men används numera även i
forskning inom samhällsvetenskapliga områden såsom informationssystem och IT. PMT kan
exempelvis användas för att förklara hur individer kan motiveras till att följa riktlinjer för
informationssäkerhet. (Vance, Siponen & Pahnila 2012; van Bavel m fl 2019)
8
Enligt PMT motiveras individer till att förändra sin attityd och sitt beteende utifrån två
processer (Floyd, Prentice-Dunn & Rogers 2000, s 409-411), som illustreras i modellen nedan.
Figur 1: Modell över Protection Motivation Theory. Inspiration hämtad från Wikipedia commons (2014).
Modellens övre del handlar om att värdera och bedöma hot genom att värdera hotets
allvarlighetsgrad samt hur sårbar individen är för att hotet ska uppstå. Därefter bedöms de
belöningar, det vill säga positiva aspekter och vinster, av att fortsätta bete sig riskfyllt och
därmed inte ändra sitt beteende för att skydda sig mot hotet. Dessa delar används tillsammans
för att bedöma om individen motiverats att förändra attityden eller beteendet kring situationen.
Om vinsterna av det riskfyllda beteendet bedöms vara högre än allvarligheten i hotet, kommer
attityden och beteendet inte att förändras. (Floyd, Prentice-Dunn & Rogers 2000, s 409-411;
Vance, Siponen & Pahnila 2012, s 191)
Den undre delen av modellen handlar om att värdera och bedöma hur hotet ska hanteras. Däri
ingår hur effektivt individen bedömer att det rekommenderade beteendet är för att eliminera
hotet, svarseffektivitet, samt hur individen bedömer sina egna förmågor att följa det
rekommenderade beteendet. Därefter bedöms svarskostnaderna för att börja följa det
rekommenderade beteendet. En bedömning görs således av hur effektivt det rekommenderade
beteende är och hur väl individen tror att denne kan genomföra förändringen till detta beteende
för att hantera den hotfulla eller farliga situationen. Om de positiva effekterna av ändrad attityd
eller beteende anses vara högre än kostnaderna för förändringen, kommer individen att förändra
sina attityder och beteenden kring det aktuella hotet. Modellen används i sin helhet för att
värdera och bedöma hotet samt bedöma hur väl individen kan hantera hotet, vilket därmed
påverkar hur motiverad individen är att skydda sig från hotet. (Floyd, Prentice-Dunn & Rogers
2000, s 409-411; Vance, Siponen & Pahnila 2012, s 191)
9
5 Metod
Nedan beskrivs undersökningens forskningsansats och metod, samt processen för hur under-
sökningens data samlades in och analyserades. Den litteraturgenomgång som genomfördes för
att ta fram studiens tidigare forskning finns beskriven i Bilaga 1, Litteraturgenomgång.
5.1 Forskningsansats
Det övergripande tillvägagångssättet för undersökningen var en kvalitativ fallstudie på ett
svenskt IT-konsultföretag. En kvalitativ fallstudie lämpade sig väl för undersökningen då målet
var en djupgående beskrivande förståelse för hur ett fenomen fungerar i en specifik kontext
samt vilka faktorer som påverkade fenomenet (Yin 2009), det vill säga hur anställda på IT-
företag hanterade sina lösenord. Undersökningen hade ett induktivt förhållningssätt då målet
var att använda det insamlade intervjumaterialet och utgå från respondenternas upplevelser för
att tolka och förstå det undersökta fenomenet, lösenordshantering. I förhållande till ett deduktivt
förhållningssätt som utgår från teorier och hypoteser och testar insamlat material mot dessa,
användes i föreliggande undersökning det insamlade materialet som grund för analys
tillsammans med tidigare forskning och teorier. (Patton 2002, s 56) För undersökningens
datainsamling användes semistrukturerade intervjuer. Semistrukturerade intervjuer lämpade sig
väl då målet var att få en djupgående detaljerad förståelse för hur individer upplevde och tänkte
kring ett fenomen, i detta fall lösenordshantering (Lantz 2013, s 43).
Undersökningen bedrevs utifrån den interpretivistiska forskningsparadigmen, som används för
att identifiera, utforska och förklara faktorer i en social miljö (Klein & Myers 1999, s 72).
Undersökningen var lämplig att bedriva utifrån den interpretivistiska forskningsparadigmen då
syftet var att få en förståelse för hur anställda på IT-företag hanterade lösenord, det vill säga
hur de upplevde och uppfattade verkligheten. Undersökningen resulterade i en diskussion kring
hur de anställda hanterade sina lösenord och vad som påverkade hanteringen. Till skillnad mot
forskning som bedrivs ur den positivistiska paradigmen var målet med studien inte att få fram
ett enda objektivt resultat som kunde generaliseras, utan snarare diskutera de olika
förklaringarna som framkom i intervjuerna och litteraturgenomgången. (Oates 2012, 292-306)
Undersökningen hade som målsättning att bidra med beskrivande samt förklarande kunskap
kring respondenternas lösenordshantering och vilka faktorer som påverkade hanteringen av
lösenord. (Goldkuhl 2011, s 11-14)
5.2 Datainsamlingsmetod
För datainsamlingen genomfördes semistrukturerade intervjuer som lämpade sig väl då målet
var att få detaljerad information om respondenternas upplevelser av lösenordshantering.
Semistrukturerade intervjuer användes då undersökningen hade teman och frågor som
besvarades, samtidigt som respondenterna hade möjlighet att prata fritt kring ämnet. Det var
viktigt att respondenterna tilläts prata fritt kring ämnet för att få detaljerade och djupgående
svar samt för att få möjlighet att ställa följdfrågor på sådant som var intressant. (Dalen 2015, s
34; Lantz 2013, s 43) Till skillnad mot strukturerade intervjuer var det också möjligt att ändra
ordningen på intervjufrågorna och anpassa samtalet till respondenten och samtalets rytm (Lantz
2013, s 69).
10
Fem intervjuer genomfördes, uppdelade på två dagar. Intervjuerna genomfördes på
respondenternas arbetsplats. Genom att genomföra intervjuerna i en miljö som respondenterna
var vana vid var förhoppningen att respondenterna på så sätt skulle känna sig avslappnade och
kunna prata mer fritt. (Lantz 2013, s 97) En risk med att genomföra intervjuerna på
respondenternas arbetsplats kunde ha varit att de inte kände sig bekväma med att prata fritt om
eventuella brister i deras arbete då kollegor eller chefer kunde höra dem. Genom att använda
ett enskilt konferensrum med möjlighet att skärma av insynen från övriga delar av kontoret
minimerades risken för att respondenterna skulle känna sig obekväma. Utöver det lovades
anonymitet och tystnadsplikt gentemot arbetsgivare och andra, för att respondenterna skulle
känna sig trygga att prata fritt.
