Difference: UxProg (r7 vs. r6)

r7 - 15 Dec 2013 - 22:57 - MikaMaeenpaeae? r6 - 08 Dec 2013 - 19:26 - OlliPenttila?

Tietoturvallisuuden jatkokurssin käytettävyystutkimuksia

Tietoturvallisuuden jatkokurssin käytettävyystutkimuksia

Muut ohjelmiston käyttöön liittyvät tutkimukset

Muut ohjelmiston käyttöön liittyvät tutkimukset

Mika Nysten, Esa Väntsi

Mika Nysten, Esa Väntsi

F-Secure Online Scanner -haittaohjelmaskannerin käyttö

F-Secure Online Scanner -haittaohjelmaskannerin käyttö

Tutkimuksessa selvitettiin onko Online-virusskannuksen käyttö helppoa.

Tutkimuksessa selvitettiin onko Online-virusskannuksen käyttö helppoa.

Tutkimussuunnitelma

Tutkimussuunnitelma

Koehenkilöille asetettiin tehtäväksi suorittaa tietokoneessaan F-Secure Online Scanner -haittaohjelmaskannaus ja tarvittaessa poistaa löytyneet haittaohjelmat koneesta.

Koehenkilöille asetettiin tehtäväksi suorittaa tietokoneessaan F-Secure Online Scanner -haittaohjelmaskannaus ja tarvittaessa poistaa löytyneet haittaohjelmat koneesta.

Tutkimuksen suorittaminen

Tutkimuksen suorittaminen

Tutustuimme käyttötilanteeseen ensin itse. Tutkimuksessa käytettävä ohjelma löytyy F-Securen internetsivuilta: http://www.f-secure.com/fi/web/home_fi/online-scanner. Ohjelman käyttöön on F-Securen sivuilla mainittu tarkat järjestelmävaatimukset ja tuetut käyttöjärjestelmät:

Tutustuimme käyttötilanteeseen ensin itse. Tutkimuksessa käytettävä ohjelma löytyy F-Securen internetsivuilta: http://www.f-secure.com/fi/web/home_fi/online-scanner. Ohjelman käyttöön on F-Securen sivuilla mainittu tarkat järjestelmävaatimukset ja tuetut käyttöjärjestelmät:

Järjestelmävaatimukset

Järjestelmävaatimukset

  • Prosessori: Pystyy käyttämään Windows XP:tä

  • Tarvittava muisti: vähintään 256 Mt (1Gt suositeltavaa)

  • Internet Explorer 7 tai uudempi versio

  • Prosessori: Pystyy käyttämään Windows XP:tä

  • Tarvittava muisti: vähintään 256 Mt (1Gt suositeltavaa)

  • Internet Explorer 7 tai uudempi versio

Käyttöjärjestelmät

Käyttöjärjestelmät

  • Windows 8

  • Windows 8 Pro

  • Windows 7 (kaikki versiot)

  • Windows Vista (kaikki versiot)

  • Windows XP SP3

  • Windows 8

  • Windows 8 Pro

  • Windows 7 (kaikki versiot)

  • Windows Vista (kaikki versiot)

  • Windows XP SP3

Online-skannerin käyttäminen on helppoa, sillä skannaus voidaan tehdä muutamalla hiiren klikkauksella. Skannaus voidaan myös suorittaa, vaikka tietokoneeseen olisi asennettu jo jokin toinen virustorjuntaohjelmisto. F-Securen sivuilla on ”Tee skannaus”-painike, jota kilkkaamalla selain pyytää tallentamaan tiedoston F-SecureOnlineScanner.exe tiedoston tietokoneen kovalevylle. Kun tallennettu tiedosto käynnistetään, ohjelma pyytää käyttäjää valitsemaan kielen ja käynnistämään skannauksen. Tämän jälkeen pitää hyväksyä lisenssiehdot ja valita lähettääkö ohjelma tarkastuksen aikana löytyneitä epäilyttäviä kohteita koskevia tietoja nimettömästi eteenpäin. Tämän jälkeen tarkastus ja puhdistus käynnistyy. Ohjelman suorituksen jälkeen ilmoitetaan tulokset käyttäjälle.

Online-skannerin käyttäminen on helppoa, sillä skannaus voidaan tehdä muutamalla hiiren klikkauksella. Skannaus voidaan myös suorittaa, vaikka tietokoneeseen olisi asennettu jo jokin toinen virustorjuntaohjelmisto. F-Securen sivuilla on ”Tee skannaus”-painike, jota kilkkaamalla selain pyytää tallentamaan tiedoston F-SecureOnlineScanner.exe tiedoston tietokoneen kovalevylle. Kun tallennettu tiedosto käynnistetään, ohjelma pyytää käyttäjää valitsemaan kielen ja käynnistämään skannauksen. Tämän jälkeen pitää hyväksyä lisenssiehdot ja valita lähettääkö ohjelma tarkastuksen aikana löytyneitä epäilyttäviä kohteita koskevia tietoja nimettömästi eteenpäin. Tämän jälkeen tarkastus ja puhdistus käynnistyy. Ohjelman suorituksen jälkeen ilmoitetaan tulokset käyttäjälle.

Ensimmäinen koehenkilö oli 14-vuotias tyttö, jonka vanhemmat hoitavat perheen tietokoneiden virustorjunnan. Hän on kuitenkin jo kokenut tietokoneiden käyttäjä, kuten useimmat ikätoverinsa. Tehtävänannon jälkeen tyttö mietiskeli ääneen mistä hän kyseisen ohjelman löytää, jolloin annoimme vinkiksi internetin. Googlettamalla ohjelma löytyi ja itse skannaus oli jo parin minuutin päässä ajossa. Tietokoneesta ei löytynyt haittaohjelmia ja koehenkilö oli myös tyytyväinen nopeasta suorituksesta ja onnistuneesta tehtävästä. Koehenkilö ei tarkastanut F-Securen sivuilla mainittuja järjestelmävaatimuksia, ei lukenut lisenssiehtoja tai muuttanut oletusasetuksia, jossa epäilyttävistä kohteista lähetetään tietoja F-Securelle. Annettu tehtävä kuitenkin onnistui.

Ensimmäinen koehenkilö oli 14-vuotias tyttö, jonka vanhemmat hoitavat perheen tietokoneiden virustorjunnan. Hän on kuitenkin jo kokenut tietokoneiden käyttäjä, kuten useimmat ikätoverinsa. Tehtävänannon jälkeen tyttö mietiskeli ääneen mistä hän kyseisen ohjelman löytää, jolloin annoimme vinkiksi internetin. Googlettamalla ohjelma löytyi ja itse skannaus oli jo parin minuutin päässä ajossa. Tietokoneesta ei löytynyt haittaohjelmia ja koehenkilö oli myös tyytyväinen nopeasta suorituksesta ja onnistuneesta tehtävästä. Koehenkilö ei tarkastanut F-Securen sivuilla mainittuja järjestelmävaatimuksia, ei lukenut lisenssiehtoja tai muuttanut oletusasetuksia, jossa epäilyttävistä kohteista lähetetään tietoja F-Securelle. Annettu tehtävä kuitenkin onnistui.

Toinen koehenkilö oli 23-vuotias mies. Hän on itse hoitanut tietokoneidensa virustorjuntasovelluksista vastaamisen, ja käyttää ilmaisia sovelluksia tietokoneissaan. Tehtävän suorittaminen ei tuottanut henkilölle ongelmia. Verkkosivu, jolta ohjelman saa, löytyi nopeasti Googlen avulla. Hän latasi ohjelman katsomalla laitteistovaatimuksia. Koehenkilö hyväksyi lukematta käyttöehdot, mutta on tietoinen tekemästään valinnasta. Skannauksen aikana ei tapahtunut mitään odottamatonta ja ohjelma kertoi tilastaan koehenkilön mielestä riittävällä tarkkuudella. Skanneri ei löytänyt henkilön tietokoneelta haittaohjelmia. Koehenkilö koki F-Securen Online Scannerin miellyttäväksi ja suoraviivaiseksi ohjelmaksi käyttää. Hän alkoi kuitenkin pohtimaan, vastaako Online Scannerilla tehty tarkastus ostettavaa (ja skannauksen jälkeen mainostetua) maksullista F-Securen tietoturvapakettia skannaustehokkuudeltaan.

