Development of a secure, role-based password manager

Abstract

Som et resultat av den raske teknologiske utviklingen og økningen av digitalisering globalt, er det en stor økning i datamengden. Denne dataen krever skikkelig beskyttelse mot nettoangrep. Mer sensitiv digital data krever mer robuste sikkerhetsløsninger for å beskytte denne informasjonen. I denne moderne æraen blir passord ansett som sensitiv data som må sikres fordi de fungerer som det første forsvarslinjen i beskyttelsen av informasjon gjennom autentiseringsprosesser. Dette prosjektet har som mål å utvikle et system for å beskytte disse passordene. Oppgaven i dette prosjektet er å bygge et passordhåndteringssystem med spesifikke tilpassede krav. Produkteieren, Favn Software, er et programvareselskap i Trondheim, som opererer med en hybrid forretningsmodell som fokuserer på innovasjon og konsultasjon i programvareutvikling. Det har vokst raskt de siste årene og trenger mer robust intern sikkerhet. De ber om at Favn Password Manager skal tilby et sikkert og enkelt lagringssystem for passordene deres med et tilpasset innholdsstyringssystem (CMS). Styringssystemet organiserer passordene i mapper med hierarkisk tilgang basert på roller. Systemet bør operere med en null-kunnskapsserver, altså mangler serveren informasjon om sensitiv data. Gjennom hele prosjektet har sikkerhetsaspekter og -betingelser blitt utforsket i praksis. Derfor hadde kryptografiske applikasjoner en vesentlig rolle i utviklingen av dette produktet, ved å bruke krypteringsmetoder for å sikre sensitiv data. Systemutviklingsmetodikkene ble brukt for å organisere arbeidet og levere produktet. Generelt var prosjektet både utfordrende og interessant og utviklet seg gradvis for å implementere funksjonene. Selv om systemet har noen mangler som må forbedres, er hovedfunksjonene implementert, og systemet er i en tilstand hvor det er klart for bruk.

As a result of the rapid technological development and the rise of digitalization globally, there is a major increase in data amount. This data requires proper protection against cyberattacks. More sensitive digital data requires more robust security solutions to safeguard this information. In this modern era, passwords are considered sensitive data that need to be secured because they serve as the first line of defense in protecting information through authentication processes. This project aims to develop a system to protect these passwords. The task in this project is to build a password management system with specific custom requirements. The product owner, Favn Software, is a software company in Trondheim, operating with a hybrid business model that focuses on innovation and consultation in software development. It has been growing fast in the last few years, needing more robust internal security. They request the Favn Password Manager to provide a secure and simple storage system for their passwords with a custom Content Management System (CMS). The management system organizes the passwords in folders with hierarchical access based on roles. The system should operate with a zero-knowledge server, thus the server lacks information about sensitive data. Throughout the project, security aspects and terms have been explored in real life practice. Therefore, cryptographic applications had an essential role in developing this product, using encryption methods to secure sensitive data. System development methodologies were used to organize the work and deliver the product. Overall, the project was both challenging and interesting and gradually developed to implement the features. Even though the system has some shortcomings that need to be improved, the core features are implemented, and the system is in a state where it is ready for use.