You are here: TUTWiki>Tietoturva/Tutkielmat>LehtolaA?>2005-12

Asta Grönlund:

http://moodle.tut.fi/archive/user/view.php?id=5204&course=201

Tietoturvamekanismit ja käytettävyys

Johdanto

Tässä harjoitustyössä perehdytään tietoturvamekanismien käytettävyyteen ja etsitään vastauksia siihen, miten käyttäjä tulee ottaa huomioon tietoturvamekanismia suunniteltaessa. Voiko olla, että tietoturvamekanismi on sinällään tehokas, mutta sen käytön vaikeus estää käyttäjää saamasta mekanismista tai sitä käyttävästä sovelluksesta sen kaiken hyödyn irti? Tietoturvan huomioiminen on usein pakollista ja siksi se aiheuttaa omat haasteensa käytettävyydelle. Tietoturvamekanismien suunnitteleminen kaipaa siksi usein hieman eri priorisointia ja eri näkökulmia käytettävyyden kannalta kuin tavallisesti, joitain muita järjestelmiä suunniteltaessa.

Käytettävyyden ja tietoturvallisuuden suhtautumista toisiinsa tutkitaan tapauskohtaisesti etsimällä artikkeleita tietoturvamekanismien käytettävyyden tutkimuksista. Mitään yleispätevää sääntöä tietoturvamekanismien käytettävyydelle ei pyritä löytämään, mekanismien ollessa yksittäisiä, mutta joitain yhteisiä ongelmia saattaa usein esiintyä.

Johdatusta käytettävyyteen

Tuotteen käytettävyys on tärkeää, jotta tuotteen ja sen käyttäjän yhteistoiminta voi olla tehokasta ja käyttäjän kannalta miellyttävää. Jos tuote on käytettävyydeltään huono, ei käyttäjä välttämättä saa tuotteesta irti kaikkia sen hyötyjä. Siksi käytettävyyden huomioiminen tuotteen kehittämisessä auttaa tekemään toiminnoista käyttäjän intuitioiden mukaisia ja mahdollisimman johdonmukaisia. Käytettävää sovellusta suunniteltaessa tulee muistaa siis mm. johdonmukaisuus, muistettavuus, opittavuus, virheettömyys, virheiden sieto, hallittavuus ja opastus.[4] Usein saattaa olla haasteellista arvioida tuotteen tai palvelun käytettävyyttä, sillä käytettävyysaspektit käyvät ilmi lähinnä silloin, kun käytettävyydessä on puutteita. Näin ollen, käytettävyytenä voidaan pitää sitä, jos tuotetta pystyy käyttämään ilman turhautumista. Tarkemmin määriteltynä tuote tai palvelu on käytettävä, kun käyttäjä voi tehdä sillä haluamansa asian odotetulla tavalla ilman esteitä, hidasteita, epäilyksiä tai kysymyksiä. [11]

Käytettävyyden suunnittelu- ja arviointimenetelmiä

Käytettävyys kannattaa ottaa huomioon läpi koko tuotteen elinkaaren. Jälkikäteen tarvittavat korjaukset vähenevät, kun jo tuotteen suunnittelussa huomioidaan käyttäjäryhmien tarpeet ja logiikat. Jo tuotteen prototyyppejä voidaan käytettävyysarvioida. Esimerkiksi kun uutta sovellusta aletaan määrittelemään ja suunnittelemaan on aluksi hyvä suunnitella käyttöliittymäkuvia, joiden pohjalta voidaan rakentaa paperiprototyyppi. Paperiprototyyppi koostuu käyttöliittymäkuvista, joilla voi demonstroida tuotteen käyttöä. Paperiprototyyppien testaaminen auttaa löytämään käytettävyysongelmat aikaisessa vaiheessa ja käyttäjätkin uskaltavat sanoa mielipiteensä rohkeammin, kuin sovellusta ei ole vielä toteutettu. Paperiprototyyppien etu on myös niiden halpa materiaali ja nopea muokattavuus.[4][9][2]