Toinen koehenkilö oli 23-vuotias mies. Hän on itse hoitanut tietokoneidensa virustorjuntasovelluksista vastaamisen, ja käyttää ilmaisia sovelluksia tietokoneissaan. Tehtävän suorittaminen ei tuottanut henkilölle ongelmia. Verkkosivu, jolta ohjelman saa, löytyi nopeasti Googlen avulla. Hän latasi ohjelman katsomalla laitteistovaatimuksia. Koehenkilö hyväksyi lukematta käyttöehdot, mutta on tietoinen tekemästään valinnasta. Skannauksen aikana ei tapahtunut mitään odottamatonta ja ohjelma kertoi tilastaan koehenkilön mielestä riittävällä tarkkuudella. Skanneri ei löytänyt henkilön tietokoneelta haittaohjelmia. Koehenkilö koki F-Securen Online Scannerin miellyttäväksi ja suoraviivaiseksi ohjelmaksi käyttää. Hän alkoi kuitenkin pohtimaan, vastaako Online Scannerilla tehty tarkastus ostettavaa (ja skannauksen jälkeen mainostetua) maksullista F-Securen tietoturvapakettia skannaustehokkuudeltaan.

Tulokset

Tulokset

Molemmat koehenkilöt suoriutuivat tehtävästään hyvin. Kumpikaan koehenkilö ei löytänyt viruksia tietokoneestaan.

Molemmat koehenkilöt suoriutuivat tehtävästään hyvin. Kumpikaan koehenkilö ei löytänyt viruksia tietokoneestaan.

Päätelmät

Päätelmät

F-Securen Online-skannerin käyttö on helppoa ja vaivatonta. Skannauksen voi ajaa, vaikka tietokoneeseen olisi asennettu muitakin virustorjuntaohjelmistoja.

F-Securen Online-skannerin käyttö on helppoa ja vaivatonta. Skannauksen voi ajaa, vaikka tietokoneeseen olisi asennettu muitakin virustorjuntaohjelmistoja.



Juho Koro, Tiina Schafeitel-Tähtinen

Juho Koro, Tiina Schafeitel-Tähtinen

TOR-selaimen koettu käyttöturvallisuus

TOR-selaimen koettu käyttöturvallisuus

Ongelman kuvaus

Ongelman kuvaus

Tässä käytettävyystutkimuksessa tarkastellaan Tor-selaimen koettua käyttöturvallisuutta. Samalla tarkastellaan pintapuolisesti myös selaimen käytettävyyttä.

Tässä käytettävyystutkimuksessa tarkastellaan Tor-selaimen koettua käyttöturvallisuutta. Samalla tarkastellaan pintapuolisesti myös selaimen käytettävyyttä.

Tor-selaimen asennuspaketti (https://www.torproject.org/projects/torbrowser.html) sisältää Firefox-selaimen ja erilaisten pluginien muodostaman kokonaisuuden, joka mahdollistaa anonyymin selailun ja kommunikoinnin .onion –pseudodomainien kautta. Tämän lisäksi paketti sisältää erilaisia turvallisen selailun mahdollistavia lisäosia jotka parantavat turvallisuutta myös tavanomaisessa selailussa, kuten HTTPS Everywhere ja selaimessa suoritettavia skriptejä estävä NoScript?.

Tor-selaimen asennuspaketti (https://www.torproject.org/projects/torbrowser.html) sisältää Firefox-selaimen ja erilaisten pluginien muodostaman kokonaisuuden, joka mahdollistaa anonyymin selailun ja kommunikoinnin .onion –pseudodomainien kautta. Tämän lisäksi paketti sisältää erilaisia turvallisen selailun mahdollistavia lisäosia jotka parantavat turvallisuutta myös tavanomaisessa selailussa, kuten HTTPS Everywhere ja selaimessa suoritettavia skriptejä estävä NoScript?.

Tutkimussuunnitelma

Tutkimussuunnitelma

Koehenkilön on tarkoitus suorittaa tutkimuksen tehtävät ja kommentoida niitä samalla ääneen. Tehtäviä tehdessään hänen tulee kertoa mitä hän on tekemässä ja miksi. Erityisesti häntä pyydetään kommenteissaan kiinnittämään huomiota siihen, tuntuuko käyttö turvalliselta.

Koehenkilön on tarkoitus suorittaa tutkimuksen tehtävät ja kommentoida niitä samalla ääneen. Tehtäviä tehdessään hänen tulee kertoa mitä hän on tekemässä ja miksi. Erityisesti häntä pyydetään kommenteissaan kiinnittämään huomiota siihen, tuntuuko käyttö turvalliselta.

Tehtävät:

Tehtävät:

  1. asetuksiin tutustuminen, ohjeena säädä asetukset mielestäsi mahdollisimman turvallisiksi
  2. käynti tarkistamassa mistä IP-osoitteesta ja maasta selailu näyttää tapahtuvan \x{200e}, osoite oli valmiina kirjanmerkeissä
  3. haluttuun onion-domainiin yhteyden ottaminen, domain-lista oli valmiiksi selaimen kirjanmerkeissä
  4. haun teko DuckDuckGo:lla
  1. asetuksiin tutustuminen, ohjeena säädä asetukset mielestäsi mahdollisimman turvallisiksi
  2. käynti tarkistamassa mistä IP-osoitteesta ja maasta selailu näyttää tapahtuvan \x{200e}, osoite oli valmiina kirjanmerkeissä
  3. haluttuun onion-domainiin yhteyden ottaminen, domain-lista oli valmiiksi selaimen kirjanmerkeissä
  4. haun teko DuckDuckGo:lla

Lopuksi käyttäjää pyydetään vastaamaan seuraaviin kysymyksiin:

Lopuksi käyttäjää pyydetään vastaamaan seuraaviin kysymyksiin:

  1. Tuntuiko selaimen käyttö turvalliselle? Miksi? Miksi ei?
  2. Tuntuiko tehtävien tekeminen selaimella arveluttaville? Miksi? Miksi ei?
  3. Oliko selainta helppo käyttää vai täytyikö haluttuja asioita etsiä?
  4. Olisiko selain hyvä vaihtoehto ihan tavalliseen nettisurffailuun?
  5. Entä jos käyttäjällä olisi tarve harjoittaa netissä ”tiibetiläistä itsenäisyystaistelua”, tuntuisiko Tor-selain varteenotettavalle vaihtoehdolle sellaisen välineeksi?
  1. Tuntuiko selaimen käyttö turvalliselle? Miksi? Miksi ei?
  2. Tuntuiko tehtävien tekeminen selaimella arveluttaville? Miksi? Miksi ei?
  3. Oliko selainta helppo käyttää vai täytyikö haluttuja asioita etsiä?
  4. Olisiko selain hyvä vaihtoehto ihan tavalliseen nettisurffailuun?
  5. Entä jos käyttäjällä olisi tarve harjoittaa netissä ”tiibetiläistä itsenäisyystaistelua”, tuntuisiko Tor-selain varteenotettavalle vaihtoehdolle sellaisen välineeksi?

Tutkimuksen suorittaminen

Tutkimuksen suorittaminen

Koehenkilö 1:
Koehenkilö 1:

Tausta: Ei aiempaa kokemusta Tor-selaimesta, töissä ohjelmistosuunnittelijana. Ei mielestään mitenkään hirvittävän kriittisesti mieti tietoturvallisuutta, mutta esim. ostoksilla netissä käyttää vain harvoja palveluja ja katsoo mihin luottokorttinsa tiedot syöttää. Ei käytä mitään erityisiä työkaluja jotka parantaisivat yksityisyyttä tai tietoturvaa.