För att kunna fokusera på samtalet som fördes och på det som respondenten berättade spelades
intervjuerna in. Inspelade intervjuer förenklade även transkriberingen av intervjuerna och höjde
kvaliteten på materialet då inget blev misstolkat eller gick förlorat. (Lantz 2013, s 97)
5.3 Dataanalys
Dataanalysen genomfördes induktivt, genom att utgå ifrån intervjumaterialet och utveckla
koder och teman som sedan analyserades i relation till tidigare forskning och teorier för att ta
fram undersökningens resultat (Hjerm, Lindgren & Nilsson 2014, s 67). Analysen av det
insamlade intervjumaterialet började direkt efter första intervjutillfälle, genom att intervjun
transkriberades till text. Genom att direkt lyssna igenom materialet erhölls en första uppfattning
av teman och begrepp som förekommit under intervjuerna. En sådan initial analys var viktig då
det ledde till följdfrågor som behövde ställas till nästkommande intervju samt gav tillfälle att
justera intervjufrågor som upplevdes otydliga. (Hjerm m fl, 2014)
Som verktyg för att analysera det insamlade intervjumaterialet användes programmet
MAXQDA samt Excel. MAXQDA är en programvara för kvalitativa analyser och användes
för att analysera det insamlade materialet (MAXQDA 2019).
Reduktion av data (kodning). Dataanalysen påbörjades med att datamaterialet ordnades och
sorterades genom kodning med hjälp av MAXQDA. Proceduren genomfördes genom öppen
axial kodning, där varje transkriberad intervju lästes igenom på bredden för identifiera stycken
och längre passager som kunde kopplas till bredare kategorier (Dalen 2015, s 79-83). I den
inledande kodningen användes de kategorier som fanns utifrån undersökningens första fråge-
ställning, det vill säga hur de anställda skapade, mindes, återanvände och delade lösenord. De
stycken och passager som var intressanta granskades sedan noggrannare och kodades på djupet
för att få mer detaljerade koder och kategorier (Hjerm m fl 2014, s 56-61).
11
Först kategoriserades materialet således utifrån hur respondenterna beskrev den nuvarande
lösenordshanteringen, med underteman för att beskriva respektive del.
Tema Undertema
Skapa a. Hur gör respondenterna? b. Vilka svårigheter upplevs? c. Vilken kunskap har respondenterna? d. Hur tycker respondenterna att säker
lösenordshantering bör göras?
Minnas
Återanvända
Dela
Tabell 1: första kategoriseringen
Presentation av data (tematisering). Efter den första öppna kodningen gjordes fortsatta analyser
genom axial kodning för att se hur de olika kategorierna förhöll sig och relaterade till varandra
(Dalen 2015, s 79-83). Koderna grupperades och sorterades i teman som identifierades i
analysen. De teman som identifierades bestod av motsättningar av faktorer som kunde påverka
respondenternas lösenordshantering. Resultatet av denna tematisering redovisas nedan i tabell
2. Genom att göra denna tematisering erhölls en djupare förståelse för materialet samt att
mönster i respondenternas svar kunde identifieras och användas för att ta fram undersökningens
resultat. (Hjerm m fl 2014, s 63-72)
Teman
Lösenordssäkerhet ← → Användarvänlighet
Säkra lösenord ← → Minnesförmåga
Systemstyrd lösenordsäkerhet ← → Användarnas ansvar
Tabell 2: slutlig tematisering
Slutsats och verifiering (summering). Sista delen av analysen gick ut på att summera och dra
slutsatser från materialet. Här analyserades och diskuterades även materialet i förhållande till
de teorier och tidigare forskning som användes till studien. I denna del av dataanalysen
undersöktes även materialet ytterligare en gång för att säkerhetsställa att de slutsatser som tagits
fram stämde samt för att se om nya intressanta fynd kunde hittas i materialet. (Hjerm m fl 2014,
s 73-86)
Hela dataanalysen skedde iterativt och de olika delarna av analysen gjordes flera gånger, både
enskilt och tillsammans. Genom detta iterativa arbete kunde en mättnad nås, när inga nya
mönster eller teman kunde identifieras i materialet. (Hjerm m fl 2014, s 34-35) Efter att intervju-
materialet och litteraturgenomgången färdigställdes, analyserades de tillsammans för att
besvara studiens forskningsfrågor.
12
5.4 Forskningsprocess
Nedan beskrivs tillvägagångssättet för forskningsprocessen. Först redovisas processen för
urvalet av deltagare till undersökningen. Därefter beskrivs den intervjuguide som ligger till
grund för undersökningen och sist beskrivs proceduren för intervjuerna.
5.4.1 Urval
För urvalet till undersökningen användes ett målinriktat typical case sampling. Typical case
sampling används för att hitta en urvalsgrupp som är typisk för populationen, det vill säga ett
fall som är genomsnittligt i populationen. (Patton 2002, s 236) För denna undersökning gjordes
urvalet att studera anställda på ett svenskt IT-konsultföretag. För att hitta ett typiskt fall ur
population valdes ett företag ut utifrån att det hade 0-49 anställda, då majoriteten av IT-företag
är av den storleken (IT&Telekomföretagen 2018). Företaget arbetade med tillverkning och
utveckling av digitala tjänster och produkter, vilket är vanligt för ett IT-företag (ibid). Vidare
var det valda företaget ett IT-konsultföretag, av den anledning att det enligt SACO är vanligt
inom IT-branschen att arbeta som IT-konsult (SACO 2020). Genom att välja ett typiskt fall ur
populationen kan det vara möjligt att få en uppfattning om hur det skulle kunna vara på andra
IT-företag (Patton 2002, s 236).
För att hitta deltagare som passade in på ovanstående målgrupp användes metoden chain
sampling (Patton 2002, s 236), se figur 2. En av skribenterna hade en bekant som arbetade på
ett IT-konsultföretag varpå denne kontaktades för att få tillgång till vidare kontakter på
personens arbetsplats. Kontakten med den bekanta resulterade i mailkontakt med en
konsultchef på ett svenskt IT-konsultföretag. Den initiala kontaktpersonen nyttjades endast för
att skapa en kontakt med ansvarig chef och därefter hölls all vidare kontakt med konsultchefen.
Inledningsvis introducerades undersökningens syfte och frågeställningar tillsammans med en
förfrågan om deltagande i studien. Konsultchefen skickade därefter ut en intern förfrågan till
de anställda om de ville medverka i en intervju. Fem personer valde att tacka ja till deltagande.
Antalet respondenter diskuterades utifrån om det skulle räcka för att få ett tillräckligt detaljrikt
underlag. När intervjuerna hade genomförts ansågs djupet av materialet tillräckligt i förhållande
till storleken av studien varpå ytterligare respondenter inte ansågs nödvändigt.
