Onderzoeksmethoden/^Archief/2008-2009/Onderzoeksplan/Fase 2/OpmerkingenPvR
Inhoud
Opmerking: te summier
Theoretisch kader
Verankering
Het onderzoek zal vooral vanuit een informatiekunde perspectief bekeken worden, dit om het verband tussen de beveiliging en veiligheid van Internet bankieren te kunnen achterhalen. Het onderzoek zal zich vooral richten op de veiligheid en beveiliging van Internet bankieren. Met de veiligheid van Internet bankieren, richt ik me vooral op de klanten van banken en toekomstige klanten.
Theoretisch kader
Verankering
Er zijn een aantal redenen op te noemen waarom het gebruik van het klassieke wachtwoord niet succesvol is gebleken:
- Er worden te makkelijke wachtwoorden gekozen door de gebruikers omdat ze moeite hebben moeilijke, maar goede wachtwoorden te onthouden
- Wachtwoorden worden om dezelfde reden door gebruikers vaak hergebruikt voor verschillende systemen
- Wachtwoorden moeten voldoen aan twee conflicterende eisen. Ze moeten snel ingevoerd en te onthouden zijn, maar het moet ook een veilig wachtwoord zijn[1]
- Wachtwoorden zijn eenvoudig te onderscheppen d.m.v. een keylogger/meekijken over de schouder
Er zijn alternatieven als security tokens en biometrische methoden. Deze hebben echter het nadeel dat er vaak hardware te pas aan moet komen. Denk hierbij aan kaartlezers voor het internetbankieren om een toegangscode te genereren, of aan apparatuur om een vingerafdruk of iris te scannen. Het grafische wachtwoord heeft geen extra hardware nodig, en daar zal in dit onderzoek ook op gefocust worden. In dit onderzoek worden implementaties bekeken die geschikt zijn voor websites/applicaties weergegeven met normale schermgroottes (17"+). Er zijn ook een aantal manieren bedacht voor handhelds, maar deze vallen buiten het onderzoek aangezien daar andere eisen gesteld worden.
Grafische wachtwoorden bestaan er in veel vormen. Implementaties die bekeken worden zijn:
- Passfaces (gezichten kiezen uit een verzameling gezichten)
- Storyboard (een aantal plaatjes selecteren uit serie en maak zo een verhaaltje)
- Passclicks (aantal punten in een afbeelding achtereen selecteren)
- Pass Objects (selecteer een punt dat valt binnen een denkbeeldige driehoek van drie dezelfde icoontjes in een veld met vele icoontjes)
Bij de bovenstaande implementaties zal gekeken worden of het een waardige vervanger zijn. Hierbij moet het voldoen aan de volgende voorwaarden:
- Het moet veilig zijn
- Het moet snel zijn
- Het moet eenvoudig te onthouden zijn
Opmerking: niet operationeel genoeg
Aanknopingspunten voor operationalisatie
- Variabelen
- Opleidingsniveau
- Indicator: het opleidingsniveau van de steekproef wordt vastgesteld d.m.v. diploma's.
- Illegaal download gedrag
- Indicator: het download gedrag wordt vastgesteld met het aantal gedownloade bestanden per deelnemer. Het aantal gedownloade bestanden per deelnemer zal worden vastgesteld d.v.m. de vragenlijst. Een deelnemer geeft hoeveel hij/zij per maand illegale bestanden downloadt.
- Opleidingsniveau
- Het onderzoekselement
- De Nederlander.
- Indicator: Nederlands paspoort.
- De Nederlander.
- Verbanden tussen variabelen
- Relatie, samenhang en onafhankelijkheid worden in het onderzoeksmodel nader geadstrueerd.
Operationalisatie
Om te beginnen moet er eerst duidelijk zijn wat nu precies het probleem is en hoe er antwoord gegeven gaat worden op de betreffende deelvragen. Tevens moet er worden bepaald op welk gebied het onderzoek zich gaat toespitsen omdat bluetooth chips tegenwoordig in erg veel apparaten worden toegepast. In dit onderzoek gaat het specifiek om de wetenschap of degene die een mobiele telefoon in zijn of haar bezit heeft, op de hoogte is van het potentiële gevaar dat deze techniek op kan leveren. Om een duidelijk beeld te krijgen van het probleem kan men zich verdiepen in de volgende bronnen:
- Wetenschappelijke literatuur
- Google Scholar
- Picarta
Nadat men zich heeft verdiept in de nodige literatuur en een beeld heeft welke gevaren/risico's iemand kan lopen die een bluetooth verbinding open heeft staan, kan er worden onderzocht welke methoden geschikt zijn om vanuit de maatschappij, want daar gaat het immers om, informatie te verschaffen over of men een mobiele telefoon in het bezit heeft, over wat voor een functionaliteit het toestel beschikt of de gebruiker bekend is met de bluetooth technologie, etc. Een aantal geschikte methoden zijn de volgende:
- Via de provider. Op het moment dat iemand een (nieuwe) mobiele telefoon bij de provider af neemt in combinatie met een abonnement, weet de provider automatisch wat voor een type toestel de klant in zijn of haar bezit heeft.
