Turvallisuus vai käyttömukavuus – valitse yksi?

Katri Grenman 023

Suurin osa meistä törmää päivittäin lukuisiin erilaisiin tunnistautumismenetelmiin: tietokoneiden ja palveluiden salasanoihin, korttien tunnuslukuihin, nettipankkimaksujen varmennuksiin – jopa ovien lukot aukeavat vain oikeanlaisella avaimella.  Usein virtuaalisten tai fyysisten lukkojen avaaminen on niin rutiinia, ettei asiaa juurikaan joudu ajattelemaan.

Erikoistutkija Aino Mensonen kirjoitti aiemmin VTT:n blogissa käyttäjien asenteista pilvipalveluita kohtaan. Samassa tutkimusprojektissa paneuduttiin tarkemmin myös siihen, millaisia keinoja käyttäjät suosivat, kun he joutuvat tunnistautumaan tai kirjautumaan erilaisiin palveluihin.

Tutkimme VTT:n Owela-palvelussa suomalaisia ja italialaisia käyttäjiä ja heidän suhtautumistaan kymmeneen erilaiseen lähinnä verkko- ja mobiilipalveluissa käytettävään tunnistautumistapaan. Mukana oli niin perinteisiä menetelmiä (salasana, PIN-koodi, mobiilivarmenne, pankkitunnukset, älykortinlukija, sosiaalinen media), biometrisiä tunnisteita (kasvontunnistus, sormenjäljet ja ihonalainen RFID-siru) sekä uudenlainen kuvaan perustuva menetelmä, jossa käyttäjä koskettaa ruudulla olevasta kuvasta tiettyjä pisteitä määrätyssä järjestyksessä.

Käyttäjiltä kysyttiin heidän käsitystään menetelmien turvallisuudesta, käyttömukavuudesta ja ensivaikutelmaa vähemmän tunnetuista menetelmistä. Tarkoituksena oli selvittää, millaiset asiat ovat tärkeitä käyttäjille ja painottavatko he enemmän turvallisuutta vai käyttömukavuutta. Halusimme myös kuulla, millaisia asioita käyttäjät haluavat tietää tunnistautumismenetelmistä.

Valtaosa foliopipojen ja täysin avoimien ovien välimaastossa

Suurin osa meistä tavallisista digitaalisten palveluiden käyttäjistä sijoittuu turvallisuusajattelussaan jonnekin foliopipojen ja täysin avoimien ovien välimaastoon. Toiset painottavat enemmän turvallisuutta, toiset käyttömukavuutta ja kätevyyttä.  Joskus käy myös niin, että liiallinen tietoturva-asioiden rummuttaminen aiheuttaa eräänlaisen vastareaktion. Tuntuu epärealistiselta valita erillinen, vahva salasana jokaiseen palveluun, kun tunnuksia voi olla kymmeniä. Salasanojen hallintaohjelmat eivät vielä ole yleisessä käytössä, joten elämän realiteetit pakottavat kierrättämään salasanoja, tallentamaan niitä selaimen muistiin tai kirjoittamaan lapuille.

On myös muistettava, että läheskään kaikki online-palvelut eivät ole käyttäjän kannalta samanarvoisia, sillä ne eivät kaikki sisällä käyttäjän näkökulmasta mitään varjeltavaa. Jos satunnaiselle nettipalstalle on luotava tunnus voidakseen kysyä yhden kysymyksen, käyttäjä tuskin varjelee tuota tunnusta kuin valtionsalaisuuksia. Jotta käyttäjät saadaan sitoutumaan tietoturvaan ja oikeanlaiseen toimintaan, turvallisuustoimenpiteet on sopeutettava käytettävään palveluun.

Uutisissa olevat tarinat isoista tietomurroista herättävät usein käyttäjät miettimään tietoturvaa tarkemmin. Vaikkei omia tietoja olisikaan viety tai väärinkäytetty, toimii tapaus muistutuksena siitä, mitä huonolla tuurilla voisi tapahtua itsellekin.