Tausta: Ei aiempaa kokemusta Tor-selaimesta, töissä ohjelmistosuunnittelijana. Ei mielestään mitenkään hirvittävän kriittisesti mieti tietoturvallisuutta, mutta esim. ostoksilla netissä käyttää vain harvoja palveluja ja katsoo mihin luottokorttinsa tiedot syöttää. Ei käytä mitään erityisiä työkaluja jotka parantaisivat yksityisyyttä tai tietoturvaa.

Tehtävien suorittaminen: Koehenkilö tutkii selaimen asetuksia pitkään ja hartaasti. Häntä mietityttää erityisesti selaimessa olevat skriptiasetukset, lähinnä sen kannalta vaikuttavatko ne nettisivujen toimintaan. Lisäksi koehenkilö kommentoi, että asetuksia on paljon ja vaatisi perehtymistä, ennen kuin voisi tietää mitä ne tarkoittavat. Koehenkilö päätyy poistamaan skriptit käytöstä kommentoiden tuntevansa olonsa vähän epävarmaksi ja pohtii oliko kaikki oleellisen tärkeä tässä. Koehenkilö ei ole täysin varma onko kaikki kunnossa.

Tehtävien suorittaminen: Koehenkilö tutkii selaimen asetuksia pitkään ja hartaasti. Häntä mietityttää erityisesti selaimessa olevat skriptiasetukset, lähinnä sen kannalta vaikuttavatko ne nettisivujen toimintaan. Lisäksi koehenkilö kommentoi, että asetuksia on paljon ja vaatisi perehtymistä, ennen kuin voisi tietää mitä ne tarkoittavat. Koehenkilö päätyy poistamaan skriptit käytöstä kommentoiden tuntevansa olonsa vähän epävarmaksi ja pohtii oliko kaikki oleellisen tärkeä tässä. Koehenkilö ei ole täysin varma onko kaikki kunnossa.

Koehenkilö käy tarkistamassa ohjeen mukaan mistä IP-osoitteesta ja maasta selailu näyttää tapahtuvan ja kommentoi, että sivun tiedot vahvistivat hänen tunnettaan anonyymistä netin käytöstä.

Koehenkilö käy tarkistamassa ohjeen mukaan mistä IP-osoitteesta ja maasta selailu näyttää tapahtuvan ja kommentoi, että sivun tiedot vahvistivat hänen tunnettaan anonyymistä netin käytöstä.

Koehenkilö valitsee DuckDuckGo?:n domain-listalta ja hakee sen avulla Ylen sivut. Ne näyttävät oudoilta ilman scriptejä. Koehenkilö säätää scriptit päälle ja kommentoi, että nyt sivut näyttävät normaaleille.

Koehenkilö valitsee DuckDuckGo?:n domain-listalta ja hakee sen avulla Ylen sivut. Ne näyttävät oudoilta ilman scriptejä. Koehenkilö säätää scriptit päälle ja kommentoi, että nyt sivut näyttävät normaaleille.

Koehenkilö tekee DuckDuckGo?:lla toisen haun ja miettii miten selain toimii ja menevätkö haut heti onion-verkon ulkopuolelle. Koehenkilö kommentoi, että Tor-selaimen käytössä on korkea aloituskynnys, kun ei mitään aiheesta tiedä. Koehenkilö pohtii selailun anonymiteettiä ja jää miettimään, jääkö koneelle surffailusta kuitenkin jotain paikallisia jälkiä. Toisaalta hän kommentoi, että tekniikka herättää myös luottamusta.

Koehenkilö tekee DuckDuckGo?:lla toisen haun ja miettii miten selain toimii ja menevätkö haut heti onion-verkon ulkopuolelle. Koehenkilö kommentoi, että Tor-selaimen käytössä on korkea aloituskynnys, kun ei mitään aiheesta tiedä. Koehenkilö pohtii selailun anonymiteettiä ja jää miettimään, jääkö koneelle surffailusta kuitenkin jotain paikallisia jälkiä. Toisaalta hän kommentoi, että tekniikka herättää myös luottamusta.

Kysymykset: Koehenkilö koki onion-verkon puolella, että liikenne pysyi salattuna ja anonyyminä. Normaaliverkon puolelle siirryttäessä asia ei tuntunut niin varmalle. Koehenkilön mielestä Tor-selaimella ei välttämättä kuitenkaan ole lisäarvoa verrattuna normaaliin selaimeen sopivilla plugineilla varustettuna. Tor-selaimen asetuksia ei ollut koehenkilön mielestä helppo käyttää suoraan, erityisesti sen ymmärtämisen suhteen, mitkä niistä ovat hyödyllisiä tavallisessa surffailussa. Aika nopeasti asetuksista löytyi halutut asiat, mutta esimerkiksi tekniikkaan täysin perehtymättömillä voisi koehenkilön mukaan olla vaikeuksia. Selain ei olisi koehenkilön mielestä hyvä välinen tavalliseen nettisurffailuun, mutta jos olisi tarve erityiselle anonymiteetille, selain voisi olla varteenotettava vaihtoehto.

Kysymykset: Koehenkilö koki onion-verkon puolella, että liikenne pysyi salattuna ja anonyyminä. Normaaliverkon puolelle siirryttäessä asia ei tuntunut niin varmalle. Koehenkilön mielestä Tor-selaimella ei välttämättä kuitenkaan ole lisäarvoa verrattuna normaaliin selaimeen sopivilla plugineilla varustettuna. Tor-selaimen asetuksia ei ollut koehenkilön mielestä helppo käyttää suoraan, erityisesti sen ymmärtämisen suhteen, mitkä niistä ovat hyödyllisiä tavallisessa surffailussa. Aika nopeasti asetuksista löytyi halutut asiat, mutta esimerkiksi tekniikkaan täysin perehtymättömillä voisi koehenkilön mukaan olla vaikeuksia. Selain ei olisi koehenkilön mielestä hyvä välinen tavalliseen nettisurffailuun, mutta jos olisi tarve erityiselle anonymiteetille, selain voisi olla varteenotettava vaihtoehto.

Koehenkilö 2:
Koehenkilö 2:

Tausta: Ei aiempaa kokemusta Tor-selaimesta, verkkomaailma yleisesti kuitenkin tuttu. Ei mieti hirveästi tietoturvallisuutta, mutta tietty valppaus pitää kuitenkin olla, esimerkiksi verkkopankkihyökkäysten ja tunnusten kalastelun vuoksi. Ei kuitenkaan pidä itseään ihan hirveän tarkkana tietoturvallisuuden suhteen, mutta esim. jos luottokorttitietoja pitää johonkin laittaa, niin tutkii palvelun taustoja. Ei käytä mitään erityisiä työkaluja jotka parantaisivat yksityisyyttä tai tietoturvaa, mutta tarkistaa esimerkiksi että https-yhteys on päällä, jos pitää antaa jotakin tietoja verkon kautta.

Tausta: Ei aiempaa kokemusta Tor-selaimesta, verkkomaailma yleisesti kuitenkin tuttu. Ei mieti hirveästi tietoturvallisuutta, mutta tietty valppaus pitää kuitenkin olla, esimerkiksi verkkopankkihyökkäysten ja tunnusten kalastelun vuoksi. Ei kuitenkaan pidä itseään ihan hirveän tarkkana tietoturvallisuuden suhteen, mutta esim. jos luottokorttitietoja pitää johonkin laittaa, niin tutkii palvelun taustoja. Ei käytä mitään erityisiä työkaluja jotka parantaisivat yksityisyyttä tai tietoturvaa, mutta tarkistaa esimerkiksi että https-yhteys on päällä, jos pitää antaa jotakin tietoja verkon kautta.

Tehtävien suorittaminen: Koehenkilö tutkii selaimen asetuksia ja laittaa sieltä joitakin päälle. Hän pohtii erityisesti SSL Observatoryn toimintaa ja cookie-asetuksia. Yleisesti koehenkilö kommentoi, että asetuksia on paljon ja niillä voisi tehdä tarkkoja säätöjä, jos tietäisi mitä ne kaikki ovat ja olisi kokemusta. Lisäksi hän toteaa, että yleisesti ottaen selaimessa näyttää olevan jo valmiiksi tietoturvan kannalta kyseenalaisia ominaisuuksia pois päältä.