- Een enquête. Door middel van een enquête kan er bijvoorbeeld worden gevraagd of de persoon in kwestie één of meerdere mobiele telfoons in zijn of haar bezit heeft, die beschikken over bluetooth functionaliteit. Mocht dit niet bekend zijn, kan men als alternatief het merk/type toestel opgeven zodat dit achteraf kan worden onderzocht.
- Via bestaande wetenschappelijke onderzoeken. Op sommige van de deelvragen is het mogelijk dat er reeds een onderzoek is gedaan naar het betreffende onderwerp. Indien betrouwbaar en relevant kan er worden verwezen naar het betreffende onderzoek.
Als de gebruiker geen telefoon bezit met bluetooth functionaliteit, is het onderzoek niet van toepassing op de betreffende persoon. Indien men wel in het bezit is van een mobiele telefoon kan er een Enquête worden afgenomen waaruit blijkt of de gebruiker op de hoogte is van het potentiële gevaar dat deze technologie kan opleveren. Om mensen te motiveren om mee te doen aan het onderzoek, kan het resultaat bijvoorbeeld via een website, email of rapport aan de betreffende persoon worden bekend gemaakt.
Om vervolgens ook daadwerkelijk gegevens te verkrijgen vanuit de maatschappij door middel van de eerder genoemde opties (provider, enquête etc.), moet er eerst een doelgroep worden gekozen. De doelgroep ligt in dit geval erg voor de hand liggend: iedereen die een mobiele telefoon bezit met bluetooth functionaliteit komt in aanmerking voor het verstrekken van informatie over het toestel en het gebruik van de bluetooth functionaliteit.
Een groot deel van de onderzoeksvragen kan worden beantwoord door middel van het onderzoek dat is gericht op de maatschappij. De volgende deelvragen zouden beantwoord kunnen worden met behulp van een enquête of informatie die de provider van het mobiele netwerk verstrekt, deelvraag nummers: 1, 2, 4, 6. De overige vragen komen in aanmerking voor een literair onderzoek, aangezien dit meer bluetooth technisch specifieke vragen zijn. De volgende deelvragen komen in aanmerking voor een literair onderzoek, nummers: 3, 5, 7, 8, 9, 10.
Fase 2
Fase 2:
- Beantwoorden onderzoeksvraag 2.
De handleiding die opgesteld is in fase 1 zal in deze fase worden uitgetest op bruikbaarheid en effectiviteit.
Onderzoekspopulatie:
Om de handleiding uit te kunnen testen op bruikbaarheid en effectiviteit zal een groep van 200 personen worden geselecteerd uit een database van een internetprovider in Nederland. Hierbij zullen wel een aantal criteria worden gehanteerd:
- Volwassenen 18+ : Hiervoor is gekozen omdat voor kinderen qua taal gebruik en presentatie van informatie een andere vorm/niveau van presentatie gekozen moet worden.
- De computergebruikers maken minimaal 3 dagen per week een uur gebruik van het internet / email: Computergebruikers die zelden of nooit gebruik maken van het internet behoren niet tot de risico groep die met Phishing in aanraking kunnen komen.
De mensen zullen doormiddel van hun internetprovider worden benaderd met de vraag of ze mee willen doen aan een kort onderzoek waarbij zij vragen moeten beantwoorden over cybercriminaliteit. Om te zorgen dat mensen zullen deelnemen aan een onderzoek zal een geld bedrag of hotel bon worden verloot onder de mensen die het onderzoek hebben voltooid.
Deze groep zal vervolgens ad random worden verdeeld over twee groepen van 100 personen. Op deze manier zal de samenstelling van de groepen op verschillende kenmerken (Opleidingsniveau, geslacht,leeftijd,tijdsbesteding internetten,etc.) gelijk zijn. Deze kenmerken zullen voorafgaand aan het onderzoek worden bevraagd, zodat gecontroleerd kan worden of de groepen daadwerkelijk vergelijkbaar waren.
Methode:
De onderzoekspersonen zullen de vragen beantwoorden op een onderzoekslocatie, waarbij de ruimtes voor de interventiegroep en controlegroep gescheiden zullen zijn. Beide groepen zullen bij aanvang van het onderzoek informatie krijgen. In deze informatie zal kort worden vermeld wat Phishing is en dat zij deelnemen aan een onderzoek waarbij gekeken zal worden of zij Phishing kunnen herkennen en waaraan. De eerste informatie die alle deelnemers zullen ontvangen zal basaal zijn en de verwachting is dat zij op basis van alleen deze informatie Phishing niet zullen herkennen.
De interventie groep zal de beschikking krijgen over de handleiding ter preventie van Phishing (Deze wordt op de onderzoekslocatie uitgedeeld) en de tweede groep zal verder geen informatie over Phishing krijgen.
