It-Sikkerhed

Se idéer fra kursus: http://iftek.dk/brugertracking

IT-sikkerhed i design

Forslag til øvelser der skal introducere til interaktionsdesign og sikkerhed i forhold til adgangskodesystemer:

Øvelse 1: Adgangskodesystem til bærbar

Eleverne indeles i grupper og skal lave en risikoanalyse for ét af de nedenstående systemer:

  1. Elever finder på mindst tre ekstra trusselsscenarier for deres adgangssystem.
  2. Eleverne vurderer via risikomatrix sandsynlighed og konsekvens for scenarierne.
  3. Eleverne kommer med forslag til at afhjælpe trusselscenarier af middel-megethøj grad af risiko.
Risikoanalyse
Proces Trussel Sårbarhed Sandsynlighed Konsekvens
Logon Afluring af kode Tredje part får adgang til system
Kode Kode for enkel Tredje part kan gætte kode
Kode Kode mistes/glemmes Bruger mister adgang til system
Kode Kode genbruges Tredje part fanger kodeord via andet system
Risikomatrix
Stor Middel Høj Meget høj
Middel Lav Middel Høj
Lille Meget Lav Lav Middel
^ Konsekvens/Sandsynlighed > Lav Middel Høj

Systemer:

  1. Pinkode - 4 tal
  2. Adgangskode - præcis 12 tegn og skal indeholde både tekst, tal, specialtegn og store/små bogstaver
  3. Autogeneret 256 kb nøgle på usb…
  4. Biometrisk genkendelse af fingeraftryk
  5. Håndskrift på touchpad eller touchscreen
  6. Klik på elementer i billeder: https://www.computerhope.com/jargon/p/picturepassword.htm

Øvelse 2: Dum bruger eller dumt system?!

Eleverne skal vurdere forskellige cases, der involverer problematikker med adganskoder og brugere. - De skal for hver case vurdere:

  1. hvor casen/scenariet skal indplaceres i et risikomatrix.
  2. om årsagen primært skal findes i systemets design eller i uforsigtig brug
  3. løsningsmuligheder, så problemet forhindres eller minimeres - gerne ved at bruge/inddrage analyserne i øvelse 1.

Case 1: Iphone låses, hvis man skriver password forkert flere gange i træk. Det har ført til tilfælde, hvor telefoner låses i årevis efter at små børn har leget med iPhones og trykket igen og igen. - Telefonen kan kun rebootes, hvilket betyder at billeder, sms'er m.m. er tabt.

Case 2: Mange it-produkter kommer med et standard-password eller helt uden, og så har det været op til brugeren selv at lave et (nyt) password. Det har ført til masser af sager om folk der uforvarende er blevet beluret via egne overvågningskameraer, kameraer i tv'er m.m. og tilmed tilfælde hvor folk udfra har kunnet logge på og skifte priser på benzinstandere…

Case 3: Case: logon til folkeskoleelever…

Case 4: Passwords: krav om skift af passwords, længde, tegn…

Case 5: password til missiladvarselssystem er placeret på skærmen - hvorfor kan det være sket? Hvor ligger fejlen? Hvad er løsningen?

Case 6: https://www.version2.dk/artikel/fyreseddel-fik-it-medarbejder-at-se-roedt-laegge-it-systemerne-ned-1084386

Medmindre andet er angivet, er indholdet af denne side licenseret under Creative Commons Attribution-NonCommercial 3.0 License