Käytettävien tuotteiden suunnittelemiseen on olemassa paljon erilaisia tekniikoita, joita voidaan hyödyntää tuoteprojektin eri vaiheissa. Suunnittelun alkuvaiheessa voidaan käyttää esimerkiksi erilaisia tutkimustapoja, joilla havainnoidaan käyttäjän toiveita, tarpeita ja käyttäytymistä. Esimerkiksi etnografisessa tutkimuksessa havainnoidaan käyttäjää paikoissa, joissa he normaalisti käyttäisivät tuotetta. Tällä tavalla voidaan kehittää käyttäjäprofiileja, skenaarioita ja tehtäväkuvauksia, jotka voidaan ottaa huomioon suunnittelupäätöksen tekemisessä. Myös ryhmähaastattelujen kautta voidaan saada olennaista käyttäjälähtöistä tietoa alkuvaiheessa tuotekehitystä. Ryhmähaastattelussa voidaan esittää piirroksia ja prototyyppejä, joiden tarkoituksena on selvittää osallistujilta, kuinka hyväksyttävä ja tyydyttävä tuleva tuote olisi ja kuinka sitä voisi parantaa. Loppukäyttäjät voidaan ottaa myös mukaan koko suunnitteluprosessiin, mitä usein tehdäänkin organisaatioissa sisäisiä järjestelmiä suunnitellessa. [11]

Kun kohdekäyttäjät ja tuotteen toiminnallisuus on jollain tapaa jo selvät, läpikäyntejä käytetään tutkimaan, miten käyttäjä saattaisi selvitä tuotteen kanssa. Tällöin suoritetaan jokin todellinen tehtävä tuotteella ja kirjataan ylös esiintyneet ongelmat tai huolet. Tehtävän suorittaja voi olla käyttäjä tai hän voi eläytyä käyttäjän asemaan. Usein käyttäjän rooliin asettuminen saattaa kuitenkin olla hankalaa, minkä takia arviointiin on suositeltava ottaa mukaan oikeita käyttäjiä. Käytettävyyden arvioinnissa voidaan myös käyttää asiantuntija-arvioita tai heuristisia arvioita. Asiantuntija-arvioinnin tekee yleensä käytettävyysspesialisti, joka ei ole kiinteästi mukana projektissa. Asiantuntija tekee arvion käyttämällä hyväksi esimerkiksi yleisesti hyväksyttyjä käytettävyysperiaatteita eli heuristiikkoja ja aiempaa työkokemustaan. Tehokkaimmillaan arviointi on silloin, jos asiantuntijalla on käytettävyyden lisäksi myös tuotetuntemusta. Olennainen osa käytettävyyden arviointia ovat käyttäjätestit. [11]

Usein järjestelmiä arvioidaan tekemällä ensin heuristinen arviointi ? ja lisäksi käytettävyystestejä. Jo paperiprototyyppikin voidaan testata heuristiikoilla ja käytettävyystesteillä, mutta menetelmät ovat erityisen hyödyllisiä toiminnallisen prototyypin ja lopullisen tuotteen käytettävyystestauksessa ja -arvioinnissa. Heuristisen arvioinnin jälkeen, voidaan rekrytoida tuotteen loppukäyttäjiä testihenkilöiksi ja suorittaa käytettävyystestit. Käytettävyystesteissä annetaan testihenkilöille tehtäviä, jotka hän suorittaa testattavalla vaihetuotteella tai lopullisella versiolla. Käytettävyystesteillä saadaan esiin tuotteen suurimmat puutteet ja huomataan mitkä toiminnot käyttäjältä eivät onnistu tai onnistuvat huonosti. Käytettävyystestaus tuottaa huomioita joita voidaan käyttää tuotteen käytettävyyden parantamiseksi ja lisäksi mahdollisesti myös positiivisia huomioita, jotka kannattaa muistaa tuotteen kehitystyössä.[9]