De interventie groep zal van te voren ruim de tijd krijgen om de handleiding te bestuderen en mag tijdens het onderzoek ook hier gebruik van blijven maken.
Vervolgens zullen de deelnemers van beide groepen 50 situaties voorgelegd krijgen, waarbij zij moeten bepalen welke situaties Phishing aanvallen bevatten. De situaties zullen goede en valse websites en emails bevatten. Bij elke situatie wordt de vraag gesteld: "Hebben we hier te maken met Phishing?" De deelnemers kunnen hier 'Ja' of 'Nee' beantwoorden, indien 'Ja' moeten zij kort toelichten waarom hier sprake is van Phishing. De waarom vraag zal hier worden gesteld om de mensen te kunnen onderscheiden die toevallig goed gegokt hebben van de mensen die daadwerkelijk Phishing herkennen.
De situatie (website of email) zal een minuut zichtbaar zijn waarbij men binnen een minuut 'Ja' of 'Nee' moet antwoorden. Voor de toelichting krijgt men twee minuten. Tijdens deze toelichting is de situatie niet meer zichtbaar. Na 25 situaties zal een korte pauze in dezelfde ruimte worden ingelast, zodat zij bij de laatste 25 situaties nog even geconcentreerd zullen zijn. Tijdens deze pauze mogen de deelnemers niet met elkaar in contact komen om zo kennis te kunnen delen. Na de pauze zullen de laatste 25 situaties worden voorgelegd. De verdeling van valse en goede situaties zullen voor en na de pauze gelijk zijn.
Bij de interventie groep zal er tevens na afloop gevraagd worden om een korte enquete in te vullen over de bruikbaarheid van de handleiding.
Metingen effectiviteit en bruikbaarheid handleiding:
De effectiviteit van de handleiding zal bepaald worden aan de hand van de volgende variabelen:
- Aantal keer dat Phishing is herkend (indien antwoord ja en er is daadwerkelijk sprake van Phising) = a
- Aantal keer dat Phishing niet wordt herkend (indien antwoord ja maar er is geen sprake van Phising of indien antwoord nee en er is wel sprake van Phising) = b
- Totaal aantal situaties = 50 = a + b
- Aantal keer dat Phishing is herkent met de juiste toelichting = c
- Aantal keer dat Phishing is herkent met onjuiste toelichting = d
- Waarbij c+d = a.
Voor elke groep zullen de volgende percentages worden berekend, deze percentages zullen tussen beide groepen worden vergeleken:
- "Juist herkend" = a / (a +b) * 100 %
- "Juist herkend en juiste toelichting"= c / a * 100%
Op basis van deze percentages kan bepaald worden of de handleiding effectief is. Als de handleiding een effectief middel is om Phising te herkennen en dus te kunnen voorkomen zal men in de interventiegroep Phishing vaker herkennen. Het percentage "Juist herkend" zal dus in de interventiegroep hoger zijn dan in de controle groep. Daarnaast zal men in de interventiegroep ook vaker een juiste toelichting geven indien het antwoord "Ja" is, omdat men Phishing ook echt herkend. Op deze manier kun je onderscheid maken in deelnemers die toevallig het juiste antwoord gokken en deelnemers die Phishing herkennen. Als de handleiding effectief is dan zal het percentage "Juist herkend en juiste toelichting" in de interventiegroep ook hoger zijn dan in de controle groep.
"Juiste herkend" en "Juist herkend en juiste toeliching" zijn ratio meetvariabelen.
De bruikbaarheid van de handleiding zal bepaald worden aan de hand van ordinale variabelen. Hiervoor zal een lijst worden opgesteld met een aantal stellingen die beantwoord worden met:
{helemaal mee oneens, mee oneens, neutraal, mee eens, helemaal mee eens}.
Stellingen die gebruikt kunnen worden zijn:
- De handleiding is in een duidelijke taal geschreven.
- De handleiding is duidelijk in zijn uitleg over wat Phishing is.
- De handleiding is duidelijk in zijn uitleg over hoe te handelen bij Phishing.
- De handleiding is eenvouding toepasbaar in de praktijk.
- De handleiding heeft mij nieuwe informatie over de gevaren van internet gegeven.
- De handleiding is voor minder ervaren computergebruiker ook bruikbaar.
- De handleiding heeft mij geholpen bij het herkennen van Phishing
- De handleiding is volledig.
Op basis van de antwoorden kan men zien waar de handleiding nog verbetering behoeft. Er wordt aangenomen dat, indien > 50% van de deelnemers een vraag beantwoord met 'mee oneens' of 'helemaal mee oneens' dit punt van de handleiding nog verbetering behoeft.
Opmerking: algemeenheden
Bijv: "de vragen in de enquete zullen TAP zijn"
Opmerking: verzamelbaarheid van informatie
Kan lastig zijn voor security!- ↑ Todd Exum, Dr. Phil Lunsford, (2007) "Graphical Passwords". Communication Security