Käyttäjiä varoitellaan usein epäilyttävien linkkien klikkaamisesta. Käyttäjäehdotkin pitäisi lukea tarkkaan, ennen kuin hyväksyy ne OK-nappia painamalla. Jos käyttäjää kuormitetaan erilaisten ehtojen hyväksymisillä ja varoitteluilla, saattaa se vaikuttaa siihen, miten hän jatkossa suhtautuu järjestelmän antamiin ilmoituksiin. Nykyisellään esimerkiksi EU-direktiivi vaatii käyttäjältä suostumuksen evästeiden tallentamiseen, mikä onkin lisännyt merkittävästi ruudulle tulevia viestiruutuja, joita täytyy klikkailla. Jokainen ylimääräinen viesti aiheuttaa sen, että käyttäjä kiinnittää todennäköisesti vähemmän huomiota myöhempiin ilmoituksiin ja jotain tärkeääkin voi jäädä huomiotta.

Erityisesti sosiaalisen median tunnusten käyttäminen muihin palveluihin kirjautumiseen jakoi tekemässämme tutkimuksessa porukkaa voimakkaasti. Osan mielestä esimerkiksi Google- tai Facebook-tunnuksilla kirjautuminen on mukavan helppoa ja koska näiden firmojen uskotaan pitävän tarkasti huolta tietoturva-asioista, myös käyttäjän oman salasanan uskottiin pysyvän hyvässä turvassa. Jotkut taas pelkäsivät sitä, miten yritykset itse käyttäjän tietoja yhdistelevät ja hyödyntävät – tietoja kun pääsevät hyödyntämään myös mainostajat. Muun muassa tästä syystä esiintyi merkittävää haluttomuutta käyttää sosiaalisen median tunnuksia esimerkiksi verkkokauppojen kirjautumisen yhteydessä.

Pankkitunnuksiin luotetaan eniten

Tottumuksella on suuri rooli siinä, millaisia tunnistautumismenetelmiä ihmiset haluavat käyttää. Suomessa luotetaan pankkeihin ja on totuttu käyttämään pankkitunnuksia vahvaan tunnistautumiseen, ja niinpä pankkitunnukset päätyivätkin vertailussa kärkisijalle. Sähköinen henkilökortti ei useistakaan syistä ole saanut merkittävää jalansijaa Suomessa, joten sen rooli vahvassa tunnistautumisessa on kuluttajien parissa melko pieni.

Myös salasanat sijoittuivat suosikkimenetelmien vertailussa korkealle, onhan niitä lähes mahdotonta välttää nykyelämässä. Käyttäjille ei ole oikein ollut tarjolla selkeää, luotettavaa ja kätevää vaihtoehtoa salasanoille. Paljon riippuu myös palveluntarjoajasta, joka voi päättää itse palvelussaan käytettävän tunnistautumismenetelmän. Yksittäisellä käyttäjällä ei yleensä ole valtaa siihen, mitkä ovat salasanan vähimmäisvaatimukset – tai halutaanko tunnistautumiseen edes käyttää perinteistä salasanaa.

Kuviin perustuva tunnistautuminen sai varovaisen vastaanoton. Toisaalta menetelmää pidettiin uudenlaisena ja kiinnostavana, mutta toisaalta pelättiin käyttäjien valitsevan huonolaatuisia kuvia, joissa on liian vähän kiinnostavia pisteitä. Jatkotutkimuksessa olisi mielenkiintoista selvittää muun muassa se, valitsevatko ihmiset helposti kuvista samat pisteet. Moni käyttäjä liputti useaa tunnistautumistapaa yhdistelevän kirjautumisen puolesta. Kuvasta löytyvien yksityiskohtien näpyttely tietyssä järjestyksessä voisi olla hyvä lisä yhtenä palasena useamman kirjautumismenetelmän ketjussa.