Figur 2: Modell över urval
Urvalet av deltagare var inte slumpmässigt då en förfrågan skickades till alla anställda på
företaget, där de som ville fick välja att ställa upp. Genom att deltagandet baserades på
frivillighet kan detta ha inneburit att deltagarna var mer insatta i lösenordshantering än andra
som inte valde att delta. Därtill kan deltagarna varit mer positivt inställda till säkerhet och/eller
hade positioner där de arbetade med säkerhet och lösenordshantering. Vidare visade det
intervjuschema som tilldelats att dels den initiala bekanta kontakten samt en ytterligare ytligt
bekant person valt att ställa upp på intervju. Det finns både för- och nackdelar med att bekanta
personer deltar i kvalitativa studier. En nackdel är att en bekantskap med en respondent kan
innebära en viss partiskhet, på engelska bias (Patton 2002, s.48). Om en respondent är partisk
13
kan det innebära att respondenten svarar som denne tror att forskarna vill. En fördel kan dock
vara att respondenten känner sig bekväm med forskaren och på så sätt har enklare att dela med
sig av sina upplevelser kring forskningsämnet. Vidare menade Patton (2002, s.48) att en distans
till en respondent inte nödvändigtvis innebär objektivitet och närhet innebär således inte
automatiskt en partiskhet.
5.4.2 Intervjuguide
En intervjuguide upprättades för att formulera intervjufrågor och utifrån de forskningsfrågor
som undersökningen hade skapades först teman till intervjun. För varje tema skapades sedan
intervjufrågor och följdfrågor, för att på ett strukturerat sätt säkerställa att de centrala delarna
för undersökningen inkluderades. (Kvale, Brinkmann & Torhell 2014, s 165-166) I början av
intervjuguiden lades en introducerande del in, med en presentation av studien samt inledande
neutrala frågor om respondentens bakgrund och roll på företaget. Respondenterna informerades
även om de etiska förutsättningarna för intervjuerna, bland annat anonymitet, tystnadsplikt
gentemot arbetsgivare och andra, om frivillighet och samtycke till att spela in intervjun. (Lantz
2013, s 70-82) Därefter lades huvuddelen in, med de centrala intervjufrågorna. Efter huvud-
delen av intervjun lades en avslutande del till, för att knyta ihop säcken och på ett naturligt sätt
avsluta intervjun. Intervjuguiden i sin helhet finns bifogad i Bilaga 2, Intervjuguide.
Intervjuguiden testades sedan genom prov-intervjuer. Forskarna intervjuade både varandra och
andra studenter i närheten för att se att de utformade frågorna var enkla att förstå, inte gav
upphov till missförstånd, samt besvarade de centrala frågeställningarna (Dalen 2015, s 40).
5.4.3 Genomförande av intervjuer
Intervjuerna fördelades på två dagar, med två intervjuer den första dagen och tre intervjuer den
andra dagen. Att dela upp intervjuerna gav tid för reflektion och en möjlighet att justera
intervjufrågorna så att de flöt på bättre och gav mer utförliga svar. En fråga som ändrades
mellan dagarna var frågan “Händer det att du delar dina lösenord med andra?”. Frågan gav
väldigt korta svar och bedömningen gjordes att frågan kanske var känslig och att
respondenterna inte kände sig bekväma med att svara på den. Frågan formulerades om till det
mer neutrala “Hur ser du på att dela lösenord med andra?” vilket resulterade i mer utförliga
svar. Intervjuerna hölls på respondenternas arbetsplats, i ett av företagets konferensrum. En av
intervjuerna hölls via telefonkonferens, då respondenten befann sig på annan ort. Samtliga
intervjuer spelades in med ljudinspelningsprogram på skribenternas telefoner.
Varje intervju började med en introduktion och kort presentation av oss forskare, syftet med
undersökning och vad vi menade med begreppet lösenordshantering. Respondenten
informerades även om de etiska forskningsprinciperna: att deltagandet var frivilligt; hur
informationen skulle användas; vilka som skulle få tillgång till den; att alla svar skulle
anonymiseras; och att intervjun skulle komma att spelas in (Kvale, Brinkmann & Torhell, 2014,
s 105-114). Därtill redovisades begreppet “lösenordshantering” utifrån undersökningens
definition. Respondenten gavs även tillfälle att ställa frågor innan själva intervjun började.
Intervjun inleddes därefter med inledande frågor kring respondentens roll på företaget samt
andra grundläggande frågor. Enligt Kvale m fl (2014, s 170) är inledningen av intervjun
avgörande för att respondenterna ska känna sig bekväma. När den inledande delen av intervjun
var avklarad påbörjades intervjuns kärnfrågor, utifrån den utformade intervjuguiden. Under
14
intervjun ställdes öppna och korta frågor, för att respondenten skulle ha möjlighet att prata fritt.
Följdfrågor ställdes för att förtydliga, fördjupa eller bekräfta svaren. Efter att de huvudsakliga
frågorna var avhandlade fanns en avslutande del där respondenten dels fick ställa frågor och
eventuellt förtydliga sina svar. (Kvale m fl 2014, s 170-172; Lantz 2013, s 70-82)
15
6 Resultat och analys
Intervjumaterialet sammanställdes och analyserades tillsammans med de tidigare beskrivna
teorierna CIA-triaden och PMT, standarden ISO-27002 samt tidigare forskning. Resultatet av
undersökningen presenteras i avsnittet nedan i form av teman av motsättningar som
identifierades i undersökningen:
• lösenordssäkerhet kontra användarvänlighet
• säkra lösenord kontra minneskapacitet
• systemstyrd lösenordssäkerhet kontra användarens ansvar
Utifrån de etiska förutsättningarna om anonymitet som redovisas i Bilaga 2: Intervjuguide
kommer respondenterna refereras till som: R-X, R-Z, R-Q, R-W och R-Y. “R” står för
respondent och den följande bokstaven är koden för respondenten.
Det undersökta fallet var ett IT-konsultföretag i Mellansverige, med 15-25 anställda. Företaget
arbetade med utveckling och drift av verksamhetssystem och IT-lösningar för kunder. De fem
respondenterna som intervjuats arbetade som IT-konsulter på företaget med roller som
systemutvecklare och projektledare. Respondenterna hade arbetat på företaget mellan 1,5-11
år.
