OpenSecEd · dbosk · Apr 24, 2017
diff --git a/overview/userauth-from-usability.tex b/overview/userauth-from-usability.tex
@@ -0,0 +1,336 @@
+\subsection{Lösenord}
+
+\begin{frame}{Användbarhet?}
+  \begin{itemize}
+    \item Svårt att komma ihåg detaljer som används sällan.
+    \item Svårt att komma ihåg detaljer som ändras ofta.
+    \item Svårt att komma ihåg och särskilja många liknande detaljer.
+    \item Svårt att minnas ord utan betydelse.
+    \item Kan ej glömma på begäran.
+    \item Att minnas är svårare än att känna igen.
+  \end{itemize}
+\end{frame}
+
+\begin{frame}
+  \begin{itemize}
+    \item Enklare att komma ihåg saker som används ofta.
+    \item Enklare att minnas saker i kontext.
+    \item Men \dots
+  \end{itemize}
+\end{frame}
+
+\begin{frame}
+  \begin{figure}
+    \includegraphics[height=0.65\textheight]{password_strength.png}
+    \caption{%
+      Hard to remember, easy to guess.
+      Easy to remember, hard to guess.
+      Bild:~\cite{xkcd936}.
+    }
+  \end{figure}
+\end{frame}
+
+\subsection{Alternatives}
+
+\begin{frame}
+  \begin{block}{Simson Garfinkel:}
+    \begin{itemize}
+      \item Something you had once
+      \item Something you've forgotten
+      \item Something you once were.
+    \end{itemize}
+  \end{block}
+\end{frame}
+
+\begin{frame}
+  \begin{block}{Really?}
+    \begin{description}
+      \item[Vet] Lösenord.
+      \item[Har] Koddosa, som oftast skyddas av ett lösenord.
+      \item[Är] Fingeravtryck, som oftast kombineras med ett lösenord.
+    \end{description}
+  \end{block}
+\end{frame}
+
+\begin{frame}{Komplexiteten hos lösenord}
+  \begin{itemize}
+    \item PIN-koden för betalkortet, har endast tre försök sedan slutar kortet 
+      att fungera.
+
+      \pause{}
+
+    \item Lösenordet för webbmailen, vore väldigt jobbigt om den blev låst.
+      Hur låsa upp?
+
+      \pause{}
+
+    \item Krypterat data, har ej kontroll över antal försök.
+
+  \end{itemize}
+\end{frame}
+
+\subsection{Workarounds}
+
+\begin{frame}
+  \begin{example}[Other types of passwords]
+    \begin{itemize}
+      \item Personnummer (även användarnamn).
+      \item Kortnummer, medlemsnummer.
+      \item Husdjurets namn.
+      \item \enquote{Mother's maiden name}.
+    \end{itemize}
+  \end{example}
+\end{frame}
+
+\begin{frame}
+  \begin{figure}
+    \includegraphics[height=0.65\textheight]{pet_security_question.png}
+    \caption{En seriestrip som antyder det bisarra med säkerhetsfrågor.
+    Namnge dina husdjur med omsorg, du kommer att använda deras namn som 
+    säkerhetsfråga resten av livet.}
+  \end{figure}
+\end{frame}
+
+\subsection{Problems to solve}
+
+\begin{frame}
+  \begin{enumerate}
+    \item Kommer användaren att mata in rätt lösenord tillräckligt ofta?
+
+    \item Kan användaren minnas lösenordet, eller kommer denne att skriva ner 
+      det på en lapp?
+      Väljer användaren ett lösenord som är lätt att gissa?
+
+  \end{enumerate}
+\end{frame}
+
+\begin{frame}
+  \begin{example}[Entering passwords]
+    \begin{itemize}
+      \item Muntligen ange ett nummer: hotel-, biljettbokningar, hämta ut paket 
+        från Posten.
+
+      \item Mata in långa sifferkombinationer: mjukvarulicenser, refillkort, 
+        OCR-nummer för räkningar.
+
+      \item Att skriva dem i grupper om tre till fyra underlättar avsevärt.
+
+      \item Längre lösenord, större sannolikhet att skriva fel.
+
+    \end{itemize}
+  \end{example}
+\end{frame}
+
+\begin{frame}
+  \begin{example}[Remembering passwords]
+    \begin{itemize}
+      \item Välj ett lösenord du inte kan minnas och skriv inte ner det.
+
+      \item xkcd:s \enquote{correct horse battery staple}, enkelt att komma 
+        ihåg men svårare att skriva.
+
+      \item Men om man bara behöver skriva det sällan, då är det mindre problem.
+
+    \end{itemize}
+  \end{example}
+\end{frame}
+
+\begin{frame}
+  \begin{itemize}
+    \item \citet{Komanduri2011opa} gjorde en undersökning om säkerhet och 
+      användbarhet hos olika lösenordspolicyer.
+
+      \pause{}
+
+    \item Hade följande olika policyer:
+      \begin{description}
+        \item[basic8] Minst åtta tecken.
+
+        \item[dictionary8] Minst åtta tecken, får inte finns med i ordlistan.
+
+        \item[comprehensive8] Minst åtta tecken, måste innehålla små och stora 
+          bokstäver, samt siffror och specialtecken.
+
+        \item[basic16] Minst 16 tecken.
+      \end{description}
+
+      \pause{}
+
+    \item Säkerheten var bäst hos basic16 (högst entropi), comprehensive8 var 
+      näst bäst.
+
+    \item Användbarhetsmässigt var basic16 bäst: användarna hade färre problem 
+      att skriva in lösenordet och att komma ihåg det.
