On selected end-user issues in usable security – Mgr. Vlasta Šťavová

Abstract:

Bezpečný systém se považuje za dobře použitelný, pokud jsou si jeho uživatelé v každém kroku vědomi, jak provést patřičný úkon. Takový systém by zároveň neměl uživateli dovolit udělat závažnou chybu a jeho rozhraní by mělo být přehledné, jednoduché a pohodlné k práci. V roce 1998 Alma Whitten a Doug Tygar identifikovali pět hlavních výzev usable security (uživatelsky přívětivé bezpečnosti). Dnes, po téměř 20 letech, je zajištění použitelnost v bezpečnostních systémech stále výzvou. Ačkoliv je možné řadu věcí provádět automaticky, stále existují úkoly, jejichž provedení vyžaduje uživatelovo rozhodnutí. Příkladem může být pořízení antivirového systému, detekce potenciálně škodlivých aplikací nebo reakce na varování zobrazené ve webovém prohlížeči. Cílem mého výzkumu je pracovat na zvýšení bezpečného chování koncových uživatelů. Ve spolupráci s komerčními partnery ESET, SODATSW a NetSuite a s Ústavem výpočetní techniky Masarykovy univerzity zkoumáme následující oblasti použitelné bezpečnosti: 1) Porozumění chování koncového uživatele ve vztahu ke používání antivirového software. 2) Zvýšení povědomí v oblasti bezpečnosti pro koncového uživatele (například studentů nebo zaměstnanců). 3) Testování použitelnosti bezpečnostních systémů, například studie použitelnosti různých metod obnovy hesla. Dále plánujeme pokračovat ve výzkumu chování studentů Masarykovy univerzity v oblasti bezpečnosti, chceme změřit jejich povědomí v oblasti bezpečnosti předtím a potom, co bude zveřejněna nová směrnice. Do budoucna plánujeme další výzkumnou spolupráci s novým komerčním partnerem na téma autentizace a aktivace služby pro koncového uživatele. …moreless

Abstract:

A security system is usable when people who are using it are reliably aware of the security tasks that they need to perform and they are able to figure out how to carry out these tasks. The system should also prevent them from making serious errors. Overall, the system interface should be sufficiently convenient to work with. In 1998, Alma Whitten and Doug Tygar identified five major challenges of usable security. After nearly 20 years, these principles remain actual and prove usability in security is still a challenge. Despite the highly automatic nature of modern technologies, there are still plenty of tasks where a user is needed to make a decision that can impact his subsequent security and privacy. These tasks can be too difficult to make the decision entirely automatic or requirements of different users can be too difficult to be predicted. Purchasing security software, enabling potentially unwanted applications or acting on browser security warnings are examples of decisions that are hard to automate. The aim of my research is to increase secure behaviour of a broad end-user population. We have cooperated with commercial partners ESET, SODATSW, NetSuite, and also with the Institute of Computer Science, Masaryk University, to investigate following usable security areas: 1) User-oriented computer protection -- understanding end-user behaviour and decisions when operating with selected parts of antivirus software. 2) Security awareness -- investigation on methods how to raise security awareness at end-user populations (university students, company employees). 3) Usability testing of security mechanisms -- usability study of end-user being exposed to different kinds of password recovery methods. Our future plans cover research on Masaryk University students' behaviour, their knowledge and adherence to security policy and measure security awareness among students after a release of a new Masaryk University security policy. We also plan to start a cooperation with a new commercial partner on the topic of end-user security in authentication and/or service activation. …moreless