6.1 Lösenordssäkerhet kontra användarvänlighet
Undersökningen visade på en motsättning mellan lösenordssäkerhet och användarvänlighet, då
respondenterna upplevde att de ofta behövde välja mellan dem. Lösenordssäkerhet ansågs vara
viktigt i respondenternas arbete, då de arbetade med att utveckla system och funktioner som
skulle vara säkra. En respondent uttryckte detta så här: “Det är ändå en viktig business vi håller
på med, med mycket säkerhet. Det är ju högsta prio, i allra högsta fall.” (R-X). Respondenterna
ansåg således att säkerhet och att skydda information var viktigt, vilket är i enlighet med CIA-
triadens syn på informationssäkerhet (Whitman & Mattord 2016, s 11-16). I undersökningen
framkom att respondenterna trodde de var bättre än anställda i andra branscher då de hade
kunskap om IT-säkerhet och var medvetna om vilka risker som fanns. Å andra sidan framkom
det i undersökningen att respondenterna trots denna kunskap inte alltid agerade så säkert. Ett
exempel var: “... jag tror medvetenheten är större, men sen behöver det kanske inte vara så att
man är absolut bäst på att följa det.” (R-Z). Respondenten menade att de nog visste bättre, men
inte alltid gjorde som de borde. Ett annat exempel var:
“Jag tror att inom IT-branschen så vet man hur det ska göras på ett bra
sätt. Men, sen hur det används i praktiken… [...] Jag tror det är en skillnad
i att man vet hur det ska göras men att man faktiskt kanske inte gör det.”
(R-Y)
Respondenten menade således att det inom IT-branschen fanns kunskap om hur lösenord bör
hanteras, men att lösenord inte alltid hanteras på bästa sätt. Enligt Sebescen och Vitak (2017)
fanns det ingen stark korrelation mellan hög kunskapsnivå kring informationssäkerhet och
risknivå för att drabbas för exempelvis dataintrång. Även personer med hög kunskap och
medvetenhet kring säkerhet riskerade således att drabbas av intrång. Sebescen och Vitak (2017)
menade således på att det kanske är något annat än kunskap som påverkar säkerheten, vilket
även föreliggande undersökning visade på.
16
Undersökningen visade på att respondenterna hade en medvetenhet om riskerna med att
återanvända lösenord och att återanvändning bör undvikas. Det framkom dock i under-
sökningen att lösenord stundtals återanvändes. En respondent beskrev det så här:
“Jag tycker att det är en dum idé, men jag gör det för att det är mycket
enklare. Men jag vill ju egentligen inte göra det, för jag vet hur dumt det
är. Kommer du åt ett [lösenord] så kommer du åt allt. Men jag är inte redo
att anstränga mig mer för att inte göra det.” (R-Q)
I undersökningen framkom således att respondenter medvetet frångick det säkra sättet om att
inte återanvända lösenord (SIS 2017). När lösenord återanvändes gjorde respondenterna det för
att det ansågs enklare och mer användarvänligt, samt för att arbetet skulle bli mer effektivt.
Utifrån PMT kan det således tolkas som att allvarlighetsgraden i förhållande till sårbarheten av
att återanvända lösenord inte var tillräckligt höga för respondenterna skulle sluta återanvända
lösenord (Vance, Siponen & Pahnila 2012, s 191).
För att hålla information säker framkom det i undersökningen att respondenterna ansåg att det
vara viktigt att inte dela lösenord till personliga konton på arbetet såsom företagsprofil och
email. En respondent beskrev det så här:
“Där får man väl bara inse att man aldrig ska göra det [dela lösenord].
Och man ska ifrågasätta, varför ska du ha mitt lösenord? Vad ska du med
det? Varför ska du logga in?” (R-Y)
Respondenterna ansåg med andra ord att det var viktigt ur säkerhetssynpunkt att hålla sina
lösenord till viktiga konton hemliga. Vidare framkom det i undersökningen att det var viktigt
att inte dela lösenord med andra för att ha möjlighet att spåra vem som gjort vad. En respondent
uttryckte att: “För att allt loggas i personens namn. För vi kan inte säga att företaget gjorde
det, utan det måste vara att hen gjorde det.” (R-W). Respondenterna upplevde således att det
var viktigt att kunna spåra händelser till enskilda personer, vilket stämmer överens med ISO-
27002:s rekommendationer (SIS 2017).
I undersökningen framkom att respondenterna upplevde en motsättning mellan
lösenordssäkerhet och användarvänlighet. En anledning till att respondenterna upplevde denna
motsättning var för att det säkra sättet att hantera lösenord ansågs vara krångligt. En respondent
uttryckte det så här: “Man fuskar väl lite, för att det ska gå fort och enkelt.” (R-Q). En annan
respondent sa: “Folk vill bara snabbt kunna jobba och göra sitt, och då är det enkelt att det
nallas på lösenordssäkerheten.” (R-Y). Respondenterna menade på att det stora antalet
inloggningar per dag gjorde att de ibland valde att bortse från säkerheten för att kunna arbeta
på ett effektivt och smidigt sätt.
För att ha möjlighet till samarbete och att hjälpa varandra vid frånvaro eller arbetstoppar
användes en gemensam password manager där lösenord för olika projekt lagrades. Till
password managern fanns ett gemensamt lösenord som alla hade tillgång till, så att de enkelt
kunde få tillgång till inloggningsuppgifter. En respondent beskrev fördelarna med password
managern så här:
“Alltså det finns alltid en fördel med att använda en gemensam pool av
lösenord. [...] Främst i och med att vi i bygger så många olika sajter och
det är så personberoende på något vis. Så om en kollega är borta så måste
vi andra kunna hjälpa till och åtgärda det som behövs. Då är det en bra
idé med gemensam pool [med lösenord].” (R-W)
Respondenterna såg således lösningen med password managern som en nödvändig och
användarvänlig lösning för att kunna samarbeta och arbeta smidigt och för att säkerställa att
17
inga uppgifter försvinner om en kollega skulle sluta eller vara frånvarande. Enligt CIA-triaden
(Whitman & Mattord 2016, s 15) kan informationens konfidentialitet hotas om lösenord delas
eftersom icke auktoriserade användare kan nå informationen, vilket det kanske fanns en risk för
enligt det som framkom i föreliggande undersökning. Därtill kunde även tillgängligheten för
informationen hotas (Greene 2014) då det i undersökningen uppgavs att det fanns en risk att
lösenord skrevs över då endast en person kunde ha tillgång till password managern samtidigt.
En respondent uttryckte det så här: “Jag tycker det är drygt med en fysisk fil på en server som
jag hela tiden måste öppna och som inte flera kan ha tillgång till samtidigt, för då kan man
spara över varandra.” (R-W). Respondenterna upplevde således inte enbart fördelar med en
gemensam password managern, utan upplevde att det även finnas risker och problem med
password managern. I undersökningen framkom dock att respondenterna ändå att använde
password managern för att det var användarvänligt och smidigt.
