titl CZ OPVK_MU_rgb •1 • Projekt ze sociální informatiky: •(IT) bezpečnost očima psychologa • • •prof. David Smahel, Ph.D. •Czech Republic, Masaryk University • • • • zahlavi CZ •2 • Uživatel IT (znalosti, vlastnosti …) • • • •Legislativa Technické aspekty zabezpečení • Bezpečnost • • • • • Vliv prostředí (technologické změny, edukace…) • • zahlavi CZ •3 • Uživatel IT (znalosti, vlastnosti …) • • • •Legislativa Technické aspekty zabezpečení • Bezpečnost • • • • • Vliv prostředí (technologické změny, edukace…) • • • zahlavi CZ P:\CRCS\2012_0178_Redesign_loga_a_JVS\PPT_prezentace\sablona\pracovni\titulka.jpg Usable security: Experimental research of ICT user behavior in the domain of security David Smahel Vaclav Matyas Vlasta Stavova Lenka Dedkova Hana Machackova Kamil Malinka Radim Polcak • Interdisciplinary Research Team on Internet and Society zahlavi CZ What is usable security? * Users and security trainings. * Security policy design * Warning and user dialog design. * Authentication methods with respect to users. * Passwords and users password habits. * Users and privacy. * Secure system design. • •5 Co všechno taková usable security může zahrnovat? Může to být třeba návrh bezpečnostních školení a politik, změření jejich vlivu na dotyčné, porovnání jednotlivých typů školení co se týče efektu na chování zaměstnanců. Návrh bezpečnostních politik tak, aby byly dostatečně srozumitelné a pro koncového uživatele. Může to být design rozhraní bezpečnostních aplikací nebo metod autentizačních metod tak, aby byly co nejlépe použitelné pro koncového uživatele. Široké téma jsou i hesla a jejich uživatelská přívětivost nebo jak uživatelé vnímají svoje soukromí. zahlavi CZ Involved parties * Netsuite Inc.– company producing business management software * ICS (ÚVT) – service provider for Masaryk University * ESET s.r.o. – security software developer * SODATSW s.r.o. – manufacturer of robust security encryption solutions * Masaryk University: Faculty of Informatics, Faculty of Social Studies, Faculty of Law •6 zahlavi CZ Aims of the research: * Netsuite Inc. – measurement of user adherance to the security policy depending on a type of the security policy tutorial. * ICS (ÚVT) – measurement of user knowledge and understanding of the security policy. * ESET, spol. s.r.o. – 2 user dialogs redesigned for their antivirus system. * SODATSW s.r.o. – password soft recovery for their security system. * •7 A co bylo cílem každé ze spoluprácí s našimi partnery? S Netsuitem jsme měli za úkol změřit dodržování bezpečnostní politiky uživateli v závislosti na typu školení, kterým prošli. S UVT jsme měli za úkol změřit znalost bezpečnostní směrnice mezi studenty předtím a potom, co byla vytvořena nová směrnice. S ESETem jsme pracovali na uživatelském rozhraní jejich antivirového systému a měřili efektivitu jednotlivých návrhů v praxi. A se SodatSW jsme porovnávali dvě metody sekundární autentizace. Obecně to, co umíme, je vytvořit nebo poradit s tvorbou nějakého uživatelsky přívětivé, školení, rozhraní, autentizační metodu, politiku atd. A pak nadesignovat experiment, ve kterém můžeme například porovnat různé typy takových „bezpečnostních úprav“ nebo porovnat ovou bezpečnostní úpravu se starých řešením a zároveň změřit uživatelské postoje, chování, efekt změny. Jakmile experiment proběhne, umíme vyhodnotit sesbíraná data, vybrat z nich ta zajímavá a pomocí statistických nebo data miningových metod zjistíme, rozdíly, postoje, efekt. zahlavi CZ ESET PROJECT 1 Aims * Antivirus premium license contains many security benefits over the basic one. * Increase user's security by increasing a number of people who upgrade the basic version to the premium license. * Android platform. * Only small changes in already existing user dialog. * * •8 První projekt s ESETem se zaměřil na antivirus na mobilní platformě. Antivirus u mobilů funguje tak, že jsou dva typy licencí, standardní a „premium“, která obsahuje velké možstv bezpečnostních funkcí. Když uživatel nainstaluje antivirus, může si vyzkoušel trial premium licence na 30 dní zdarma. Po uběhnutí 30 dní se uživateli zobrazí uživatelský dialog, o tom, že si může pokračovat v premium licenci, pokud si jí koupí a nebo dowgradeovat na licenci standardní. Naším cílem bylo pomocí drobných změn v dialogu se snažit docílit toho, aby se více uživatel zachovalo „více bezpečně“ a zakoupilo licenci. There are two types of security license in mobile antivirus. Basic with limited security features and premium with many security features. When user install Android antivirus version, he may use trial of premium license and then he must decide whether stay in more secure premium or downgrade to the basic one. zahlavi CZ ESET Challenge 1 – Experiment 2 •9 •One of proposed variants •Initial user dialog zahlavi CZ ESET Challenge 1 – Activities 1.Experiment 1 (14 000 participants) tested: * Control variant (no change). * Variant with a text change. * Variant with added „Ask later“ button. 