Password usage, management, and perceptions of expert users

Abstract

Ihmisten tietoturva kautta maailman riippuu salasanojen varassa, mutta salasana todennusmenetelmänä toimii tarkoitetulla tavalla vain, jos käyttäjät noudattavat turvallisia salasanakäytänteitä. Siitä huolimatta tietoturvan kannalta heikot salasanat ovat yleisiä, koska salasanojen uudelleenkäyttö ja turvallisten käytänteiden kiertäminen on helpompaa kuin lukuisien monimutkaisten salasanojen muistaminen. Tämän käytettävyyden ja tietoturvan välisen ristiriidan ymmärtäminen on tärkeää, jotta salasanasta voidaan kehittää tietoturvan kannalta tehokkaampi todennusmenetelmä. Salasanojen laajasta tieteellisestä tutkimuksesta huolimatta on vielä epäselvää, mitkä kaikki tekijät vaikuttavat käyttäjien salasanojen käyttöön, hallintaan ja niihin liittyviin asenteisiin. Tämän tutkimuksen tavoitteena on tutkia tätä aukkoa tieteellisessä kirjallisuudessa tarkastelemalla asiantuntijakäyttäjien salasanojen käyttöä. Toteutetun empiirisen kyselytutkimuksen tarkoitus oli selvittää, onko kahden eri osaamisalueen omaavan asiantuntijakäyttäjäryhmän välillä merkittävää eroa salasanojen käytön, hallinnan ja asenteiden suhteen. Kyselytutkimuksen tulosten analyysin pohjalta vaikuttaa siltä, että tarkasteltujen ryhmien välillä on eroa eri tilityyppien tärkeyden tulkinnassa sekä salasanojen muistiinkirjoittamisessa.

Information security of people around the world is reliant on password authentication, an imperfect security mechanism which is effective only when users follow guidelines and secure practices. Yet insecure practices are widespread among users, as reusing passwords and circumventing guidelines is easier than memorizing a wide array of unique and complex passwords. Understanding this conflict between usability and security is vital for designing better password guidelines and thus improving the effectiveness of password authentication as a security mechanism. While password usage has been subject to much research, there remains a clear research gap on which factors affect user’s password usage, management, and perceptions. The purpose of this study is to explore this research gap by studying password behaviour of expert users, particularly if having a different area of expertise within the field of information technology results in a difference in password behaviour. An empirical study was conducted using a survey study, with participants from two different groups of expert users with different areas of expertise participating in the survey. Analysis of the survey responses suggests there are differences between the groups, particularly when it comes to the perceived importance of account types and writing down one’s passwords.