Tehtävien suorittaminen: Koehenkilö tutkii selaimen asetuksia ja laittaa sieltä joitakin päälle. Hän pohtii erityisesti SSL Observatoryn toimintaa ja cookie-asetuksia. Yleisesti koehenkilö kommentoi, että asetuksia on paljon ja niillä voisi tehdä tarkkoja säätöjä, jos tietäisi mitä ne kaikki ovat ja olisi kokemusta. Lisäksi hän toteaa, että yleisesti ottaen selaimessa näyttää olevan jo valmiiksi tietoturvan kannalta kyseenalaisia ominaisuuksia pois päältä.

Koehenkilö yrittää tarkistaa ohjeen mukaan mistä IP-osoitteesta ja maasta selailu näyttää tapahtuvan. Linkki ei tänään kuitenkaan toimi. Koehenkilö menee Hesarin verkkosivulle ja yrittää avata uutisen. Hän saa ilmoituksen, jossa pyydetään tarkistamaan, että selaimen evästeet ja JavaScript? ovat käytössä. Koehenkilö säätää hs.fi-sivuston selaimen asetuksista sallittujen listaan ja tämän jälkeen uutinen aukeaa ilman ongelmia.

Koehenkilö yrittää tarkistaa ohjeen mukaan mistä IP-osoitteesta ja maasta selailu näyttää tapahtuvan. Linkki ei tänään kuitenkaan toimi. Koehenkilö menee Hesarin verkkosivulle ja yrittää avata uutisen. Hän saa ilmoituksen, jossa pyydetään tarkistamaan, että selaimen evästeet ja JavaScript? ovat käytössä. Koehenkilö säätää hs.fi-sivuston selaimen asetuksista sallittujen listaan ja tämän jälkeen uutinen aukeaa ilman ongelmia.

Onion-domain listaa tutkittaessa koehenkilö kommentoi, että sieltä löytyy kaikenlaista kyseenalaistakin. Hän valitsee ”Torch search enginen” ja huomioi että sivun lataaminen kestää kauemmin kuin tavallisella selaimella. Koehenkilö pohtii, että on vaikea arvioida kuinka turvassa on selainta käyttäessään. Koehenkilö sanoo, että turvallisuuden arviointi on enemmän uskomusten varassa ja kokee, että selaimen käyttö on enemmän ”hakkereille”, eikä peruspulliainen ymmärrä asiaa kovin tarkasti. Jos olisi jokin erikoinen tarve pysyä salassa, niin asiaan pitäisi perehtyä paremmin. Lisäksi koehenkilö kommentoi vielä Tor-selaimen asetuksia, että selain antaa varoituksia ja huomauttaa asiasta, kun on Tor-verkon ulkopuolella.

Onion-domain listaa tutkittaessa koehenkilö kommentoi, että sieltä löytyy kaikenlaista kyseenalaistakin. Hän valitsee ”Torch search enginen” ja huomioi että sivun lataaminen kestää kauemmin kuin tavallisella selaimella. Koehenkilö pohtii, että on vaikea arvioida kuinka turvassa on selainta käyttäessään. Koehenkilö sanoo, että turvallisuuden arviointi on enemmän uskomusten varassa ja kokee, että selaimen käyttö on enemmän ”hakkereille”, eikä peruspulliainen ymmärrä asiaa kovin tarkasti. Jos olisi jokin erikoinen tarve pysyä salassa, niin asiaan pitäisi perehtyä paremmin. Lisäksi koehenkilö kommentoi vielä Tor-selaimen asetuksia, että selain antaa varoituksia ja huomauttaa asiasta, kun on Tor-verkon ulkopuolella.

Koehenkilö tekee DuckDuckGo?:lla haun ja avaa Wikipedian Tampere-sivun. Koehenkilö toteaa, että ei selaimen mukaan enää ole Tor-verkossa.

Koehenkilö tekee DuckDuckGo?:lla haun ja avaa Wikipedian Tampere-sivun. Koehenkilö toteaa, että ei selaimen mukaan enää ole Tor-verkossa.

Kysymykset: Koehenkilö koki selaimen käytön tavallaan turvallisena, mutta selaimessa on kuitenkin niin paljon säätöjä, ettei niihin jaksa perehtyä tarkasti. Koehenkilön mielestä turvallisuuden ja käytettävyyden suhde ei ole paras mahdollinen, koska surffailulle on haittaa, jos jatkuvasti tulee ilmoituksia. Koehenkilön mielestä selaimen pitäisi olla peruspulliaiselle käyttäjälähtöisempi. Toisaalta koehenkilön mielestä perusselainkäyttö on ihan ok, mutta turvallisuusasetukset ovat monimutkaisia ja käytettävyydessä olisi parannettavaa. Hänen mielestään asetuksia on paljon ja niitä on hankala säätää tapauskohtaisesti, ja ehkä jotain turvallisuus taso-asetuksia voisi olla helpottamassa säätämistä automaattisesti. Koehenkilö ei pidä selainta hyvänä vaihtoehtona tavalliseen surffailuun, toisaalta hän huomauttaa että selaimesta saisi kyllä rakennettua mummoille ja papoille turvallisen selaimen laittamalla whitelistiin vain turvallisia osoitteita. Jos olisi tarvetta erityiselle anonymiteetille, selain saattaisi olla parempi vaihtoehto tavalliselle selaimelle, mutta asiaan pitäisi perehtyä.

Kysymykset: Koehenkilö koki selaimen käytön tavallaan turvallisena, mutta selaimessa on kuitenkin niin paljon säätöjä, ettei niihin jaksa perehtyä tarkasti. Koehenkilön mielestä turvallisuuden ja käytettävyyden suhde ei ole paras mahdollinen, koska surffailulle on haittaa, jos jatkuvasti tulee ilmoituksia. Koehenkilön mielestä selaimen pitäisi olla peruspulliaiselle käyttäjälähtöisempi. Toisaalta koehenkilön mielestä perusselainkäyttö on ihan ok, mutta turvallisuusasetukset ovat monimutkaisia ja käytettävyydessä olisi parannettavaa. Hänen mielestään asetuksia on paljon ja niitä on hankala säätää tapauskohtaisesti, ja ehkä jotain turvallisuus taso-asetuksia voisi olla helpottamassa säätämistä automaattisesti. Koehenkilö ei pidä selainta hyvänä vaihtoehtona tavalliseen surffailuun, toisaalta hän huomauttaa että selaimesta saisi kyllä rakennettua mummoille ja papoille turvallisen selaimen laittamalla whitelistiin vain turvallisia osoitteita. Jos olisi tarvetta erityiselle anonymiteetille, selain saattaisi olla parempi vaihtoehto tavalliselle selaimelle, mutta asiaan pitäisi perehtyä.

Tulokset

Tulokset

Tutkimuksessa saatiin selville, miten tietotekniikkaan perehtyneet, mutta Tor-selainta aiemmin tuntemattomat käyttäjät kokevat sen turvallisuuden ja käytettävyyden. Tosin otos on niin pieni, että tulokset tuskin ovat yleistettävissä.

Tutkimuksessa saatiin selville, miten tietotekniikkaan perehtyneet, mutta Tor-selainta aiemmin tuntemattomat käyttäjät kokevat sen turvallisuuden ja käytettävyyden. Tosin otos on niin pieni, että tulokset tuskin ovat yleistettävissä.

Koehenkilöt kokivat Tor-selaimen käytön mahdollisesti turvalliseksi, mutta olivat asiasta epävarmoja. Esille tuli lisätiedon tarve, jotta tarkempi käsitys turvallisuudesta voitaisiin muodostaa. Selaimen asetukset koettiin monimutkaisina ja perehtymistä vaativina, mutta koehenkilöt pystyivät tästä huolimatta säätämään selaimen asetukset turvalliselle tasolle, sillä suuri osa niistä oli valmiiksi asetettuina. Turva-asetusten pelättiin kuitenkin heikentävän sivujen näkyvyyttä ja selaimen antamat varoitukset koettiin käyttömukavuutta häiritsevinä. Molemmat käyttäjät kuitenkin saivat myös selaimen estämiä skriptejä sisältävät sivut näkymään normaalisti selaimella. Tor-verkon puolella esille tuli toisen koehenkilön kanssa myös hitaus sivujen latautumisessa.

