Kohti parempaa tietoturvaa : tutkimus monivaiheisesta tunnistautumisesta

Abstract

Keskustelu tietoturvallisuudesta on lisääntynyt viime aikoina runsaasti. IT-alan ammattilaisten keskuudessa on vahva konsensus siitä, että salasana on riittämätön mekanismi tietoturvalliseen autentikointiin. Tässä pro gradu -tutkimuksessa tutkittiin salasanoja ja vaihtoehtoisia autentikointimenetelmiä sekä etenkin monivaiheiseen tunnistautumiseen liittyviä kokemuksia käyttäjän näkökulmasta. Ihmisten salasanoista ja salasanakäyttäytymisestä johtuen salasanat autentikointimenetelmänä on turvallisuuden kannalta vajavainen. Monivaiheinen tunnistautuminen on tullut paikkaamaan tätä aukkoa. Empiirinen osuus toteutettiin puoliavoimena teemahaastatteluna ja haastateltavia oli yhdeksän. Olennaisimpana tuloksena tässä tutkimuksessa löydettiin, että monivaiheinen tunnistautuminen on varsin toimiva keino turvallisuuden parantamiseen. Sen käyttöön ja käytettävyyteen ei liity juurikaan ongelmia, jolloin se on helppo ottaa käyttöön yksityiselämässä sekä yrityksissä. Toisena tärkeänä asiana havaittiin, että käyttäjät eivät ole juurikaan varautuneet laitteen rikkoontumiseen tai katoamiseen, eli suurin osa ei tiennyt mitä autentikointiin käytettävän laitteen rikkoontumisesta voi seurata. Viimeisenä havainnoitiin, että tietoturvatietoisuuden lisääminen voi parantaa salasanakäyttäytymistä sekä edistää monivaiheisen tunnistautumisen käyttöönottoa.

There is lot of discussion about cybersecurity nowadays. IT professionals have consensus that passwords are not reliable enough to be the major authentication method anymore. In this master’s thesis, the main research point was alternative authentication methods and multi factor authentication and the experiences of usage of those. In the research. The main problem with passwords as authentication method is user’s bad password behavior, therefore the multi factor authentication should be implemented broadly to increase the security of authentication. The empirical study was done by using half-open theme interview and there were 9 participants. The main finding of this research was that multi factor authentication is pretty good method to increase the security. The implementation and usage were easy and simple and there were just minor problems with usage, even for not so tech savvy person. The second finding was that users are not well prepared for the loss of the equipment used to verify the multi factor authentication. The third finding was that by giving education and training in cyber security and good password manners the usage of multi factor authentication could also increase.