För att användare ska börja hantera lösenord på ett säkrare sätt är det enligt PMT nödvändigt
att belöningarna av ett förändrat beteende är högre än kostnaderna för ansträngningen att
förändra sitt beteende (Floyd, Prentice-Dunn & Rogers 2000, s 409-411). I undersökningen
uttrycktes att konsekvenserna om något skulle ske kunde vara allvarliga och att det därför var
viktigt att skydda sina lösenord. En respondent uttryckte att:
“Ja i värsta fall kan data läcka ut. Och det kan få väldigt stora
konsekvenser. Skulle tex någon komma åt min laptop här på jobbet så
kommer de åt källkod och en massa data. Säg att jag redan är inloggad på
en av databaserna, då kan de komma åt den och radera allt, förstöra hela
system. Så det kan ju vara förödande om ett lösenord kommer ut.” (R-Y)
Respondenterna var således medvetna om vilka risker och hot som fanns ifall de inte hanterade
sina lösenord säkert. I undersökningen framkom å andra sidan även att respondenterna inte
alltid såg riskerna som tillräckligt allvarliga för att ändra sitt beteende. En respondent uttryckte
det såhär:
“Om det skulle vara något som har hänt i närtid så skulle man nog vara
mer skärpt på att verkligen skapa lösenord som blir svåra att hacka. Men
vi har inte haft några såna incidenter så då känns det inte lika motiverat.”
(R-Z)
Respondenterna upplevde inte risken för intrång eller annat hot som allvarlig, eftersom det inte
hade varit några incidenter tidigare. Undersökningen visade på att respondenterna ansåg att det
var för krångligt att använda säkra lösenord i alla situationer, vilket i förhållande till PMT kan
ses som att svarskostnaderna för att förändra ett riskfyllt beteende var för höga för att det skulle
anses vara värt det (Floyd, Prentice-Dunn & Rogers 2000, s 409-411). Respondenterna
bedömde helt enkelt att situationen hade så låg allvarlighetsgrad att de inte behöver hantera
lösenord på ett säkrare sätt än vad de redan gjorde.
18
6.2 Säkra lösenord kontra minnesförmåga
Undersökningen visade på en motsättning mellan att använda säkra lösenord och att ha förmåga
att minnas lösenorden, då säkra lösenord ansågs vara svåra att minnas. Enligt respondenterna
skulle ett säkert lösenord vara långt, komplext och uppbyggt med hjälp av stora och små
bokstäver, siffror och specialtecken. En respondent beskrev ett säkert lösenord så här:
“Man skapar lösenord som har minst 10 tecken. Det ska inte vara lätt att
klura ut eller brute-forca enkelt. Så jag tänker att det ska ha en viss längd,
och specialtecken, stora och små bokstäver. Och man ska inte skriva upp
lösenorden någonstans, om man inte har dem i en password manager.”
(R-Z)
Respondenterna uppgav även att det var bra att skapa långa lösenord med flera ord eller fraser
som inte hade någon koppling till varandra: “Sen kan man generera såna “pass phrases”, så
att man sätter ihop massa ord istället. Till exempel “Correcthorsebatterystaple”.” (R-X). Det
ovan beskrivna sättet att skapa lösenord kunde enligt respondenterna även kombineras med
specialtecken och/eller siffror och respondenterna ansåg att det skapade säkra lösenord som var
svåra att gissa men ändå lätta att minnas. Den lösenordskompositionen som respondenterna
uppgav stämde överens med rekommendationerna enligt ISO-27002 (SIS 2017), vilket visade
på en medvetenhet hos respondenterna kring hur säkra lösenord skapades. Ett annat sätt att
skapa lösenord var enligt respondenterna att använda ord eller fraser som var roliga eller hade
en personlig koppling, vilket dock inte rekommenderas av ISO-27002 (SIS 2017). Vidare angav
respondenterna att det var viktigt att byta lösenord samt inte dela lösenord med andra, vilket en
respondent uttryckte så här: “Det är främst att se till att byta lösenord, att ha bra lösenord, att
inte lämna ut dem. Det är för mig säker lösenordshantering.” (R-Y). Respondenternas
uppfattning om hur lösenord ska hanteras stämde överens med ISO-27002, om att inte dela
lösenord samt att byta lösenord (SIS 2017).
I undersökningen framkom att respondenterna använde en gemensam password manager för
vissa konton och tjänster, vilket sågs som en bra lösning: “En lösenordshanterare sköter det
[lösenordshantering] åt en. Så man behöver aldrig bry sig om det.” (R-X). Password managern
som användes genererade således säkra lösenord samt lagrade lösenorden så att respondenterna
inte behövde fundera på varken hur de skulle skapa lösenord eller minnas lösenorden. Att
minnas lösenord kan ses vara en förutsättning för att få tillgång till den information som skyddas
samtidigt som åtkomstkontrollen i form av lösenord inte får vara för enkel då det kan leda till
att konfidentialiteten och integriteten hotas (Greene 2014; Whitman & Mattord 2016, s 14-16).
Det framkom i undersökningen att respondenterna ibland upplevde att det var svårt att minnas
komplexa lösenord, varför respondenterna stundtals skapade enklare lösenord. Exempelvis
uttryckte en respondent det så här:
“Däremot så kanske det är jobbigt att komma ihåg längre lösenord som
egentligen är säkrare. Jag har ofta kanske 6-8 tecken, men man kanske
borde ha upp till 15. Men hur ska jag komma ihåg det i huvudet?” (R-Z)
Undersökningen visade således på svårigheter med att minnas lösenord som var långa och att
respondenterna därför valde kortare lösenord, även om de kortare lösenorden inte var lika säkra
att använda. Genom att välja lösenord som var enklare att minnas men som var mindre säkra,
kunde konfidentialiteten av informationen hotas eftersom det då fanns en ökad risk för intrång
(Greene 2014). Vid ett eventuellt intrång skulle integriteten kunna hotas eftersom en icke-
auktoriserad användare kan få tillgång till informationen och eventuellt modifiera den
(Whitman & Mattord 2016, s 16; Greene 2014). Tidigare forskning av Shay m fl (2016),
19
Yıldırım och Mackie (2019) samt Farcasin och Chan-tin (2015) visade att komplexa och mer
säkra lösenord anses vara svårare att minnas, vilket således bekräftas av föreliggande under-
sökning.