Koehenkilöt kokivat Tor-selaimen käytön mahdollisesti turvalliseksi, mutta olivat asiasta epävarmoja. Esille tuli lisätiedon tarve, jotta tarkempi käsitys turvallisuudesta voitaisiin muodostaa. Selaimen asetukset koettiin monimutkaisina ja perehtymistä vaativina, mutta koehenkilöt pystyivät tästä huolimatta säätämään selaimen asetukset turvalliselle tasolle, sillä suuri osa niistä oli valmiiksi asetettuina. Turva-asetusten pelättiin kuitenkin heikentävän sivujen näkyvyyttä ja selaimen antamat varoitukset koettiin käyttömukavuutta häiritsevinä. Molemmat käyttäjät kuitenkin saivat myös selaimen estämiä skriptejä sisältävät sivut näkymään normaalisti selaimella. Tor-verkon puolella esille tuli toisen koehenkilön kanssa myös hitaus sivujen latautumisessa.

Koehenkilöt eivät kokeneet selainta hyväksi vaihtoehdoksi tavalliseen nettisurffailuun.

Koehenkilöt eivät kokeneet selainta hyväksi vaihtoehdoksi tavalliseen nettisurffailuun.

Päätelmät

Päätelmät

Monimutkaiset tietoturva-asetukset saattavat heikentää käyttäjien turvallisuuden tunnetta, koska käyttäjät jäävät epävarmoiksi, ovatko ymmärtäneet oikein asetukset ja niiden toiminnan. Käytettävyyden ja turvallisuuden tunteen kannalta asetusten yhteydessä pitäisi olla tietoa siitä, mihin asetus konkreettisesti vaikuttaa.

Monimutkaiset tietoturva-asetukset saattavat heikentää käyttäjien turvallisuuden tunnetta, koska käyttäjät jäävät epävarmoiksi, ovatko ymmärtäneet oikein asetukset ja niiden toiminnan. Käytettävyyden ja turvallisuuden tunteen kannalta asetusten yhteydessä pitäisi olla tietoa siitä, mihin asetus konkreettisesti vaikuttaa.

Vaikka selain on turvallinen, vaatii sen käyttö jonkin verran esitietoja. Käytön aikana selain ei tarjoa juurikaan ohjeita tai vihjeitä aloittelevaa käyttäjää huomioidakseen. Kun turvallisuuden arviointi koetaan epävarmaksi ja käyttökokemus on monimutkainen (asetusten säätö) tai käyttäessä tapahtuu käyttäjää häiritseviä asioita (selaimen ilmoitukset), selainta ei pidetä vaihtoehtona tavalliseen käyttöön. Pitää olla jokin lisätarve, johon selain vastaa, jotta käyttäjä olisi valmis hyväksymään epävarmuuden ja monimutkaisuuden osaksi käyttökokemustaan. Nämä tarpeet ovat usein erityisesti ammattilaiskäyttöön, lainvastaiseen toimintaan tai kansalaisaktivismiin liittyviä, joita keskiverto suomalainen peruskäyttäjä ei välttämättä koe omakseen.

Vaikka selain on turvallinen, vaatii sen käyttö jonkin verran esitietoja. Käytön aikana selain ei tarjoa juurikaan ohjeita tai vihjeitä aloittelevaa käyttäjää huomioidakseen. Kun turvallisuuden arviointi koetaan epävarmaksi ja käyttökokemus on monimutkainen (asetusten säätö) tai käyttäessä tapahtuu käyttäjää häiritseviä asioita (selaimen ilmoitukset), selainta ei pidetä vaihtoehtona tavalliseen käyttöön. Pitää olla jokin lisätarve, johon selain vastaa, jotta käyttäjä olisi valmis hyväksymään epävarmuuden ja monimutkaisuuden osaksi käyttökokemustaan. Nämä tarpeet ovat usein erityisesti ammattilaiskäyttöön, lainvastaiseen toimintaan tai kansalaisaktivismiin liittyviä, joita keskiverto suomalainen peruskäyttäjä ei välttämättä koe omakseen.

Selainpaketti on kuitenkin sen tuomiin etuihin yksityisyydensuojan kannalta helppokäyttöinen ja tuo tarvittavat välineet plug and play –tyyppisesti käyttäjän ulottuville. Mikäli valveutuneisuus yksityisyydensuojaan liittyen nousisi enemmän pinnalle ja peruskäyttäjät ryntäisivät Tor-verkkoon, tulisi pakettiin lisätä aloitteleville käyttäjille opastavia toiminnallisuuksia, valmiita asetuksia ja selkeämpiä vahvistuksia käyttöliittymässä siitä, että selailu on todella turvallista.

Selainpaketti on kuitenkin sen tuomiin etuihin yksityisyydensuojan kannalta helppokäyttöinen ja tuo tarvittavat välineet plug and play –tyyppisesti käyttäjän ulottuville. Mikäli valveutuneisuus yksityisyydensuojaan liittyen nousisi enemmän pinnalle ja peruskäyttäjät ryntäisivät Tor-verkkoon, tulisi pakettiin lisätä aloitteleville käyttäjille opastavia toiminnallisuuksia, valmiita asetuksia ja selkeämpiä vahvistuksia käyttöliittymässä siitä, että selailu on todella turvallista.



  

Riitta Laitinen, Olli Penttilä

Riitta Laitinen, Olli Penttilä

Kuvioperustaisen salasanan käyttöönoton käytettävyystutkimus

Kuvioperustaisen salasanan käyttöönoton käytettävyystutkimus

Ongelman kuvaus

Ongelman kuvaus

Tässä käytettävyystestissä tutkittiin tietoturvaominaisuuden käyttöönottoa, salasanan hallinnointia, sekä pääsyrajoituksen säätämistä. Tietoturvaominaisuutena käytettiin älypuhelimen salasanasuojausta. Testissä käytettiin HTC Explorer -älypuhelinta, jossa on Android-käyttöjärjestelmä. Testihenkilön tehtävänä oli ottaa käyttöön kuvioon perustuva näytön lukitus. Tutkimuksen tarkoituksena on selvittää, kuinka käyttäjäystävällistä kuvioon perustuvan salasanan käyttöönotto ja käyttö on sekä tutkia käyttäjien mielipiteitä suojauksen vaikutuksesta tietoturvaan.

Tässä käytettävyystestissä tutkittiin tietoturvaominaisuuden käyttöönottoa, salasanan hallinnointia, sekä pääsyrajoituksen säätämistä. Tietoturvaominaisuutena käytettiin älypuhelimen salasanasuojausta. Testissä käytettiin HTC Explorer -älypuhelinta, jossa on Android-käyttöjärjestelmä. Testihenkilön tehtävänä oli ottaa käyttöön kuvioon perustuva näytön lukitus. Tutkimuksen tarkoituksena on selvittää, kuinka käyttäjäystävällistä kuvioon perustuvan salasanan käyttöönotto ja käyttö on sekä tutkia käyttäjien mielipiteitä suojauksen vaikutuksesta tietoturvaan.

Tutkimussuunnitelma

Tutkimussuunnitelma

Kuviosalasanan käyttöönotto on periaatteessa hyvin yksinkertaista. Salasana voidaan ottaa käyttöön esimerkiksi seuraavaa polkua käyttäen: kaikki sovellukset -> asetukset -> suojaus -> asenna näytön lukitus -> kuvio. Tämän jälkeen seurataan näytön ohjeita, joissa pyydetään syöttämään kuvio/salasana, sekä vahvistamaan se syöttämällä kuvio uudestaan.

Kuviosalasanan käyttöönotto on periaatteessa hyvin yksinkertaista. Salasana voidaan ottaa käyttöön esimerkiksi seuraavaa polkua käyttäen: kaikki sovellukset -> asetukset -> suojaus -> asenna näytön lukitus -> kuvio. Tämän jälkeen seurataan näytön ohjeita, joissa pyydetään syöttämään kuvio/salasana, sekä vahvistamaan se syöttämällä kuvio uudestaan.