Sormenjälkitunnistus suosiossa

Myös sormenjälkitunnistus oli sekä suomalaisten että italialaisten käyttäjien suosiossa. Viehätystä selittänee sen kätevyys – on mahdotonta unohtaa omia kirjautumistietojaan kotiin tai toisen takin taskuun. Todellista käyttökokemusta sormenjälkitunnistautumisesta on toistaiseksi vielä harvalla, ja tiedot siitä perustuvat lähinnä Hollywood-elokuviin tai älypuhelinsovelluksiin, joista kumpikaan ei anna ehkä parasta mahdollista kuvaa sormenjälkitunnistautumisen eduista.

Menetelmällä on myös omat heikkoutensa. Koska sormenjälkiä ei voi vaihtaa, joitakin käyttäjiä huoletti se, mitä käy, jos sormenjälkitieto pääsee vuotamaan vääriin käsiin. Jotkut pelkäsivät myös rikollisten alkavan leikellä sormia, mutta se on kuitenkin melko epätodennäköinen skenaario. Käytössä on useita tunnistusmenetelmiä, jotka varmistavat, että sormi on elävä. Voit myös olla varma, että jos joku leikkaa sormesi tai pakottaa sinua käyttämään sitä tunnistautumiseen, tiedät asiasta. Salasanat tai luottokorttitiedot saattavat joskus päätyä vääriin käsiin käyttäjän tietämättä tai huomaamatta. Joskus saattaa kestää kauankin, ennen kuin väärinkäytökset havaitaan.

Ihon alle injektoitavaa RFID-sirua pidettiin epäilyttävänä, ja etenkin sen mahdolliset terveysvaikutukset huolettivat. Myöskään kasvontunnistukseen ei oikein luotettu, sillä käyttäjät pelkäsivät, että heidän kasvojaan tai kuviaan voidaan käyttää hyväksi heidän huomaamattaan.

Tärkeintä käyttäjän kannalta tuntuu olevan se, että hän tuntee hallitsevansa itse omia tietojaan ja sitä, kuka muu niihin pääsee käsiksi. Kysymys on yleensä aina luottamuksesta, jonka rakentaminen on hidasta ja menettäminen nopeaa ja usein lopullista.

Tutkimus oli osa EIT Digitalin Trusted Cloud -ohjelmaa.

 

Katri Grenman

Tutkija

 

Lisätietoja:

European Trusted Cloud

EIT Digital provides European trusted cloud solutions and services to gain greater control over sensitive and personal data. This initiative is a European solution to store digital data and contents, so that consumers and businesses in Europe do not have to worry on where and by whom their valuable digital age assets are handled. Customers can define who will see data and how it is managed. Their data is secured by leading European experts in industry. By participating in the Trusted Cloud ecosystem organisations find new business opportunities in secure and private services.

VTT:n Blogi

Oi nuoriso, jäikö jälkiä pilvipalveluun

Kolme suosituinta tunnistautumismenetelmää Suomessa ja Italiassa:

Suomi

  1. Pankkitunnistautuminen
  2. Salasana
  3. Sormenjälkitunnistus

Italia

  1. Sormenjälkitunnistus
  2. Salasana
  3. Pankkitunnistautuminen

2 thoughts on “Turvallisuus vai käyttömukavuus – valitse yksi?

  1. Omakohtaista kokemusta sormenjälkitunnistuksesta: Se (tai ehkä pikemminkin sen toteutus) voi olla epämukavan hauras. Anturi ja algoritmi eivät välttämättä erota kovinkaan hyvin satunnaisia tahroja ja likahiukkasia ihopoimuista, vaan sormenpää lakkaa kelpaamasta, kun se likaantuu hiukan – tai kun siinä vertailujälkeä tallennettaessa ollut tahra tai likahiukkanen häviää ..

    Like

    • Hei!
      Kiitos kommentistasi! Näin itsekin arvioimme – käyttäjien ajatus sormenjälkitunnistuksen kätevyydestä perustuu usein ihannetilanteeseen, mutta todellisuus voi olla toisenlainen. Jos mietitään sormenjälkitunnistautumisen yleistymistä, täytyy olla aivan varma, ettei likatahra sormessa estä ihmisiä esim. pääsemästä omaan kotiinsa.

      Like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s