Käyttäjän tunnistus verkkopalveluissa : FIDO-teknologian ja monivaiheisen tunnistautumisen turvallisuus ja käytettävyys

Abstract

Digitalisaation kiihtyessä arkipäiväiset palvelut ovat yhä useammin saatavilla verkkopalveluina. Näin ollen käyttäjän luotettavan tunnistuksen merkitys korostuu etenkin tietoturvakriittisissä prosesseissa, kuten terveyspalveluihin kirjautuessa, kun ihmisten välinen suora vuorovaikutus vähenee. Tekstipohjaiset salasanat ovat edelleen hallitseva menetelmä käyttäjän tunnistuksessa verkkopalveluissa todennäköisesti niiden pitkän historian ansiosta, huolimatta monista turvallisuuspuutteista, joita kyseisen menetelmän käytössä on havaittu vuosien varrella. Tämän kirjallisuuskatsauksena tehdyn tutkielman tarkoituksena oli selvittää neljän vaihtoehtoisen tunnistautumismenetelmän teknisiä turvallisuusseikkoja, sekä niiden käytettävyyttä käyttäjän tunnistuksessa. Tavoitteena oli selvittää olisiko jokin menetelmä jo tarpeeksi kypsä molempien tarkasteltavien attribuuttien osalta korvaamaan tekstipohjaiset salasanat käyttäjän tunnistuksessa, sekä kuinka paljon loppukäyttäjien kokemus niiden käytettävyydestä vaikuttaa niiden hyväksyntään. Erityisenä kiinnostuksen kohteena oli se, kuinka loppukäyttäjät kokevat menetelmien teknisen turvallisuuden ja käytettävyyden yhteensovittamisen tärkeyden. Tulokset osoittavat käytettävyyden olevan merkittävämpi tekijä loppukäyttäjille kuin niiden tekninen turvallisuus huolimatta siitä, että useimmat käyttäjät ovat tietoisia käytettävyyden ja turvallisuuden välisestä käänteisestä riippuvuussuhteesta.

As digitalization accelerates and more services can be found online, the importance of user authentication especially in authentication-critical processes is becoming more and more important as we interact with humans less and less. The text-based passwords reign supreme as the main part of user authentication on web services mainly because of the perceived usability of this familiar method, despite many known security weaknesses they possess. The main purpose of this paper was to gain knowledge of the technical security features and perceived usability of four alternative authentication methods already out there, by doing a literature review. The goal was to find out if there would be one or more methods mature enough to contest the text-based passwords as the new way of authentication in the future, and which factor is more important to end users: security or usability. Particular interest was in how the end users see the tradeoff between security and usability of different methods. The results implied that to the end user, the perceived usability of each authentication method is more important than the security, even though some studies show that most of the users are aware of the negative effect it usually has on security.