Tämän jälkeen käyttäjä palaa takaisin alkunäyttöön, lukitsee puhelimen, ja avaa lukituksen syöttämällä kuvion. Testiin osallistui kaksi opiskelijaa TTY:lta. Toisella opiskelijalla oli itsellään käytössä Nokia N9, ja toisella Nokia Lumia. Kummallakaan ei ole puhelimessaan vastaavaa ominaisuutta.

Tämän jälkeen käyttäjä palaa takaisin alkunäyttöön, lukitsee puhelimen, ja avaa lukituksen syöttämällä kuvion. Testiin osallistui kaksi opiskelijaa TTY:lta. Toisella opiskelijalla oli itsellään käytössä Nokia N9, ja toisella Nokia Lumia. Kummallakaan ei ole puhelimessaan vastaavaa ominaisuutta.

Testin aikana ja sen jälkeen aiheesta keskusteltiin koehenkilön kanssa ja häneltä kysyttiin seuraavat kysymykset:

Testin aikana ja sen jälkeen aiheesta keskusteltiin koehenkilön kanssa ja häneltä kysyttiin seuraavat kysymykset:

  1. Onko salasanasuojauksesta mielestäsi enemmän haittaa (este/hidaste) kuin hyötyä?
  2. Huonontaako se käytettävyyttä 1) ei ollenkaan, 2) vähän, 3) melko paljon, 4) paljon, 5) aivan liikaa?
  3. Onko omassa puhelimessasi salasanasuojaus asetettu päälle?
  4. Miksi / miksi ei?
  5. Onko mielestäsi olemassa jokin parempi tapa suojata puhelimen sisällön joutuminen vääriin käsiin?
  6. Kuinka paljon koet vieraan puhelimen käytön vaikuttaneen testiin?
  7. Onko asettamasi salasana sinun helppo muistaa / helppo toisten arvata?
  8. Koitko salasanasuojauksen asettamisen helpoksi / loogiseksi / turhan monimutkaiseksi / tms.?
  9. Jos pyytäisin huomenna vaihtamaan salasanaa, osaisitko tehdä sen tämän testitehtävän pohjalta?
  1. Onko salasanasuojauksesta mielestäsi enemmän haittaa (este/hidaste) kuin hyötyä?
  2. Huonontaako se käytettävyyttä 1) ei ollenkaan, 2) vähän, 3) melko paljon, 4) paljon, 5) aivan liikaa?
  3. Onko omassa puhelimessasi salasanasuojaus asetettu päälle?
  4. Miksi / miksi ei?
  5. Onko mielestäsi olemassa jokin parempi tapa suojata puhelimen sisällön joutuminen vääriin käsiin?
  6. Kuinka paljon koet vieraan puhelimen käytön vaikuttaneen testiin?
  7. Onko asettamasi salasana sinun helppo muistaa / helppo toisten arvata?
  8. Koitko salasanasuojauksen asettamisen helpoksi / loogiseksi / turhan monimutkaiseksi / tms.?
  9. Jos pyytäisin huomenna vaihtamaan salasanaa, osaisitko tehdä sen tämän testitehtävän pohjalta?

Tulokset

Tulokset

Kumpikin testihenkilöistä tarttui tehtävään epäröimättä, ja suoriutui tehtävästä ongelmitta. Kumpikin testihenkilö oli sitä mieltä, että salasanasuojaus on hyödyllinen, tosin kuviolla suojaaminen koettiin mielekkäämpänä verrattuna perinteisen numerokoodin syöttämiseen. Kuvion piirtämisen katsottiin vievän vähemmän aikaa, koska sen voi tehtä sormea näytöstä nostamatta. Käytettävyyden näkökulmasta katsottuna kuviolla salaamisen katsottiin huonontavan käytettävyyttä vain vähän (2), numeron syöttämisen puolestaan paljon (4). Toinen testihenkilöistä kertoi käyttävänsä puhelimessaan 4-numeroista koodia, ja toinen puolestaan sanoi, ettei hänellä ole omassa puhelimessaan salasanasuojausta käytössä. Henkilö, jolla oli salasanasuojaus käytössä, kertoi, että se on hyvä tapa estää muita käyttämästä puhelinta. Henkilö jolla ei ollut salasanasuojaus käytössä, kertoi ettei ole halunnut sitä laittaa, koska ei jaksa näppäillä 5-numeroista koodia. Parempaa tapaa suojata puhelin ei testihenkilöiden mielestä kuitenkaan ole, ja menetelmänä kuviosuojaus olisi koodia parempi vaihtoehto.

Kumpikin testihenkilöistä tarttui tehtävään epäröimättä, ja suoriutui tehtävästä ongelmitta. Kumpikin testihenkilö oli sitä mieltä, että salasanasuojaus on hyödyllinen, tosin kuviolla suojaaminen koettiin mielekkäämpänä verrattuna perinteisen numerokoodin syöttämiseen. Kuvion piirtämisen katsottiin vievän vähemmän aikaa, koska sen voi tehtä sormea näytöstä nostamatta. Käytettävyyden näkökulmasta katsottuna kuviolla salaamisen katsottiin huonontavan käytettävyyttä vain vähän (2), numeron syöttämisen puolestaan paljon (4). Toinen testihenkilöistä kertoi käyttävänsä puhelimessaan 4-numeroista koodia, ja toinen puolestaan sanoi, ettei hänellä ole omassa puhelimessaan salasanasuojausta käytössä. Henkilö, jolla oli salasanasuojaus käytössä, kertoi, että se on hyvä tapa estää muita käyttämästä puhelinta. Henkilö jolla ei ollut salasanasuojaus käytössä, kertoi ettei ole halunnut sitä laittaa, koska ei jaksa näppäillä 5-numeroista koodia. Parempaa tapaa suojata puhelin ei testihenkilöiden mielestä kuitenkaan ole, ja menetelmänä kuviosuojaus olisi koodia parempi vaihtoehto.

  

Kumpikin testihenkilö oli sitä mieltä, ettei vieraan puhelimen operointi testissä vaikuttanut juurikaan tehtävän suorittamiseen. Kumpikin testihenkilöistä oli myös sitä mieltä, että piirretty salasana oli helppo muistaa. Toinen testihenkilöistä kuitenkin totesi, että muiden on helppo nähdä kuvio, tai arvata se. Monilla on kovin samanlainen salasana, ja arvaaminen on helppoa, ellei salasana ole hyvin valittu. Toinen testihenkilöistä koki puhelimen asetusten asettamisen hyvin loogiseksi. Toinen joutui miettimään hetken, sillä asetuksista löytyy sekä ?yksityisyys?-, että ?suojaus?-valikko, jotka tuntuivat yhtä intuitiivisilta vaihtoehdoilta. Lisäksi, kun kuviota piirrettiin ensimmäistä kertaa, näytössä lukee ohjeena: ?piirrä lukituksen avauskuvio?. Tästä tulee helposti mieleen, että laitteessa on jo lukituskuvio, joka tulisi tietää ja piirtää. Kumpikin testihenkilö oli sitä mieltä, että osaisi muuttaa salasanan, jos tehtävä tulisi uudelleen tehtäväksi.

Kumpikin testihenkilö oli sitä mieltä, ettei vieraan puhelimen operointi testissä vaikuttanut juurikaan tehtävän suorittamiseen. Kumpikin testihenkilöistä oli myös sitä mieltä, että piirretty salasana oli helppo muistaa. Toinen testihenkilöistä kuitenkin totesi, että muiden on helppo nähdä kuvio, tai arvata se. Monilla on kovin samanlainen salasana, ja arvaaminen on helppoa, ellei salasana ole hyvin valittu. Toinen testihenkilöistä koki puhelimen asetusten asettamisen hyvin loogiseksi. Toinen joutui miettimään hetken, sillä asetuksista löytyy sekä ”yksityisyys”-, että ”suojaus”-valikko, jotka tuntuivat yhtä intuitiivisilta vaihtoehdoilta. Lisäksi, kun kuviota piirrettiin ensimmäistä kertaa, näytössä lukee ohjeena: ”piirrä lukituksen avauskuvio”. Tästä tulee helposti mieleen, että laitteessa on jo lukituskuvio, joka tulisi tietää ja piirtää. Kumpikin testihenkilö oli sitä mieltä, että osaisi muuttaa salasanan, jos tehtävä tulisi uudelleen tehtäväksi.

