Exploring perceptions and coping behaviors regarding imposed multifactor authentication usage : a university case study

Abstract

Tietomurrot aiheuttavat yhä enenevissä määrin huolta, sillä ne voivat vahingoittaa merkittävästi ihmisiä, organisaatioita ja yhteiskuntia. Pelkät tehokkaat teknologiset työkalut eivät yksin takaa, että arkaluonteiset tiedot olisivat suojassa luvattomalta käytöltä – myös loppukäyttäjien tulee toimia turvallisella tavalla. Vaikka tietoturva on vahvasti riippuvainen käyttäjistä, ei heidän käyttäytymistään eikä varsinkaan sopeutumatonta käyttäytymistä ole tutkittu tarpeeksi. Tässä pro gradu -tutkielmassa tätä alitutkittua aihetta käsitellään tutkimalla käsityksiä ja selviytymismenetelmiä, joiden on todettu vaikuttavan käyttäjien käyttäytymiseen heidän kohdatessaan uhkia. Tutkimukseen sisällytettiin kaksi adaptiivista selviytymismenetelmää, vahvat salasanat ja monivaiheinen tunnistautuminen, sekä yksi epäadaptiivinen selviytymismenetelmä, suojautuva välttely. Tapaustutkimuksessa selvitettiin, oliko opiskelijoiden, jotka olivat vapaaehtoisesti aktivoineet monivaiheisen tunnistautumisen yliopiston käyttäjätililleen, ja opiskelijoiden, jotka eivät olleet aktivoineet sitä, välillä eroja käsityksissä ja aikomuksissa käyttää tutkittuja selviytymismenetelmiä. Aineisto kerättiin verkkokyselyllä, joka lähetettiin rajatulle joukolle Jyväskylän yliopiston opiskelijoista, ja se analysoitiin kvantitatiivisesti. Tutkimuksessa selvisi, että vapaaehtoisesti monivaiheisen tunnistautumisen aktivoineilla opiskelijoilla ei ollut korkeampaa uhkakuvaa eikä enempää tietoa, mutta he kokivat kykynsä käyttää monivaiheista tunnistautumista (minäpystyvyys) paremmaksi ja sen käyttämiseen vaadittavan vaivan (kustannukset) pienemmäksi verrattuna toiseen ryhmään. Aikomukset käyttää vahvoja salasanoja ja suojautuvaa välttelyä olivat molemmissa tutkituissa ryhmissä samalla tasolla. Tulokset osoittavat, että muutettaessa organisaatiossa käytettäviä tunnistautumismenetelmiä on hyödyllistä ottaa huomioon erityisesti minäpystyvyys ja kustannukset käyttäjän näkökulmasta. Kaiken kaikkiaan, käyttäjiä paremmin ymmärtämällä on mahdollista tarjota heille tukea tunnistautumismenetelmien käytössä ja siten parantaa organisaation turvallisuutta, mikä puolestaan voi auttaa vähentämään tietovuotoja, mainehaittoja ja taloudellisia menetyksiä. On kuitenkin selvää, että selviytymismekanismeja on syytä tutkia lisää erityisesti uhkien arviointitekijöiden vaikutusten ja epäadaptiivisen selviytymiskäyttäytymisen roolin selkiyttämiseksi tietoturvan kontekstissa.

Data breaches are a growing concern since they can significantly harm people, organizations, and societies. To protect sensitive data against unauthorized access, efficient technological tools alone do not guarantee security – end users should also act in a secure way. Even though information security heavily depends on users, their behavior and especially maladaptive behavior has been understudied. This thesis addressed this gap by studying several perceptions that have been identified to affect users’ behavior and coping methods when faced with a threat. Two adaptive coping methods, strong passwords and multifactor authentication, as well as one maladaptive coping method, defensive avoidance, were included in the study. The case study examined whether there were differences in perceptions and intentions to use the studied coping methods between students who had voluntarily activated multifactor authentication for their university user account and students who had not activated it. The data was collected by an online survey sent to a selected group of students at the University of Jyväskylä and analyzed quantitatively. The study found that students who voluntarily activated multifactor authentication did not have any higher perceptions of threat nor more knowledge, but they found their capability to use multifactor authentication (self-efficacy) higher and the effort required to use it (response costs) lower compared to the other group. The intentions to use strong passwords and defensive avoidance were found to be at similar levels in both studied groups. The results indicate that when making changes in the authentication methods used at an organization, it is useful to consider especially the self-efficacy and the response costs from the user’s point of view. Overall, through understanding the user better it is possible to support users in the use of authentication methods and thus improve the organization’s security, which in turn can help in reducing security breaches, reputational damages, and financial losses. It is, however, evident that more research into coping mechanisms is needed, especially to further clarify the effects of threat appraisal and the role of maladaptive coping behaviors in the context of information security.