I undersökningen framkom att respondenterna använde mellan 10 och 40 lösenordskyddade
system dagligen, vilket gjorde att respondenterna upplevde att de inte hade förmågan att minnas
alla olika lösenord. En ytterligare faktor som respondenterna ansåg försvårade möjligheten att
minnas alla lösenord var att olika system hade olika krav på lösenordskomposition. En
respondent uttryckte den problematiken så här:
“En del system vill inte att man har något snedstreck exempelvis. Så det
kan jag uppleva som krångligt att det är väldigt olika med vilka krav som
finns på vad som är ett säkert lösenord, beroende på system.” (R-Z)
Respondenterna upplevde således att det blev svårare att minnas lösenord när olika system hade
olika krav på hur lösenordskomposition då det innebar att respondenterna inte kunde använda
samma minnestekniker och mönster för lösenord som de brukade. Ett sätt att hantera mängden
lösenord som framkom i undersökningen var att återanvända lösenord till flera tjänster:
“Bara för att det ska bli lite smidigare brukar jag ändå göra så. Jag vet ju
att det inte alltid är det bästa, men att just på vårt email-inlogg och
datorinlogg så brukar vi köra samma.” (R-X)
Undersökningen visade att respondenterna återanvända lösenord till flera tjänster, exempelvis
email och dator, för att det minskade mängden lösenord och då var det lättare för
respondenterna att minnas de lösenord som användes. Genom att lösenord återanvändes fanns
en risk utifrån CIA-triaden att konfidentialiteten av informationstillgångarna hotades (Greene
2014) då risken för att icke-auktoriserade användare kunde få tillgång till informationen ökade,
likt det som hände Dropbox 2012 (Gibbs 2015). Ett annat sätt att minnas lösenord som framkom
i undersökningen var att respondenterna använde ord med en personlig koppling eller som
ansågs vara roliga, vilket gjorde lösenorden enkla att minnas. En respondent beskrev processen
för att skapa lösenord med hjälp av en password manager så här: “... generera fler ord tills det
är några ord som jag tycker är roliga eller känner igen, så kan det bli lättare att komma ihåg
dem.” (R-X). Genom att sätta ihop flera ord blev det lättare att minnas lösenordet. Ett annat sätt
att minnas lösenord som framkom i undersökningen var att spara lösenordet i verksamhetens
password manager, för att på så sätt slippa minnas lösenord i huvudet. Det framkom i
undersökningen även att lösenord ibland sparades i mobiltelefonen, vilket en respondent
uttryckte så här:
“Jag brukar ofta börja och sluta på samma sätt och så har jag ett par
orelaterade ord i mellan. [...] I början brukar jag skriva upp det på
mobilen, för jag kommer aldrig ihåg det” (R-W)
I undersökningen framkom således att lösenord ibland sparades i mobiltelefonen, för att på så
sätt slippa återställa lösenord i de fall då lösenordet glömts bort. Att spara lösenord i telefonen
är enligt ISO-27002 inte ett rekommenderat beteende, då det inte anses vara säkert (SIS 2017).
Undersökningen visade på att respondenterna upplevde att det var problematiskt att börja
använda mer säkra lösenord, i relation till minnesförmågan. Som svar på frågan om det fanns
något som kunde få respondenterna att använda säkrare lösenord uppgav en respondent att:
“... inte om jag måste skriva in det själv varje gång. Det är för lätt att jag
glömmer lösenorden, och så måste man spendera 10 minuter på att
återställa lösenorden. Och då har man ett till lösenord att komma ihåg.”
(R-Q)
20
Respondenten menade att de måste lägga för mycket tid på att återställa lösenord som de inte
kom ihåg och att det inte var tidseffektivt och angav det som en anledning till att lösenord åter-
användes. För att motiveras till att skydda sig mot hotfulla situationer är det enligt PMT viktigt
att individen upplever sig ha förmågan att följa det rekommenderade beteendet (Floyd,
Prentice-Dunn & Rogers 2000). Undersökningen visade att det stundtals fanns en problematik
kring att minnas komplexa lösenord som ansågs vara säkra. Respondenterna upplevde således
att de inte hade förmågan att följa det rekommenderade beteendet, det vill säga de krav som
fanns på lösenord, och kom därför inte att motiveras till att skydda sig.
6.3 Systemstyrd lösenordssäkerhet kontra användarnas ansvar
I undersökningen framkom det motsättningar mellan huruvida lösenordshantering skulle säkras
genom att systemen styr eller om det skulle styras och bestämmas av användarna själva. Det
framkom å ena sidan att lösenordshantering bör styras genom system, vilket en respondent
uttryckte så här: “Jag tror på att försöka bygga bort problemet så mycket som möjligt, men
ändå göra det så enkelt som möjligt.” (R-Y). Det framkom således att det vore bra om systemen
byggdes så att användarnas brister vad gällde lösenordshantering minimerades och att systemen
på så sätt tvingade användarna till en säker lösenordshantering. Genom att bygga bort
användarnas brister kunde säkerheten av informationen utifrån CIA-triaden öka, då mänskliga
brister ofta sågs som en risk (Whitman & Mattord 2016, 14-16; Greene 2014). En lösning på
en bristande lösenordshantering kunde således enligt föreliggande undersökning vara att låta
systemen styra och ha striktare krav på bland annat lösenordskompositionen. Det framkom även
i undersökningen att det skulle vara en bra lösning att låta systemen styra när lösenord skulle
bytas, vilket en respondent uttryckte så här:
“[…] att systemen i sig ska tvinga dig att ha säker lösenordshantering.
För har de [systemen] ingen lösenordspolicy eller tvingar dig att till
exempel byta lösenordet, ja då vet man hur det blir. Då byter du det inte.”
(R-Y)
Respondenterna ansåg således nödvändigt att låta systemen styra när de behövde byta sina
lösenord, utifrån att de annars inte skulle göra det. Shen m fl (2016) kom fram till att användare
ofta är lata framförallt när de skapade lösenord, vilken även föreliggande undersökning visade
då en anledning som angavs till varför system bör styra lösenordshanteringen var just lathet.
Det enda sättet att få användare att hantera lösenord säkrare var enligt respondenterna att inte
ge dem valet att vara lata. En respondent uttryckte att: “Det [Microsofts lösenordskrav] är en
bra policy. Den är jobbig. Men jag tycker det är bra att den tvingar folk, för då vet jag att andra
gör det. (R-W) Det bästa sättet att säkerställa att alla hanterade lösenord på en säker nivå var
enligt respondenterna således att ta bort användarnas val och ansvar. Enligt PMT är det viktigt
att användarna bedömer kostnaderna för ett säkert beteende som tillräckligt låga för att
motiveras till att bete sig säkert (Floyd, Prentice-Dunn & Rogers 2000, s 409-411; Safa m fl,
2015). I undersökningen framkom det att respondenterna ansåg sig vara lata och därför svåra
att påverka, vilket kan tyda på att de inte ansåg att vinsterna var tillräckligt höga för att de skulle
motiveras till att förändra sitt beteende och börja bete sig säkrare.
Enligt en studie av Bélanger m fl (2017) var det viktigt att användare var positivt inställda till
att följa lösenordspolicys och krav för att de faktiskt ska följa dem. Studien av Bélanger m fl
(2017) visade att användare som var positivt inställda att följa policys i högre grad gjorde det
än användare som var negativt inställda. I undersökningen framkom att om systemen hade
striktare krav på lösenord genom exempelvis policys, skulle det betyda att användare tvingas
21
ha säkrare lösenord. Respondenterna ansåg att detta var positivt och nödvändigt för att få dem
att använda säkra lösenord. Exempelvis uttryckte en respondent att: “Ja, försöka bygga in
kraven på hur ett lösenord ska se ut är bra. Det skulle hjälpa mig om jag blir tvingad att göra
bra lösenord.” (R-Z). Respondenterna såg det således som positivt att låta systemen styra
lösenordskompositionen och det skulle enligt respondenterna kunna ha en positiv påverkan på
hur säkra lösenord som faktiskt användes. Enligt tidigare forskning av Furnell m fl (2018) och
Yevseyeva, Morisset och van Moorsel (2016) var ett sätt att få användare att använda säkra
lösenord exempelvis kunna vara genom nudging, det vill säga att låta systemet ge användaren
positiv feedback som gör att denne gör säkra val när denne skapar lösenord.