Päätelmät

Päätelmät

Kuviolukitus on yleistynyt viime aikoina nopeasti, joten vanhemmissa puhelimissa ominaisuutta ei vielä ole, kuten kävi ilmi myös molempien koehenkilöiden tapauksissa. Käyttäjät kokevat kuvion käytön kuitenkin miellyttävämpänä, ja käytettävyydeltään parempana kuin perinteisen numerokoodin syöttämisen. Mielestämme kuviosalasanan lisääminen laitteen ominaisuuksiin sekä parantaa käyttäjäkokemusta, että lisää halukkuutta suojata puhelimen sisältöä salasanan avulla.

Kuviolukitus on yleistynyt viime aikoina nopeasti, joten vanhemmissa puhelimissa ominaisuutta ei vielä ole, kuten kävi ilmi myös molempien koehenkilöiden tapauksissa. Käyttäjät kokevat kuvion käytön kuitenkin miellyttävämpänä, ja käytettävyydeltään parempana kuin perinteisen numerokoodin syöttämisen. Mielestämme kuviosalasanan lisääminen laitteen ominaisuuksiin sekä parantaa käyttäjäkokemusta, että lisää halukkuutta suojata puhelimen sisältöä salasanan avulla.

Kuviolla suojaamisessakin on kuitenkin haasteensa. Erityisesti salasanojen samanlaisuus, ja sitä kautta helppo arvattavuus, nousi esiin. Tämä on kuitenkin yhtä lailla myös perinteisempien PIN- ja tekstisalasanojen ongelma. Koska harva meistä lukee käyttöohjeita, laitteiden valikot tulisi rakentaa siten, että ne ovat mahdollisimman intuitiiviset, ja laitteen antamien ohjeiden tulisi olla yksiselitteiset. Kummassakin näistä on edelleen parantamisen varaa.

Kuviolla suojaamisessakin on kuitenkin haasteensa. Erityisesti salasanojen samanlaisuus, ja sitä kautta helppo arvattavuus, nousi esiin. Tämä on kuitenkin yhtä lailla myös perinteisempien PIN- ja tekstisalasanojen ongelma. Koska harva meistä lukee käyttöohjeita, laitteiden valikot tulisi rakentaa siten, että ne ovat mahdollisimman intuitiiviset, ja laitteen antamien ohjeiden tulisi olla yksiselitteiset. Kummassakin näistä on edelleen parantamisen varaa.

  
  

  

Mika Mäenpää, Pasi Orpana

  

KeePass salasanojen hallintaohjelman asennus ja käyttöönotto

  

Ongelman kuvaus

  

Tutkimuksessa tarkastellaan KeePass salasanojen hallintaohjelman asennusta ja käyttöä. Lisäksi tutkittiin KeeFox selainlisäosan asennusta ja käyttöä. KeePass (http://keepass.info/) on avoimen lähdekoodin salasanojen hallintaohjelma, joka on saatavilla Windowsille. Ohjelma tukee myös Linuxia Mono-frameworkin (http://www.mono-project.com/) avulla. Ohjelmasta on saatavilla vanhempi Classic Edition ja uudempi Professional Edition. Testattavaksi valitsimme Professional Editionin version 2.24. KeePass on pelkkä salasanojen hallintaohjelma. Integraatio muiden sovellusten kanssa toteutetaan pluginien avulla. Testattavaksi valitsimme KeeFox-pluginin (http://keefox.org/), joka tarjoaa integraation Firefox-selaimen kanssa. Testattavan pluginin versionumero on 1.2.7.

  

Tutkimussuunnitelma

  

Koehenkilöiden tehtävänä on asentaa ja käyttää KeePass ja KeeFox-ohjelmia. Tutkimus suoritetaan Tampereen Teknillisen Yliopiston Windows-luokassa. Tehtävät:

  
  1. Asenna KeePass
  2. Lisää KeePassiin salasana ja käyttäjätunnus jollekin verkkopalveluun.
  3. Yritä kirjautua verkkopalveluun käyttämällä hyväksi KeePassia
  4. Asenna KeeFox
  5. Lisää KeePassiin jonkin verkkopalvelun salasana ja käyttäjätunnus käyttäen KeeFoxia
  6. Yritä kirjautua verkkopalveluun käyttämällä hyväksi KeeFoxia
  

Testin aikana koehenkilöiden käyttäytymisessä havainnoidaan seuraavia asioita:

  
  1. Oliko KeePassin asennus helppoa? Mitä olisi voinut tehdä paremmin?
  2. Oliko KeePassin käyttö helppoa? Mitä olisi voinut tehdä paremmin?
  3. Käyttäisikö koehenkilö Keepassia nykyisellään?
  4. Oliko Keefoxin asennus helppoa? Mitä olisi voinut tehdä paremmin?
  5. Oliko Keefoxin käyttö helppoa? Mitä olisi voinut tehdä paremmin?
  6. Käyttäisikö koehenkilö KeeFoxia nykyisellään?
  

Lisäksi koehenkilöiltä kysytään, miten he tuntevat tietoturvan tunteen muuttuneen käytettäessä ohjelmia.

  

Tutkimuksen suorittaminen

  
Henkilö 1:
  

Tausta: Tietotekniikan opiskelija TTY:llä. Ei erityistä taustaa tietoturvallisuudessa. Ei aikaisempaa kokemusta KeePassista.

  

Suoritus: Ohjelman lataus ja asennus sujui ongelmitta. Käynnistettäessä ensimmäistä kertaa KeePass antaa käyttäjälle mahdollisuuden muokata hyvinkin tarkkaan asetuksia. Ongelma oli kuitenkin se, että ohjelma olettaa käyttäjän tietävän asetusten merkityksen eikä tarjoa niille selityksiä. Normaalin käyttäjän ei ole tarpeellista muokata kyseisiä asetuksia. Koehenkilö oli hieman hämmentynyt eri asetuksista ja lopulta totesi, että ohjelmassa pitäisi olla jonkin sortin automaattiasennus, jossa käyttäjää ei vaivattaisi kyseisillä asetuksilla, ettei aikaa kulu niiden ihmettelemiseen.

  

Tooltippien, eli toiminnoista kertovien vinkkien, puuttuminen häiritsi koehenkilöä. Iso osa toiminnoista opittiin yrityksen ja erehdyksen kautta. Kun salasanat oli luotu, koehenkilö valitsi itse nettisivun, joka vaati kirjautumista. Hän loi tietueen KeePassiin, jossa oli kyseisen sivuston tunnukset. Näissä toiminnoissa ei havaittu ongelmia. Kun tuli aika kirjautua sivustolle, kesti jonkin aikaa ennen kuin koehenkilö havaitsi, että ainoa keino saada tunnukset on kopioida ne manuaalisesti KeePassista. Koehenkilö ei löytänyt automaattista toimintoa, joka kirjoittaa tunnukset puolestasi. Tässä kohtaa koehenkilö oli sitä mieltä, että ei hän käyttäisi KeePassia. Salasanojen kopioiminen on työlästä ja selaimissa on toiminnallisuus salasanojen tallentamista varten.

