| Summary: | Tämä pro gradu- tutkielma käsittelee salasanan hallintajärjestelmiä. Tutkielmassa
käsiteltävät salasanan hallintajärjestelmät ovat salasanojen hallinta muistamalla,
salasanojen hallinta paperilla ja salasanan hallinta digitaalisella salasanan
hallintajärjestelmällä. Digitaaliset salasanan hallintajärjestelmät jaetaan kahteen
pääluokkaan sen perusteella, tallennetaanko salasanat sisältä tietokanta
käyttäjän oman laitteen kiintolevylle vai palveluntarjoajan pilvipalveluun. Pro
gradu- tutkielmassa käsitellään ensin salasanoihin liittyviä seikkoja, kuten salasanojen
käsittelyä verkkopalveluissa, käyttöä ihmisten näkökulmasta sekä yleisesti
haitallisimpia salasanan hallintatapoja. Salasanan hallintajärjestelmät esitellään
pääpiirteittäin. Tutkimuksen empiirisessä vaiheessa haastateltiin laadullisen
tutkimuksen keinoin salasanan hallintajärjestelmiä käyttäviä ja niitä ei käyttäviä
henkilöitä. Keskeisimmät löydökset tutkimuksessa esittävät, että tällä hetkellä
salasanoihin liittyvät suurimmat uhat ovat salasanojen heikko laatu sekä
salasanojen uudelleen käyttäminen. Salasanojen uudelleen käyttäminen asettaa
käyttäjän salasanat laadusta riippumatta uhan alaisuuteen, sillä salasanoja varastetaan
jatkuvasti verkkopalveluista. Kun käyttäjä uudelleen käyttää salasanoja,
on silloin yhdestä palvelusta vuotanut salasana avain kaikkiin käyttäjän muihin
palveluihin. Tätä voidaan välttää käyttämällä ainutlaatuisia salasanoja jokaisessa
palvelussa, joka väistämättä ajaa käyttäjän ongelmaan, jossa hänen on mahdotonta
muistaa kaikkia salasanojaan. Tähän vastauksena on otettava käyttöön jokin
digitaalisessa ympäristössä toimiva salasanan hallintajärjestelmä. Tutkimuksessa
todettiin, että käytettävyyden ja tietoturvan näkökulmasta parhaaseen ja
käytettävimpään lopputulokseen päästään, kun salasanan hallintajärjestelmä on
pilvipohjainen, siihen on asetettu vahva pääsalasana, joka ei ole käytössä muualla
sekä palvelussa on käytössä kaksi vaiheinen tunnistaminen. Näin voidaan
välttää salasanojen uudelleen käyttäminen sekä käyttää generoituja merkityksettömiä
salasanoja joka palvelussa. Näin voidaan toimia sillä, käyttäjän ei tarvitse
muistaa salasanoja itse. Käyttäjän tarvitsee enää muistaa ainoastaan yksi salasana,
jonka avulla hän pääsee käsiksi muihin salasanoihin. Empiirisen osion mukaan
käyttäjät myös kokevat tämän käytännölliseksi ja järkeväksi tavaksi käsitellä
käyttäjätunnuksia ja salasanoja.
This pro gradu thesis is focusing in password management systems. Thesis will
go through three different password management systems, which are remembering
passwords, writing passwords down and using a digital password management
software. Digital password management systems are divided in to two
main groups by the meaning which they save users passwords. These two ways
are saving them to the users’ hard drive and to a cloud service provided by the
password management system. Thesis will first handle password related topics
and then go through the three ways to handle the passwords. The study was
made by interviewing persons that used a digital password management software
and people who did not. These results were compared to each other. Important
findings during the study were that password related threats focus on
password reuse and using weak passwords. Password reuse is harmful because
of the fact that passwords get stolen from the services databases all the time.
When passwords are reused and the password leaks from one service, it means
that the password can be used to log in as the user to multiple services. This can
be managed by using a different password to every service that the user uses.
This creates a problem, that the users cannot remember many passwords and the
answer to that is to use a password manager that works in the digital environment.
The findings suggest that the best way when balancing usability and information
security is to use a cloud-based password manager, generate meaningless
strings of characters as passwords to services, have a strong master password to
the manager and have two factor authentications enabled in the service. By using
this technique, the user can avoid password reuse and still maintain usability.
This also means, that the user has to remember only one password in order to
access all the other passwords. The interview part suggests also that this kind of
a way to handle passwords is found practical and reasonable by users using it as
way to handle their passwords.
|
|---|