I motsättning till att lösenordshantering ska styras genom system framkom det i undersökningen
tankar om att systemen inte bör ha för strikta regler kring lösenordshantering, för det skulle
bara innebära att respondenterna skulle strunta i kraven. En respondent uttryckte det så här:
“...det är klart att man kan säga att hårdare krav skulle hjälpa. [...], Men
jag hade ju varit som nu, jag hade fortsatt som jag gör. Så det finns inget
som man kan införa som gör mig bättre och som jag faktiskt skulle följa.
Jag tror inte det.” (R-Q)
Citatet ovan visade på en attityd som inte skulle komma att leda till ett förändrat beteende, utan
pekar på att för hårda säkerhetskrav istället skulle kunna leda till att respondenterna inte följde
kraven utan kringgick dem på olika sätt, vilket även en studie av Farcasin och Chan-tin (2015)
visade. Enligt respondenterna hade olika system dessutom ofta olika krav vilket ytterligare
begränsade möjligheterna att följa kraven vad gäller att skapa och minnas lösenorden.
I undersökningen framkom även tankar om huruvida det vore bra att användarna själva skulle
ta ansvar för att hantera lösenord säkert, med hjälp av utbildning och information, istället för
att lösenordshantering enbart skulle styras av systemen. En respondent uttryckte detta som att:
“Föreläsningar och utbildning inom ämnet är bra, för att ju mer
utbildningar eller liknande information du får, så kommer du ofta på saker
och du börjar tänka mer kring hur du kan göra. För det är svårt att börja
med något du inte ens vet att du borde göra.” (R-W)
Enligt undersökningen behövdes således information och utbildning om lösenordssäkerhet och
lösenordshantering, för att öka användarnas medvetenhet om säker lösenordshantering, vilket
även framkom i en studie av Safa m fl (2015). I förhållande till PMT kunde det ses som att
utbildning och information gjorde att användare fick en ökad förståelse för lösenordshantering
och därmed fick en större självförmåga att följa de rekommenderade beteendena, samt lättare
kunna bedöma om det är värt svarskostnaden för att börja följa det rekommenderade beteendet
(Vance, Siponen & Pahnila 2012, s 191). En annan respondent uttryckte att utbildningen borde
vara obligatorisk så att de själva kunde ta ansvar:
“Det borde nästan vara obligatoriskt kan jag tycka att man måste
genomgå någon form av IT-säkerhet så att man kan veta säkerhetsrisken
med att ha en dålig lösenordshantering.” (R-X)
I undersökningen framkom således att utbildning och vägledning var viktigt för hur användare
skulle hantera lösenord. Enligt Furnell m fl (2018) var vägledning och stöd det som mest
påverkade användare till att göra säkrare val av lösenord och hur lösenord hanterades, vilket
således även föreliggande undersökning visade. I undersökningen framkom det att vägledning
från företagets ledning var viktigt för att känna att det var viktigt att hantera lösenord säkert. En
respondent uttryckte det så här:
“Det skulle väl ändå vara att man mer påminner, från ledningen. Att de
visar att det är viktigt. Annars känns det som att folk tar lite lätt på det...
22
Ja men, då behöver inte jag vara så noga heller. [...] För att jag ska skärpa
mig tror jag det är viktigt att man hör det från ledningen, som då visar
med gott exempel.” (R-Z)
Respondenterna ansåg således att det var viktigt att det fanns vägledning från ledningen för att
lösenordssäkerheten skulle anses vara prioriterat och viktigt.
23
7 Slutsatser och diskussion
Nedan besvaras studiens frågeställningar och de slutsatser som kan dras redovisas. Därefter
diskuteras undersökningens resultat i förhållande till teorier och tidigare forskning, samt ger
förslag på framtida forskning.
Studiens frågeställningar var:
• Hur hanterar anställda på IT-företag sina lösenord på arbetet utifrån hur de skapas,
sparas, återanvänds och delas?
• Vilka faktorer påverkar de anställdas lösenordshantering?
Som svar på den första frågeställningen visade undersökningen på att respondenterna hade en
hög kunskap och medvetenhet om vad en säker lösenordshantering innebär i relation med den
ISO-standard som presenterats, ISO-27002 (SIS 2017). Bland annat visade undersökningen på
att respondenterna hade kunskap om hur lösenord skulle skapas och sparas på ett säkert sätt,
samt att lösenord inte skulle delas. När det gäller hur respondenterna faktiskt hanterade lösenord
så följdes inte alltid ISO-27002:s rekommendationer (SIS 2017). Lösenord skapades på ett
relativt säkert sätt utifrån de val av lösenordskompositioner som redovisats. Undersökningen
visade på ett antal olika sätt att spara lösenord, bland annat med hjälp av en password manager
och genom att minnas lösenorden. Respondenterna delade lösenord med varandra till olika
system i den gemensamma password managern, vilket kan anses gå emot rekommendationerna
i ISO-27002 om att lösenord inte ska delas (SIS, 2017). Den password manager som användes
kan dock anses vara väsentlig för verksamheten varpå delande av lösenord kan vara motiverat
(SIS 2017). Lösenorden återanvändes också i viss utsträckning för att det skulle vara lättare att
minnas lösenorden och därmed effektivisera arbetet. Enligt Sentor (2018) bör lösenord aldrig
återanvändas då det ökar risken för intrång och förlust av informationstillgångar.
Som svar på den andra frågeställningen visade undersökningen på att det fanns flera faktorer
som påverkade hur de anställda hanterade sina lösenord vilket redovisades i form av
motsättningar. En påverkande faktor var att en säker lösenordshantering inte alltid upplevdes
som användarvänlig, och att respondenterna då stundtals valde användarvänlighet framför
lösenordssäkerhet. Därtill framkom det att arbetet behövde vara tidseffektivt och fungera
smidigt, varför enkla lösenord användes och återanvändes. Det ansågs bland annat ta för lång
tid att återställa lösenord som glömts bort, vilket resulterade i att det ansågs smidigare att
använda enkla lösenord eller att återanvända lösenord. Enligt PMT kan detta förklaras som att
användarvänligheten var en högre belöning än vad den upplevda allvarlighetsgraden var, vilket
resulterar i att användarvänligheten gick före säkerheten (Vance, Siponen & Pahnila 2012, s
191). En ytterligare faktor till varför lösenord återanvändes var för att det ansågs svårt att
minnas så många lösenord som behövdes användas.