Esimerkiksi käyttöliittymien käytettävyyttä voidaan arvioida joko automaattisesti, empiirisesti, virallisesti tai epävirallisesti. Automaattisessa arvioinnissa käytettävyyttä mitataan ohjelmallisesti kun taas empiirisessä tarkastelussa käytettävyyttä testataan oikeilla käyttäjillä. Virallisessa tarkastelussa käytetään eksakteja malleja ja kaavoja käytettävyyden mittaamiseen kun taas epävirallisessa luotetaan nyrkkisääntöihin ja arvioijien taitoihin ja kokemukseen. Yleisin tapa käytettävyyden arviointiin on kuitenkin käyttäjätestaus. Toisaalta kaikkien asioiden ja tuoteversioiden testaaminen käyttäjillä olisi kallista, minkä vuoksi muita arviointimenetelmiä on hyvä käyttää niiden rinnalla. Käyttämällä useita eri menetelmiä, kuten heuristiikkoja, läpikäyntejä, erilaisia tarkastuksia ja käyttäjätestejä, voidaan myös tutkia käytettävyyttä laaja-alaisemmin ja löytää tällä tavalla todennäköisemmin suurimmat ongelmat [12]

Tietoturva ja käytettävyys

Tietoturvan ja käytettävyyden on vaikea kulkea käsi kädessä, koska tietoturvan huomioiminen vaatii lähes poikkeuksetta ylimääräisiä toimia ja erityistä huomiointia. Tuotteen omia toimintoja ei voida tehdä täysin johdonmukaisesti, koska tietoturvan huomioiminen vaatii omat piirteensä toimintaan. Käytettävyys pyrkii helppokäyttöisyyteen, kun taas tietoturvallisuus aiheuttaa usein käyttöön vaikeutta ja monimutkaisuutta. Esimerkiksi palvelu, joka ei vaadi sisäänkirjautumista, on käytettävämpi muttei hyvä tietoturvaltaan, kun taas palvelu, joka vaatii sisäänkirjautumisen tihein aikavälein on tietoturvallinen, muttei kovinkaan käytettävä.[3] Mikäli laiteympäristö, jossa sovellusta käytetään, tarjoaa mahdollisuuden esimerkiksi johonkin biometriseen tunnistustapaan, tulisi sen käyttöä harkita, koska sen avulla voidaan välttää toistuvaa salasanojen syöttämistä. Tällä voidaan parantaa sekä tietoturvaa että käytettävyyttä.

Monia hyvin kehittyneitä tietoturvamenetelmiä on kyllä olemassa, mutta niiden käyttäminen on usein kiinni käyttäjästä. Kuten monesti on todettu, käyttäjät ovat usein heikoin lenkki tietoturvassa. Monesti käyttäjien tietoturvamenetelmien käyttö onkin kaukana optimaalisesta eikä tietoturvamenetelmien päämäärät tietenkään täyty, jos niitä ei käytetä asianmukaisesti. Kun käyttäjä käyttää tuotetta tai palvelua, joka vaatii turvallisuustoimenpiteitä, käytettävyys on kriittinen tekijä, joka määrittelee käyttäjän halukkuuden ryhtyä näihin toimenpiteisiin. Jonkin verran jopa selkeätä vastustusta käyttäjien puolelta esiintyy tietoturvaa kohtaan. Tietoturvan parantamiseksi käytettävyystutkimuksen tulisi keskittyä lisäämään käyttäjien halukkuuttaa käyttää tietoturvamenetelmiä ja toisaalta varmistaa, että ne, jotka valitsevat menetelmän, voivat tehdä tämän helpommin, nopeammin, virheettömämmin ja tyytyväisemmin. [14]

Käyttäjällä on yleensä päämäärä toimintoja suorittaessaan, eikä se useinkaan ole juuri itse tietoturvallinen toiminta. Kaikki ylimääräinen toiminta, mikä ei liity itse päämäärän saavuttamiseen, on helppo unohtaa ja mielekästä ohittaa. Tämä onkin syy, miksi tietoturvallinen toiminta tulisi saada sulautettua käyttäjän toimintaan niin, että hän mahdollisimman vähän kokisi joutuvansa tekemään mitään ylimääräistä päästäkseen päämääräänsä. Jos käyttäjä ei osaa käyttää palvelua, joka on tietoturvallinen, hän todennäköisesti ajautuu käyttämään sellaista, joka ei sitä ole. Käytettävyyden huomioiminen suunnittelussa vähentäisi tietoturvamekanismien ohittamista, pois päältä kytkemistä ja käyttämättömyyttä.[1][5][7]

