Method for evaluating authentication system quality
Abstract
NORSK:
Autentiseringssystemer skal bekrefte at man er den man påstår man er, samt sikre at kun
personer med rettmessig tilgang får aksess. Det finnes mange måter å autentisere seg på
ovenfor et system. Felles for alle er at de benytter minst et av følgende prinsipper; noe
man vet, noe man har og noe man er.
Hensikten med denne masteroppgaven er å undersøke hvilke autentiseringsteknologier
større norske bedrifter benytter og om systemene rundt selve autentiseringen er godt nok
sikret. Siden et av informasjonssikkerhetens store dilemmaer er avveiingen mellom
sikkerhet og brukervennlighet, ønsker oppgaven også å finne ut om brukerne av de
forskjellige systemene er fornøyd med bruken eller om terskelen for bruk ikke er så høy at
de kan bli fristet til å ta snarveier som kan kompromittere systemes sikkerhet.
Bakgrunnen for oppgaven var også å undersøke om det finnes noen måte å måle
autentiseringsfaktorer innenfor sikkerhet og brukervennlighet ved hjelp av metrikker, og
gjennom dette beregne hvor godt systemet fungerer. ENGELSK:
The purpose of authentication systems is to confirm a user’s claimed identity.
Authentication must also ensure that only persons with legitimate permissions are granted
access. There are several ways of authenticating yourself, but common between all of
them is that they use or combine at least one of the following principles; something one
knows, something one has and something one is.
The aim of this thesis is to explore which authentication technologies large scale
Norwegian enterprises make use of and if the system itself is good enough secured. Since
one of the biggest dilemmas surrounding information security is the weighing between
security and user-friendliness, this thesis will also try to discover if the usability is
adequate, according to the user’s perceptions, so that users will not be tempted into taking
shortcuts that could compromise security.
The intention is also to examine if there is a way to measure authentication factors within
security and user-friendliness with the use of metrics, and through this estimate how well
the system works.