Security in public WiFi networks. A study regarding how users risk perception in public WiFi networks can be improved

Öppna WiFi-nätverk är i dagsläget en av de dominerande teknikerna för användare att få internetåtkomst på allmänna platser. Problematiken ligger i att de är designade med fokus på tillgänglighet snarare än säkerhet – något som användare överlag inte är medvetna om. Användare som oaktsamt använder sig av nätverken utsätter sig för risken att känslig information råkar i fel händer, vilket bland annat kan leda till identitetsstölder. Då användare ofta saknar kunskaper om säkerhetsaspekter vid interaktion med öppna WiFi-nätverk tyder all forskning på att de måste utbildas och informeras om de risker de utsätter sig för – men talar inte om hur det skall gå till. Därför ställde vi oss frågan: Hur kan medvetenheten om säkerhetsrisker i öppna WiFi-nätverk ökas? Utifrån tidigare forskning kring tekniska och psykologiska aspekter kopplade till problemområdet valdes relevanta metoder för datainsamlingen. Genom en enkätundersökning kunde användares kunskap om problemområdet analyseras och med hjälp av en intervju med en områdesexpert fick vi ta del av hans syn på problemområdet samt fick värdefulla råd om var arbetets fokus bör ligga. Slutligen utfördes en rad observationer där vi visade hur enkelt det är att ta del av informationen som skickas över öppna nätverk. Då ingen information från observationerna kunde presenteras, på grund av etiska och juridiska skäl, valde vi att exemplifiera genom ett praktikfall där vi visar hur användarnamn och lösenord skickas i klartext. På grund av områdets komplexitet var vi tvungna att avgränsa diskussionen till det område vi fann vara mest problematiskt. Juridiskt sett är området en gråzon där ett flertal lagrum är involverade, men övervakning av trafik i öppna WiFi-nätverk kan i Sverige göras lagligt. Slutsatsen grundar sig på tidigare forskning samt visar på att det finns ett flertal säkerhetsrisker vid interaktion med öppna WiFi-nätverk och att det går att utnyttja informationen utan svårigheter – även för en angripare utan omfattande tekniska kunskaper. Genom att visualisera potentiella säkerhetsrisker och tvinga användaren att göra aktiva val kan dennes medvetandegrad höjas och vidare kan de informeras om riskerna.Public WiFi networks is one of the dominant technologies for users to get public internet access. The problem is that the networks are designed for accessability rather than security – a problem users seldom are aware of. Users who carelessly access WiFi networks may reveal sensitive information which, among other things, can lead to an identity theft. Previous research suggests that users must be educated and informed about the risks they incur, but not how this should be done. Thus, we asked the question: "How can users’ awareness of security threats in public WiFi networks be improved?" Based on previous research related to the technical and psychological aspects of the subject, relevant methods for data gathering were selected. Using a questionnaire we examined the users’ knowledge and attitudes towards the problem area. Through an interview with a security expert we got an experts view on public WiFi security, as well as valuable advice on what to focus on in our study. Finally, a series of observations were made where we showed how easy it is to access the information sent over the networks. Since no information from the observations could be presented, due to the ethical and legal aspects, we chose to illustrate a case study, where we presented how usernames and passwords are sent in clear text format. As the area of the study was found to be very complex, we narrowed down our discussion to the area we thought to be the most relevant. Legally, our research method was found to be somewhat in a gray zone where multiple Swedish laws came in to play. However, we were able to determine that monitoring public WiFi networks is legal in Sweden. Our conclusion is based on previous research, which shows that there are many security risks involved in interactions with public WiFi networks and can be abused by an attacker even without extensive technical knowledge. By visualizing potential threats and force users to make active choices, their awareness could be increased when using public WiFi networks. Keywords: Public WiFi, WiFi security, riskperception, security threat