Käytettävyys pyrkii yksinkertaisuuteen, johdonmukaisuuteen ja siihen ettei käyttäjän muisti kuormittuisi. Eli juuri niihin asioihin mitä tietoturvallinen toiminta usein haittaa, jo siksi että ylimääräiset, haluttuun toimintaan kuulumattomat toiminnot, kuormittavat muistia. Tämä luokin uuden haasteen käytettävyyden osa-alueeseen, kun kaikkia sen yleisesti tuntemia ohjeita ei voida suoraan käyttää, koska on huomioitava tarkkaan myös tietoturvaseikat.[1] Parhaat kompromissit tulisi siis kartoittaa tarkasti arvioimalla ja testaamalla tuotetta molemmista näkökulmista, sekä käytettävyyden että tietoturvallisuuden. Sekä käytettävän että tietoturvallisen tuotteen kehittäminen ei ole mahdotonta, kunhan vain molemmat näkökulmat otetaan huomioon.

Jotta käytettävä tuote tai palvelu olisi sekä tietoturvallinen että käytettävä, turvallisuusvaihtoehtojen tulee olla helposti ymmärrettävissä käyttäjiltä. Käyttäjien on osattava määritellä eri turvavaihtoehdot ja sitä kautta valita itselleen omiin tarpeisiinsa parhaiten sopiva tietoturvan taso. Käyttäjille on usein vaikeuksia ymmärtää tietoturvaan liittyviä ominaisuuksia, kuten eri turvatasoja, salasanavaihtoehtoja ja virheilmoituksia. Tästä seuraten tärkeitä turvaominaisuuksia voi jäädä käyttämättä. Tuotetta suunnitellessa ei voida siis tehdä epärealistisia odotuksia käyttäjän aikaisemmasta kokemuksesta ja tietoturvatietämyksestä. On tärkeää, että tuotteeseen integroidaan hyvät tietoturvan oletusasetukset mutta käyttäjille on tarjottava myös vaihtoehto muuttaa asetuksia mahdollisimman yksinkertaisesti ja ymmärrettävästi. Tällä tavoin tietoturvan tulee olla sopivalla tavalla näkyvää, jotta käyttäjä löytää etsimänsä toiminnon ja tietää, mitä tietoturvamekanismeja sovelletaan mutta toisaalta se ei saa olla niin näkyvää, että se haittaa toimintaa. Hyviä käytänteitä, joita tulisi noudattaa, ovat esimerkiksi asetusten konfiguroitavuus yhden ikkunan kautta, selkeästi näkyvät tietoturvastatukset (esim. värikoodein punainen, keltainen, vihreä) ja helposti saatavilla olevat selitykset ja ohjeet. [13]

Tietoturvamekanismit ja käytettävyys

Tietoturvamekanismit suunnitellaan parantamaan tietoturvaa. Tietoturvamekanismi ei ole hyödyllinen, jos sitä ei osata käyttää oikein. Jos tietoturvamekanismi on vaikeasti käytettävä, saattaa käyttäjä vaarantaa tietoturvansa tekemällä järjestelmässä vääriä valintoja, unohtamalla tärkeän toiminnon tai tehdä jotain muuta kuin olettaa tekevänsä.Esimerkkinä käyttäjä voi valita vääränlaisen salaustavan, jos hän ei tiedä mitä hänen tulisi valita.[1] Tietoturvamekanismeista mm. tietoturvajärjestelmät ovatkin hyviä välineitä tietoturvan ylläpitoon, varsinkin jos niiden käyttöliittymä mahdollistaa tehokkaan ja ohjeistetun käytön. Monia tietoturvajärjestelmiä voi käyttää hyvin moniulotteisesti ja personoidusti eli käyttäjän oman maun mukaisesti. Tämä ei kuitenkaan aina auta käyttäjää, jos hän ei tiedä mitä haluaa eikä tiedä mikä on tarpeen. Siten tuotteen monipuolisuus voikin olla haitaksi enemmän kuin hyödyksi. Tietoturvajärjestelmien heikoksi lenkiksi voi muodostua yleinen ongelma, se että tuotteen suunnittelevat sen aiheen asiantuntijat, jolloin loppukäyttäjiin samaistuminen muuttuu lähes mahdottomaksi. Tämä käyttäjien huomioimattomuus voi johtaa tuotteeseen, jonka hyödyt jäävät käyttäjän saavuttamattomiin. Tuotteenhan kuitenkin tulisi loppujen lopuksi olla juuri loppukäyttäjille soveltuva, eli tietoturvajärjestelmistä tulisi luoda sellaisia, että tekniikasta ja ja tietoturvallisuudesta tietämättömätkin voisivat parantaa tietoturvaansa. Toisin sanoen myös tietoturvanäkökulmasta kaikentasoiset käyttäjät tulee ottaa huomioon: sekä aloittelijat että asiaa enemmän tuntevat.