+  \end{itemize}
+\end{frame}
+
+\begin{frame}
+  \begin{example}[Real passwords]
+    \begin{columns}
+      \begin{column}{0.4\textwidth}
+        \par
+        Från~\cite{Oberheide2010bao}:
+        \begin{itemize}
+          \item 123456
+          \item password
+          \item 12345678
+          \item qwerty
+          \item abc123
+        \end{itemize}
+      \end{column}
+      \begin{column}{0.4\textwidth}
+        \par
+        Från~\cite{Cluley2012twp}:
+        \begin{itemize}
+          \item 123456
+          \item password
+          \item welcome
+          \item ninja
+          \item abc123
+        \end{itemize}
+      \end{column}
+    \end{columns}
+  \end{example}
+\end{frame}
+
+% XXX move password cracking numbers to infotheory lecture
+%\begin{frame}{Attackera ett konto eller alla}
+%  \begin{block}{Ett givet konto}
+%    \begin{itemize}
+%      \item Svårt med lösenordsknäckning, måste testa \(|P|/2\) där \(P\) är 
+%        mängden av alla lösenord.
+%      \item Med phishing kallas detta \emph{spear phishing}.
+%    \end{itemize}
+%  \end{block}
+%  \begin{block}{Alla konton på ett system}
+%    \begin{itemize}
+%      \item Avsevärt mycket enkare, närmare \(|P|/|U|\) där \(U\) är mängden av 
+%        användare.
+%      \item Kan använda phishing, räcker med att en användare faller för det.
+%    \end{itemize}
+%  \end{block}
+%  \begin{block}{Alla konton på alla system}
+%    \begin{itemize}
+%      \item Knäck lösenord för ett enkelt system.
+%      \item Phishing för ett system med dåliga policyer.
+%      \item Sannolikt återanvänds lösenord i andra system.
+%    \end{itemize}
+%  \end{block}
+%\end{frame}
+
+\begin{frame}
+  \begin{block}{Trusted path}
+    Vi måste veta om vi kan lita på kommunikationskanalen.
+  \end{block}
+
+  \pause{}
+
+  \begin{example}
+    \begin{itemize}
+      \item Är det ett riktigt tangentbord, eller är det utbytt mot ett som 
+        sparar alla tangenttryckningar?
+      \item Finns risken att det är en keylogger installerad?
+    \end{itemize}
+  \end{example}
+\end{frame}
+
+\subsection{Bättre lösningar?}
+
+\begin{frame}
+  \begin{itemize}
+    \item Lösenord är har i sig dålig användbarhet.
+
+    \item Finns olika metoder för att förbättra användbarheten.
+      \begin{itemize}
+        \item Single sign-on, exempelvis via Google eller Facebook.
+        \item Spara alla lösenord krypterat och fyll automatiskt i dem på 
+          webben.
+          (Sabba inte detta alternativ med JavaScript.)
+        \item Komplettera med koddosa.
+      \end{itemize}
+
+    \item Då har vi reducerat \(N\) lösenord till endast ett lösenord att komma 
+      ihåg.
+
+      \pause{}
+
+    \item BankID verkar också vara en robust lösning.
+
+  \end{itemize}
+\end{frame}
+
+\begin{frame}{BankID}
+  \begin{itemize}
+    \item Innebär att vi måste ha någonting: certifikatet.
+    \item Vi måste veta någonting: lösenordet för certifikatet.
+  \end{itemize}
+\end{frame}
+
+\begin{frame}{BankID hos Swedbank}
+  % XXX get screenshots from BankID for Swedbank
+  \begin{block}{Inloggning}
+    I identify myself at:
+
+    Swedbank och Sparbankerna
+  \end{block}
+  \begin{block}{Godkänna (signera) överföring}
+    I sign at:
+
+    Swedbank och Sparbankerna
+
+    \vspace{1em}
+    Text to be signed:
+
+    Jag godkänner överföring med totalsumman 60,00 kr.
+    Uppdraget lämnar jag till banken 2013-04-14 kl 21:25:43.
+  \end{block}
+\end{frame}
+
+\begin{frame}{BankID hos Skatteverket}
+  % XXX get screenshots from BankID for Skatteverket
+  \begin{block}{Inloggning}
+    I identify myself at:
+
+    Skatteverket
+  \end{block}
+  \begin{block}{Signering av deklaration}
+    I sign at:
+
+    Skatteverket
+
+    \vspace{1em}
+    Text to be signed:
+
+    Härmed undertecknar jag uppgifterna jag tidigare lämnat in.
+  \end{block}
+\end{frame}
+
+\begin{frame}{BankID}
+  \begin{itemize}
+    \item Har separata mekanismer för identifiering och signering.
+    \item Kan alltså inte lura användaren att signera en överföring vid 
+      inloggning.
+    \item Har ett användbart och pålitligt användargränssnitt.
+%    \item Jämför med användargränssnittet till chippet på betalkortet (precis, 
+%      det finns inget).
+  \end{itemize}
+\end{frame}
+
+\begin{frame}
+  \begin{itemize}
+    \item Utforma autentisering för att användaren inte enkelt ska kunna bli 
+      lurad!
+    \item Om användaren blir lurad en gång ska inte det vara hela världen.
+  \end{itemize}
+\end{frame}
+
+% XXX add slides on yubikey and lastpass
+
+\begin{frame}
+  \begin{itemize}
+    \item Yubikey?
+    \item LastPass?
+  \end{itemize}
+\end{frame}
+
+