Salasanojen hallintasovellusten vaikutus salasanojen käyttöön

Abstract

Käyttäjätilin vaativien verkkopalveluiden lisääntyessä vuosi vuodelta, kasvaa myös ihmisten tarve salasanoille. Käyttäjien turvallisuuden takaamiseksi salasanojen täytyy olla tarpeeksi vahvoja, niiden tulisi olla uniikkeja eri palveluissa, eikä niitä tulisi säilyttää muiden ihmisten ulottuvilla. Salasanakäyttäytyminen ei kuitenkaan ole juurikaan muuttunut ajan saatossa, sillä käyttäjien yleisimmiksi salasanoiksi paljastuu toistuvasti pitkät listat heikkoja salasanoja, jotka ovat murrettavissa sekunnin murto-osissa. Tähän johtaa muun muassa se, että ihmiset usein valitsevat käytännöllisyyden ja helppouden ennen turvallisuutta, ja haluavat säästää muistikapasiteettiaan tietoturvan kustannuksella. Tähän vastaamaan on luotu salasanojen hallintasovelluksia, joiden avulla voidaan luoda, varastoida ja syöttää salasanoja. Salasanojen hallintaa helpottavista ominaisuuksista huolimatta hallintasovellusten käyttö on kuitenkin jäänyt vähäiseksi verkkopalveluiden käyttäjien keskuudessa. Lisäksi niiden käyttäminen pelkkinä salasanalompakoina ei vielä tarkoita salasanojen vahvuuden tai monimuotoisuuden parantumista. Salasanojen hallintasovelluksiin liittyen tutkimusta on paljon niiden käyttöön, käytettävyyteen ja turvallisuuteen osalta. Hallintasovellusten varsinaista vaikutusta käyttäjien salasanoihin on kuitenkin tutkittu vähän. Tässä tutkimuksessa täydennettiin kyseistä aukkoa selvittämällä, miten salasanojen hallintasovellusten ottaminen käyttöön on vaikuttanut käyttäjien salasanojen vahvuuteen, uniikkiuteen, sekä yleisesti niiden hallintaan. Tutkimuksessa toteutettiin teemahaastattelu 13 salasanojen hallintasovellusta käyttäneelle henkilölle selvittäen heidän näkemyksiään salasanojen käyttönsä muutoksista. Haastattelut analysoitiin temaattisella analyysillä. Tutkimuksen tulosten mukaan salasanojen hallintasovellusten käytön myötä käyttäjien salasanat ovat vahvempia ja monimuotoisempia. Keskeisinä syinä tälle ovat hallintasovellusten tarjoamat työkalut kuten salasanageneraattori sekä salasanojen vahvuusmittari. Lisäksi käyttäjien vähemmän turvalliset tavat hallita salasanojaan, kuten niiden kirjoittaminen paperille tai salaamattomaan digitaaliseen muotoon, ovat hallintasovellusten käytön myötä joko vähentyneet tai jääneet kokonaan. Tulokset täydentävät aiempaa tutkimusta salasanojen hallintasovellusten osalta. Ne indikoivat, että hallintasovelluksen käyttöön ottamisella on myös käytännössä useita vaikutusmekanismeja parantuneeseen salasanakäyttäytymiseen.

As the number of online services demanding user accounts grows every year, so does the people’s need for passwords. To guarantee the safety of users, the passwords must be strong enough, they need to be unique in different services, and they shouldn’t be stored accessible to other people. However, password behavior has not changed much over time, as users' most common passwords are repeatedly revealed to be a long list of weak passwords that can be cracked in fractions of a second. This stems from, among other things, the fact that people often choose convenience and ease before security and want to save their memory capacity at the expense of information security. Password managers have been created to answer this challenge. They can be used to create, store, and fill in passwords. Despite the features that facilitate password management, the use of password managers has remained low among users of online services. In addition, using them as password wallets does not yet mean an improvement in the strength or diversity of passwords. There is a lot of research related to password managers regarding their use, usability, and security. However, the actual effect of password managers on users' passwords has been little studied. This study was used to fill that gap by researching how the adoption of password managers has affected the strength and uniqueness of users' passwords, as well as password management in general. In the study, a semi-structured interview was conducted with 13 password manager users, finding out their views on changes in their use of passwords. The interviews were analyzed using thematic analysis. The results of the study show that with the use of password managers, users' passwords are stronger and more unique. The main reasons for this are the tools provided by the password managers, such as the password generator and the password strength meter. In addition, users' less secure ways of managing their passwords, such as writing them down on paper or in an unencrypted digital format, have either decreased or completely disappeared due to the use of password managers. The results complement previous research on password managers. They indicate that implementing a password manager has several impact mechanisms on improved password behavior in practice as well.