Salasanan hallintamenetelmien käyttöönoton mahdollistajat ja esteet

Tämä pro gradu- tutkielma käsittelee salasanan hallintajärjestelmiä. Tutkielmassa käsiteltävät salasanan hallintajärjestelmät ovat salasanojen hallinta muistamalla, salasanojen hallinta paperilla ja salasanan hallinta digitaalisella salasanan hallintajärjestelmällä. Digitaaliset salasanan hallintajärjestelmät jaetaan kahteen pääluokkaan sen perusteella, tallennetaanko salasanat sisältä tietokanta käyttäjän oman laitteen kiintolevylle vai palveluntarjoajan pilvipalveluun. Pro gradu- tutkielmassa käsitellään ensin salasanoihin liittyviä seikkoja, kuten salasanojen käsittelyä verkkopalveluissa, käyttöä ihmisten näkökulmasta sekä yleisesti haitallisimpia salasanan hallintatapoja. Salasanan hallintajärjestelmät esitellään pääpiirteittäin. Tutkimuksen empiirisessä vaiheessa haastateltiin laadullisen tutkimuksen keinoin salasanan hallintajärjestelmiä käyttäviä ja niitä ei käyttäviä henkilöitä. Keskeisimmät löydökset tutkimuksessa esittävät, että tällä hetkellä salasanoihin liittyvät suurimmat uhat ovat salasanojen heikko laatu sekä salasanojen uudelleen käyttäminen. Salasanojen uudelleen käyttäminen asettaa käyttäjän salasanat laadusta riippumatta uhan alaisuuteen, sillä salasanoja varastetaan jatkuvasti verkkopalveluista. Kun käyttäjä uudelleen käyttää salasanoja, on silloin yhdestä palvelusta vuotanut salasana avain kaikkiin käyttäjän muihin palveluihin. Tätä voidaan välttää käyttämällä ainutlaatuisia salasanoja jokaisessa palvelussa, joka väistämättä ajaa käyttäjän ongelmaan, jossa hänen on mahdotonta muistaa kaikkia salasanojaan. Tähän vastauksena on otettava käyttöön jokin digitaalisessa ympäristössä toimiva salasanan hallintajärjestelmä. Tutkimuksessa todettiin, että käytettävyyden ja tietoturvan näkökulmasta parhaaseen ja käytettävimpään lopputulokseen päästään, kun salasanan hallintajärjestelmä on pilvipohjainen, siihen on asetettu vahva pääsalasana, joka ei ole käytössä muualla sekä palvelussa on käytössä kaksi vaiheinen tunnistaminen. Näin voidaan välttää salasanojen uudelleen käyttäminen sekä käyttää generoituja merkityksettömiä salasanoja joka palvelussa. Näin voidaan toimia sillä, käyttäjän ei tarvitse muistaa salasanoja itse. Käyttäjän tarvitsee enää muistaa ainoastaan yksi salasana, jonka avulla hän pääsee käsiksi muihin salasanoihin. Empiirisen osion mukaan käyttäjät myös kokevat tämän käytännölliseksi ja järkeväksi tavaksi käsitellä käyttäjätunnuksia ja salasanoja.