  

Seuraavaksi annettiin tehtäväksi asentaa KeeFox plugini Firefox-selaimeen. Ongelmia tuli, kuten odotettavaa oli. Käynnistyessään plugini kehottaa käynnistämään myös KeePassin. Ongelmana on kuitenkin se, että tässä kohdassa KeePass on jo valmiiksi päällä, eikä asennus meinaa edetä millään. Mitään ilmoitusta ei asiasta tule. Koehenkilö alkoi silminnähden kiihtyä, niin tässä kohdassa näimme parhaaksi kertoa, että KeePass tulee sammuttaa, jotta asennus toimisi. Asennuksen jälkeen tehtävä oli sama. Koehenkilön piti käyttää pluginia haluamallaan sivulla. Asennuksen yhteydessä KeeFox tarjoaa ohjeet siitä kuinka tulee toimia. Ohjeet kuitenkin hukkuivat asennuksessa esiintyvien ongelmien vuoksi. Koehenkilö yritti KeePassista käsin lisätä tunnuksiaan pluginia varten ja epäonnistui löytämään oikean ratkaisun annetussa aikamääreessä. Kerroimme, että ensimmäisen kirjautumisen yhteydessä, plugini herää ja ehdottaa salasanan tallentamista. Plugini luo KeePassiin automaattisesti tietueen syötetyillä tunnuksilla. Tämän jälkeen aina kirjautumissivulle tullessaan tunnukset on jo valmiiksi täytetty ja koehenkilö painoi vain kirjautumis-nappia. Hän ei havainnut selaimen yläreunassa olevaa nappia, jossa on sivuston nimi ja jota painaessa kirjautuminen tapahtuu. Tämä oli pluginin yksi tärkeistä toiminnallisuuksista ja koehenkilö ei sitä havainnut.

  

Koehenkilö oli sitä mieltä, että selaimissa on jo salasanojen tallentamis-ominaisuus, eikä hän näe hyötyä käyttää KeePassia. Käytettävyys kärsii eikä hänen mielestään tietoturvallisuuskaan parantunut.

  
Henkilö 2:
  

Tausta: Opiskelee TTY:llä mm. tietoturvallisuutta, eli on hyvin valveutunut tietoturvallisuusasioista. Käyttää päivittäin KeePassia, muttei aikaisempaa kokemusta KeeFoxin käytöstä.

  

Suoritus: Aikaisemman kokemuksen johdosta ei asennuksessa ilmennyt ongelmia. Vaikka hän on kokenut käyttäjä, ei siltikään ollut tarpeen muuttaa asennuksessa kysyttyjä erityisasetuksia. Koehenkilö valitsi sivun ja loi KeePassiin tietueen. Hän kertoi, että normaalisti KeePassissa hän generoi salasanan automaattisesti, jolloin salasanasta tulee hyvin vahva, eikä hän itse edes tiedä salasanaa.

  

Hänkin kopioi salasanan aina manuaalisesti KeePassista. Ohjelmassa on AutoType-ominaisuus, joka kirjoittaa tunnukset automaattisesti. Se on kuitenkin vaikea saada toimimaan yrityksen ja erehdyksen kautta ja mitään infoa ei sen toiminnasta anneta. Ohjelman käyttö oli sujuvaa tähän asti, eikä ongelmia ilmennyt. Tämä oli odotettavaa aikaisemman käyttökokemuksen johdosta.

  

KeeFox-plugini oli täysin uusi asia koehenkilölle ja myös hänkin törmäsi asennuksessa ilmenevään ongelmaan. KeePass on taustalla päällä, eikä asennus meinaa onnistua. Tätä ihmetellessä myös asennuksen ohessa annetut ohjeet KeeFoxin käyttöön unohtuivat Koehenkilö kokeili kirjautumista omalle sivulleen, jolloin plugini ehdottaa salasanan tallennusta. Tämän jälkeen tunnukset on esitäytetty kirjautumissivulle, jota koehenkilö piti pluginin tehtävänä. Jälkeenpäin löytyi selaimen yläreunassa oleva nappi jota voi käyttää kirjautumiseen. Koehenkilö olisi halunnut napin jotenkin keskeisemmälle paikalle, nykyisellään se on liian sivussa.

  

Asennuksesta johtuvien ongelmien takia koehenkilö arvioi, että olisi todennäköisesti lopettanut jo siinä kohtaa pluginin kokeilemisen. Hän arvioi, että ei tulisi käyttämään KeeFoxia jatkossa. Hän koki tietoturvallisuuden heikentyneen, kun hän ei tarkasti tiedä, missä hänen salasanansa ovat. Hänen mielestään ainoastaan KeePassin pitäisi hallita salasanoja.

  

Tulokset

  

Asennuksessa ja käytössä havaitut ongelmat eivät tulleet yllätyksenä ja olivat samanlaisia molemmilla koehenkilöillä. Molemmat päätyivät manuaalisesti kopioimaan salasanoja KeePassissta selaimeen. Yllätyksenä tuli, että kumpikaan koehenkilöistä ei löytänyt AutoType-ominaisuutta. Odotimme, että koehenkilöt olisivat nähneet KeePassin ja KeeFoxin potentiaalin ja jatkaneet niiden käyttöä tulevaisuudessa. Tietoturvasta vähemmän valveutunut käyttäjä ei nähnyt hyötyä niiden käytössä ja pluginin toiminnallisuus oli hänen mukaansa jo hoidettu selaimen puolesta.

  

Oletimme, että toinen koehenkilö, joka käytti KeePassia päivittäin, olisi jatkanut pluginin käyttöä. Näin ei kuitenkaan käynyt. Johtuiko tämä siitä, että KeePassin käyttö on jo niin urautunutta, että sen muuttaminen ei tapahdu kevyin perustein, vaiko siitä, että KeeFox ei tuntunut turvalliselta.

  

Päätelmät

  

Tietoturvan jotain aspektia parantamaan pyrkivät ohjelmat ovat tutkimuksen perusteella kahden ongelman edessä. Käytettävyydestä ei voi tinkiä. Mikäli normaali henkilö kokee ohjelman haittaavaan käyttöä ja kun ei tietoturvallisuudelle anneta juurikaan painoarvoa, niin ohjelman käyttö lopetetaan. Mikäli ohjelma parantaisi käytettävyyttä, niin sitä käytettäisiin jo pelkästään sen takia. Päätarkoitus, eli salasanojen turvallinen käyttö ja hallinnointi tulisi siinä sivuosassa. Tällaisilla mekanismeilla voitaisiin parantaa tietoturvallisuutta yhteiskunnalliselle tasolle asti. Valveutumattomat käyttäjät saataisiin käytettävyyttä helpottamalla käyttämään ohjelmaa.

  

Toinen ongelma on turvallisuudentunnon säilyttäminen. Käyttäjän pitää luottaa ohjelmaan ja mikäli tässä on jotain epäkohtia, kuten testissä huomasimme, ei käyttäjä todennäköisesti halua jatkaa sen käyttöä.

  

KeePass ja KeeFox voivat toimia arvokkaana työkaluna netissä liikkuessa, jossa tunnuksia tarvitaan hyvin monilla sivustoilla. Käyttäjät kuitenkin käyttävät samoja salasanoja, jotta mahdollisesti kymmenien eri sivustojen eri salasanat eivät unohtuisi. KeePassissa salasanat voidaan automaattisesti luoda hyvin vahvoiksi ja riittää kun muistaa KeePassiin kirjautumiseen tarvittavan salasanan. Käyttöä olisi kuitenkin virtaviivaistettava ja selkeät virheet korjattava.

SivuTiedotLaajennettu edit
Vaativuus Jatko
Valmius Valmisteilla
Tyyppi Atomi
Luokitus Yksilöt
Mitä Useita
Miltä Useita
Missä Useita
Kuka Tite-ammattilainen
Milloin Ennakolta
Miksi Hyvä tapa
SivuTiedotLaajennettu edit
Vaativuus Jatko
Valmius Valmisteilla
Tyyppi Atomi
Luokitus Yksilöt
Mitä Useita
Miltä Useita
Missä Useita
Kuka Tite-ammattilainen
Milloin Ennakolta
Miksi Hyvä tapa
r7 - 15 Dec 2013 - 22:57 - MikaMaeenpaeae? r6 - 08 Dec 2013 - 19:26 - OlliPenttila?

View topic | View difference interwoven | History: r8 < r7 < r6 < r5 | More topic actions
 
Copyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TUTWiki? Send feedback