Tietoturvatuotteen tulee siis ilmentää käyttäjälle selvästi tietoturvapäämäärät, jotka hänen tulisi saavuttaa ja toimenpiteet, jotka hänen tulee tehdä päämäärät saavuttaakseen. Lisäksi tuote tulee olla suunniteltu niin, ettei käyttäjä pysty tekemään vakavia virheitä. Lisäksi tuotteen käytön tulee olla niin miellyttävää, että sen käyttöä jatketaan ensimmäisenkin käyttökerran jälkeen.[1] Tietoturvan eri osa-alueisiin riittyy erilaisia tietoturvariskejä ja käytettävyysasioita. Näitä on listattu allaolevassa taulukossa. Riskeihin voidaan varautua ja niiden toteutumista voidaan ehkäistä käyttämällä erilaisia tietoturvamekanismeja. Tietoturvamenetelmät on kehitetty luonnollisesti vastaamaan turva-aukkoihin, joita koko ajan teknologiapainotteisemmaksi muuttuvaksi maailmassa syntyy. Usein nämä menetelmät pitävät sisällään ihmisten ja ohjelmiston ja laitteiston välistä vuorovaikutusta mutta niiden kehittämisessä ei ole erityisesti kiinnitetty huomiota käytettävyyteen. [14]

Taulukko 1: Tietoturvaan liittyvät riskit ja käytettävyysasiat [14].

Kontrollityyppi Kohdatut riskit Käytettävyysnäkökulmat
Identifiointi ja autentikointi toisena käyttäjänä esiintyminen, kiistäminen käyttäjän halukkuus soveltaa, menetelmän/laitteen käytön helppous
Datan eheys luvattomat poistot ja muutokset sopivan ohjelmiston asentaminen ja ylläpitäminen, pääsyoikeudet
Datan luotettavuus luvaton paljastaminen ja hallinta pääsyoikeudet
Datan saatavuus luvaton datan tai tietokannan poistaminen, käytetyt ohjelmat niiden säilyttämiseen ja palauttamiseen, palvelunestohyökkäykset järjestelmän varmuuskopioinnin tarjoama turva, implementoinnin helppous
Järjestelmän eheys luvattomat järjestelmädatan tai konfigurointitiedostojen poistot ja muutokset, palvelunestohyökkäykset ylläpitäjien tarkastukset, havaitseminen ohjelmistolla
Tunkeutumisen havaitseminen luvaton pääsy järjestelmiin, palvelunestohyökkäykset ylläpitäjien tarkastukset, havaitseminen ohjelmistolla, implementoinnin helppous

Tietoturvamekanismin käytettävyyttä voidaan arvioida myös suorituskyvyn näkökulmasta. Silloin tarkastellaan mekanismin suorituskykyä alentavaa vaikutusta ja sitä, miten käyttäjä kokee sen käytettävyyden heikkenemisenä. Esimerkkinä voidaan mainita vaikkapa kiintolevyn salaus. Mikäli se vaatii tietokoneelta paljon kapasiteettia ja siten vaikeuttaa laitteen käyttöä verrattuna tilanteeseen, jossa salausta ei käytetä, käytettävyys näiltä osin heikkenee.

PGP ja Käytettävyys | pgp-12?

Autentikointi ja käytettävyys | aut-12?