I undersökningen framkom det även delade meningar om huruvida säker lösenordshantering
skulle vara användarnas ansvar eller om det skulle styras av system och riktlinjer. Tidigare
forskning av Yıldırım och Mackie (2019) visade att strikt lösenordspolicy eller strikta
systemkrav inte var effektivt för att få användarna att använda säkra lösenord, utan att det var
bättre att på olika sätt inspirera användarna till att använda starka lösenord. Denna undersökning
bekräftar detta eftersom det framkom åsikter om att för strikta systemkrav inte skulle hjälpa.
Undersökningen visade på att utbildning och stöd var ett sätt att förbättra hanteringen av
lösenord, vilket bekräftar vad tidigare forskning, bland annat Safa m fl (2015) kommit fram till.
Eftersom undersökningen visade på delade meningar hur säker lösenordshantering ska
24
förbättras, vore det intressant för framtida forskning att studera detta mer. Det vill säga om
lösenordshantering skall styras av system eller av användare.
I förhållande till CIA-triaden (Whitman & Mattord 2016, s 14-16; Greene 2014) var det viktigt
att hantera lösenord säkert, för att informationstillgångarnas integritet, konfidentialitet och
tillgänglighet skulle bibehållas. Undersökningen visade på vissa risker med de anställdas
lösenordshantering när det gäller konfidentialitet då lösenord delades med kollegor, vilket kan
betyda att icke-auktoriserade användare kunde få tillgång till information som de inte var
berättigade till. Vidare var informationen inte alltid tillgänglig, exempelvis då ett lösenord
glömdes bort och behövde återställas. Därtill fanns det även risker mot integriteten av
verksamhetens information då en intern eller extern icke-auktoriserad användare med flit eller
av misstag kunde modifiera informationen. Detta kunde exempelvis ske på grund av att de
anställda delade password manager och således hade tillgång till andra anställdas information.
I förhållande till PMT (Floyd, Prentice-Dunn & Rogers 2000; Vance, Siponen & Pahnila 2012)
framkom det några olika perspektiv på att förändra sitt beteende till att hantera lösenord mer
säkert. En respondent upplevde att det var väldigt viktigt att ha en säker lösenordshantering och
att det därför var värt ansträngningen att till exempel ha unika lösenord till alla tjänster. En
annan respondent uttryckte motsatsvis att det inte fanns något som kunde få denne att sluta
återanvända lösenord och hantera lösenord på ett mer säkert sätt.
Undersökningens resultat ska såklart ses i förhållande till dess begränsningar. En begränsning
är att urvalet gjordes genom ett målinriktat chain-sampling, där en personlig kontakt användes
för att nå urvalsgruppen. Att intervjua en bekant skulle kunna ha lett till partiskhet och begränsat
undersökningens validitet. Enligt Kvale, Brinkmann & Torhell (2014, s 297-299) handlar
validitet i intervjuundersökningar bland annat om tillförlitligheten i respondenternas svar och
berättelser. Genom att redogöra för riskerna samt ge en detaljerad beskrivning av data-
insamling, urval och analysprocess kan undersökningens tillförlitlighet och validitet ändå anses
vara tillfredsställande.
Sammanfattningsvis bekräftar studien det tidigare antagandet om att anställda på IT-företag har
en hög medvetenhet och kunskap om hur lösenord ska hanteras på ett säkert sätt. Studien
bekräftar även antagandet om att det finns brister hos anställda på IT-företag, då
undersökningen visade att respondenterna inte alltid hanterade lösenord så säkert som de ansåg
att de borde. Studien bidrar även med ny kunskap när det gäller lösenordshantering genom att
identifiera faktorer som påverkar de anställdas lösenordshantering. Bland annat visade studien
att anställda medvetet valde användarvänlighet före säkerhet, för att kunna arbeta smidigt och
effektivt. Detta visar på att kunskap och medvetenhet inte verkar vara den avgörande faktorn
för säker lösenordshantering. De faktorer som påverkar huruvida anställda på ett IT-
konsultföretag hanterar sina lösenord säkert är inte nödvändigtvis typiska för just IT-branschen
eftersom flertalet av faktorerna visar på mer generella mänskliga brister och val. Resultatet i
form av dessa faktorer och motsättningar är därför intressanta och skulle kunna tyda på att det
finns liknande motsättningar även i andra kontexter än det som studerades i föreliggande
undersökning. Liknande motsättningar återfanns även i tidigare forskning vilka pekade på olika
faktorer som påverkade hur användare hanterade lösenord. Det skulle därmed vara intressant
för framtida forskning att ytterligare undersöka hur säker lösenordshantering ska uppnås, även
inom IT-branschen.
25
Källförteckning
Aurigemma, S. & Mattson, T. (2018). Exploring the effect of uncertainty avoidance on taking
voluntary protective security actions, Computers & Security, vol. 73, pp. 219-234.
Bang, Y., Lee, D., Bae, Y. & Ahn, J. (2012). Improving information security management: An
analysis of ID–password usage and a new login vulnerability measure. International Journal
of Information Management, vol. 32(5), pp. 409-418.
Bauer, S., Bernroider, E.W.N. & Chudzikowski, K. (2017). Prevention is better than cure!
Designing information security awareness programs to overcome users' non-compliance with
information security policies in banks, Computers & Security, vol. 68, pp. 145-159.
Bélanger, F., Collignon, S., Enget, K. & Negangard, E. (2017). Determinants of early
conformance with information security policies, Information & Management, vol. 54, no. 7, pp.
887-901.
Butterfield A., Ngondi, E. G. & Kerr A. (2016a). Authentication. A Dictionary of Computer
Science, 7th edn. Oxford University Press.
Butterfield A., Ngondi, E. G. & Kerr A. (2016b). Password. A Dictionary of Computer Science,
7th edn. Oxford University Press.
Dalen, M., (2015). Intervju som metod, 2 uppl. Malmö: Gleerup.
Duggen, G. B., Johnson, H. & Grawemeyer, B. (2012). Rational security: Modelling everyday
password use. International Journal of Human-Computer Studies, vol. 70(6), pp. 415-431.
EVRY (2019). Säkerhet och risk. EVRY. Tillgänglig:
https://www.evry.com/sv/arbeta-tillsammans/tjanster/sakerhet-och-risk/ [Hämtad 2020-01-
02]
Farcasin, M. & Chan-tin, E. (2015). Why we hate IT: two surveys on pre-generated and expiring
passwords in an academic setting. Security and Communication Networks, vol. 8, no. 13, pp.
2361-2373.
Florencio, D. & Herley, C. (2007). A large-scale study of web password habits. ACM, WWW
2007, pp. 657.
Floyd, D. L., Prentice-Dunn, S. & Rogers, R.W. (2000). A Meta-Analysis of Research o