2.Experiment 2 (60 000 participants) tested: * More complex combinations of persuasive principle (decoy option) and text change from first experiment. * A user survey for English, Czech, Slovak and German speaking participants was included to reveal user security habits. * * •10 zahlavi CZ ESET Challenge 1 – Experiment 1 – Results * Both new variants caused increase in number of purchases. * about 51% in variant with text change * about 21% in variant with „Ask later“ button. * •11 zahlavi CZ ESET Challenge 1 – Experiment 2 – Results * No variant was significantly better in nudging user to obtain a premium license. * Interesting results found out of questionnaire, e.g.: * Tablet users consider their device as less secure and purchase a license more often than smartphone users. * Participants who bought the premium license have more private data in their devices. * No statistically significant correlation with license purchase is, surprisingly, use of the device for storing passwords. * The older user is, the more he buys a license. * •12 V druhém experimentu nebyla žádná varianta statisticky významně lepší, ale zjistili jsme zajímavé poznatky z dat, získaných z dotazníků. Obecně uživatelé tablet považuje za méně bezpečný než smartphone. zahlavi CZ ESET PROJECT 2 Aims * How to encourage users to enable PUA (potentially unwanted application) detection? * Increase user's security by increasing number of users who pick a PUA (spyware, adware, etc.) detection during antivirus installation process. * Both options must be equal due to legal reasons. * PC platform. * Small changes in already existing user dialog. * * •13 When installing antivirus program on PC, one of steps in installation is user dialog whether user want or not also detect potentially unwatend application. Potentially unwanted application is spyware and adware that lays in „greay zone“. They are not as harmful as viruses but stil may spy users or make his PC slow and so no. The very interesting is the legal aspect of whole challenge. PUA producers have tendency to sue ESET when detect/do not detect options will not be equal. zahlavi CZ ESET – Challenge 2 – Aims •14 Základní obrazovka, jedná se o jeden krok v instalaci. zahlavi CZ ESET PROJECT 2 Activities 1.Experiment 1: Designed 15 new variants (including control variant) introduced to test on PC antivirus beta users. * 100 000 participants * We experimented with text content, colors, pictorials, bold type, bullet lists…. 2.Experiment 2: Repeated with same settings, but real users. * 350 000 participants * Difference in behavior of beta x real users * •15 zahlavi CZ Proposed variants * We designed 14 variants + control one • •16 As I already mentioned. We used several good practises, such as adding a pictorial in contrast colors, add structure, text in a bold type, provide example, Only minor changes were allowed by company Changes we made may seem subtle, but a conceptual redesign was out of question due to several limitations imposed by the company. However, we feel that even with our ``subtle'' changes we were able to incorporate some traditional warning design features. zahlavi CZ Proposed variants •17 We used several good practises, such as adding a pictorial in contrast colors, add structure, text in a bold type, provide example, zahlavi CZ Proposed variants * We designed 14 variants + control one • •18 We used several good practises, such as adding a pictorial in contrast colors, add structure, text in a bold type, provide example, variant with and without explanatory text, etc. The changes we made may seem subtle, but it was impossible to make more Changes we made may seem subtle, but a conceptual redesign was out of question due to several limitations imposed by the company. However, we feel that even with our ``subtle'' changes we were able to incorporate some traditional warning design features. zahlavi CZ How many people allows detections across variants Basic variant Average 74,7% zahlavi CZ •20 zahlavi CZ •21 zahlavi CZ •22 •ESET (preliminary) conclusions: * What works: * positive answer as first option * “enable”is better than “detect” * * Additional texts -> no effect * Warning symbols -> no effect * •Final remark: users are not reading longer texts in the installation process… • * Podobu scénářů jsme ovlivnit nemohli, nadesignovali jsme experiment, kdy půlka účastníků určitou dobu používala software a na konci této periody měla použít jednu z metod obnovy, po té následovala stejně dlouhá doba použití systému a na konci uživatelé museli použít alternativní obnovu. Po každé z obnov vyplnili dotazníky měřící jejich spokojenost s obnovou, na konci celého experimentu ještě v dotazníku porovnávali obě obnovy z mnoha hledisek.