Päätelmät

Tietoturvallisuusmekanismeja suunniteltaessa tulee ottaa huomioon se miten käyttäjät oikeasti käyttäytyvät. Tietoturvallisuuden päämääränä tulee minimoida relatiivinen määrä ei-oikeututtua käyttöä. Jos päämääränä pidetään pelkkää tietoturvaa, eikä muisteta käytettävyyttä, voidaan menettää sovelluksen kohdekäyttäjätkin. Tietoturvamekanismeja suunniteltaessa ja käytettäessä tulee siis muistaa ´käytettävä tietoturvallisuus´, eli että tietoturvallisuus tarjotaan loppukäyttäjille sopivassa muodossa. Tällöin tulee aina miettiä mikä on loppukäyttäjien omaama tietoturvallisuuden teorian määrä ja miten ohjeistukset siinä tapauksessa tulee tarjota. Suunnittelussa tulee myös pyrkiä yksinkertaisuuteen ja siihen ettei kuorimiteta käyttäjän muistia liikaa. Näin käyttäjä mieltää mekanismin positiivisena asiana, eikä epäkäytettävyys estä mekanismia käyttävän sovelluksen tai pelkän itse mekanismin käyttöä. Huono käytettävyys voi aiheuttaa myös sen, että käyttäjä tekee käyttövirheitä, jotka altistavat tietoturvaa riskeille. Käytettävyyden muistaminen suunnittelussa kokonaisuudessaan voi siis myös lisätä tietoturvallisuutta.

Lähteet

[1] A.Whitten, J.Tygar: Why Johnny Can´t Encrypt: A Usability Evaluation of PGP 5.0. (Artikkeli) (viitattu 20.11.2005) Saatavissa: http://www.usenix.org/events/sec99/whitten.html
[2] UsabilityNet?:Paper prototyping (viitattu 4.1.2006), Saatavilla: http://www.usabilitynet.org/tools/prototyping.htm
[3] Security and Usability -kirja (Kirjan esittely).(viitattu 20.11.2005) Saatavissa: http://www.amazon.com/exec/obidos/tg/detail/-/0596008279/104-8197591-7739969?v=glance
[4] Sinkkonen,Kuoppala,Parkkinen,Vastamäki, Käytettävyyden psykologia, ITPress 2002, (kirja)
[5] Security Usability. (Artikkeli) (viitattu 20.11.2005) Saatavissa: http://iang.org/ssl/j4cry.pdf
[6] Security and Human Factors (Artikkeli). (viitattu 20.11.2005) Saatavissa: http://www.useit.com/alertbox/20001126.html
[7] Anne Adams and Martina Angela Sasse, Users are not the Enemy: Why users compromise computer security mechanisms and how to take remedial measures. Sivut 40-46 (Artikkeli)(viitattu 20.11.2005) Saatavissa: http://portal.acm.org/citation.cfm?id=322806
[8] Nielsen, Jacob, Heuristic Evaluation (Verkkosivusto) (viitattu 18.11.2005) Saatavissa: http://www.useit.com/papers/heuristic/
[9] Käytettävyys ohjelmistoprojektissa- kurssi,Syksy 2005 (Luentokalvot) (viitattu 5.1.2006), Saatavissa: http://www.cs.tut.fi/kurssit/OHJ-7500/Kapro_luento1409.pdf ja http://www.cs.tut.fi/kurssit/OHJ-7500/Kapro_2809.pdf
[10] Sormenjälkitunnistus [http://en.wikipedia.org/wiki/Fingerprint_recognition] (viitattu 15.11.2009)
[11] Rubin, J. & Chisnell, D. 2008. Handbook of UsabilityTesting?: How to Plan, Design, and Conduct EffectiveTests?, Second Edition. John Wiley & Sons
[12] Nielsen, J. 1994. Usability inspection methods. In Conference Companion on Human Factors in Computing Systems
[13] Furnell, S. Fostering the usability of information security solutions. (WWW) (viitattu 23.11.2013) Saatavissa: http://www.oecd.org/internet/ieconomy/35492849.pdf
[14] Schultz, E., Proctor, R., Lien, M.-C. & Salvendy, G. 2001. Usability and Security: An Appraisal of Usability Issues in Information Security Methods. Computers & Security, vol. 20, no.7. ss. 620-634

Mallitehtävät|m-12?
Print version |  PDF  | History: r7 < r6 < r5 < r4 | 
Topic revision: r7 - 23 Nov 2013 - 16:08:30 - JennaLehtimaki?
 

TUTWiki

Copyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TUTWiki? Send feedback