Удобство использования систем веб-аутентификации

Удобство использования систем веб-аутентификации означает эффективность и приемлемость систем онлайн-аутентификации для пользователей. ^[1] Примерами систем веб-аутентификации являются пароли , системы федеративной идентификации (например, Google OAuth 2.0, Facebook Connect , Sign in with Apple ), системы единого входа (SSO) на основе электронной почты (например, SAW, Hatchet), системы на основе QR-кода ( например Snap2Pass, WebTicket) или любую другую систему, используемую для аутентификации личности пользователя в Интернете. Несмотря на то, что удобство использования систем веб- аутентификации должно быть ключевым фактором при выборе системы, очень немногие системы веб-аутентификации (кроме паролей) подвергались формальным исследованиям или анализу удобства использования . ^[2]

Юзабилити и пользователи

Система веб-аутентификации должна быть максимально удобной в использовании, не ставя при этом под угрозу безопасность , которую она должна обеспечивать. ^[1] Системе необходимо ограничить доступ злонамеренных пользователей, одновременно разрешая доступ авторизованным пользователям. Если система аутентификации не имеет достаточной безопасности, злоумышленники могут легко получить доступ к системе. С другой стороны, если система аутентификации слишком сложна и ограничительна, авторизованный пользователь не сможет (или не захочет) ее использовать. ^[3] Надежная безопасность достижима в любой системе, но даже самая надежная система аутентификации может быть подорвана пользователями системы, которых часто называют «слабыми звеньями» в компьютерной безопасности. ^[4]

Пользователи склонны непреднамеренно повышать или понижать безопасность системы. Если система непригодна для использования, безопасность может пострадать, поскольку пользователи будут пытаться свести к минимуму усилия, необходимые для ввода данных для аутентификации, например, записи своих паролей на бумаге. Более удобная система могла бы предотвратить это. Пользователи с большей вероятностью будут выполнять запросы аутентификации от важных систем (например, онлайн-банкинга), в отличие от менее важных систем (например, форума, который пользователь посещает нечасто), где эти механизмы могут быть просто проигнорированы. Пользователи принимают меры безопасности только до определенного момента, прежде чем их раздражают сложные механизмы аутентификации. ^[4] Таким образом, важным фактором удобства использования системы веб-аутентификации является фактор удобства для пользователя, работающего с ней.

Юзабилити и веб-приложения

Предпочтительной системой веб-аутентификации для веб-приложений является пароль, ^[4] несмотря на его плохое удобство использования и некоторые проблемы с безопасностью. ^[5] Эта широко используемая система обычно содержит механизмы, которые предназначены для повышения безопасности (например, требуют от пользователей иметь пароли с высокой энтропией), но приводят к тому, что системы паролей становятся менее удобными в использовании и непреднамеренно менее безопасными. ^[6] Это связано с тем, что пользователям труднее запомнить эти пароли с высокой энтропией. ^[7] Создателям приложений необходимо изменить парадигму, чтобы разработать более удобные системы аутентификации, учитывающие потребности пользователя. ^[5] Замена вездесущих систем, основанных на паролях, более удобными (и, возможно, более безопасными) системами может привести к серьезным преимуществам как для владельцев приложения, так и для его пользователей.

Измерение

Чтобы измерить удобство использования системы веб-аутентификации, можно использовать структуру «удобство использования-развертывания-безопасность» или «UDS». ^[5] или стандартную метрику, такую как шкала удобства использования системы . ^[2] Структура UDS рассматривает три широкие категории, а именно: удобство использования, развертывание и безопасность системы веб-аутентификации, а затем оценивает тестируемую систему как предлагающую или не предлагающую конкретное преимущество, связанное с одной (или более) из категорий. Затем система аутентификации классифицируется как предлагающая или не предлагающая определенные преимущества в категориях удобства использования, развертывания и безопасности. ^[5]

Измерение удобства использования систем веб-аутентификации позволит провести формальную оценку системы веб-аутентификации и определить ее рейтинг относительно других. Хотя в настоящее время проводится много исследований, касающихся системы веб-аутентификации, они, как правило, сосредоточены на безопасности, а не на удобстве использования. ^[1] Будущие исследования должны формально оцениваться на предмет удобства использования с использованием сопоставимых показателей или методов. Это позволит сравнить различные системы аутентификации, а также определить, соответствует ли система аутентификации минимальным критериям удобства использования. ^[2]

Какую систему веб-аутентификации выбрать

Было обнаружено, что эксперты по безопасности склонны уделять больше внимания безопасности , а не аспектам удобства использования систем веб-аутентификации. ^[5] Это проблематично, поскольку должен быть баланс между безопасностью системы и простотой ее использования .Исследование, проведенное в 2015 году ^[2] обнаружили, что пользователи, как правило, предпочитают системы на основе единого входа (например, те, которые предоставляют Google и Facebook). Пользователи предпочитали эти системы, поскольку считали их быстрыми и удобными в использовании. ^[2] Системы на основе единого входа привели к существенному улучшению как удобства использования, так и безопасности. ^[5] SSO снижает необходимость запоминать множество имен пользователей и паролей, а также время, необходимое для аутентификации, тем самым повышая удобство использования системы.

Другие важные соображения

Пользователи предпочитают системы, которые не сложны и не требуют минимальных усилий для использования и понимания. ^[2]
Пользователям нравится использовать биометрические системы и на базе телефона системы аутентификации . Однако этим типам систем для функционирования требуются внешние устройства, более высокий уровень взаимодействия со стороны пользователей и необходим резервный механизм, если устройство недоступно или выходит из строя, что может привести к снижению удобства использования. ^[2]
Текущую систему паролей, используемую многими веб-приложениями, можно расширить для повышения удобства использования, используя:
- запоминающиеся мнемоники вместо паролей. ^[6]
- графические или мнемонические пароли , чтобы сделать аутентификацию более удобной. ^[7]

Будущая работа

Удобство использования будет становиться все более важным по мере того, как все больше приложений будут перемещаться в Интернет и потребуют надежных и надежных систем аутентификации, которые одновременно удобны в использовании и безопасны. Использование мозговых волн в системах аутентификации ^[8] были предложены как возможный путь достижения этой цели. Однако необходимы дополнительные исследования и исследования удобства использования.

См. также

Ссылки

^ Jump up to: ^а ^б ^с Кристина Браз; Жан-Марк Робер (18 апреля 2006 г.). «Безопасность и удобство использования: пример методов аутентификации пользователей» . Цифровая библиотека ACM . ACM Нью-Йорк, штат Нью-Йорк, США. стр. 199–203 . Проверено 24 февраля 2016 г.
^ Jump up to: ^а ^б ^с ^д ^и ^ж ^г Скотт Руоти; Брент Робертс; Кент Симонс. «Аутентификация ближнего боя: анализ удобства использования семи систем веб-аутентификации» (PDF) . 24-я Международная конференция Всемирной паутины . стр. 916–926 . Проверено 24 февраля 2016 г.
^ Шнайер, Брюс. «Баланс между безопасностью и удобством аутентификации» . Шнайер по безопасности . Проверено 24 февраля 2016 г.
^ Jump up to: ^а ^б ^с Рено, Карен (январь 2004 г.). «Количественная оценка качества механизмов веб-аутентификации с точки зрения удобства использования» . Журнал веб-инженерии . Проверено 24 февраля 2016 г.
^ Jump up to: ^а ^б ^с ^д ^и ^ж Бонно, Джозеф; Херли, Кормак; ван Оршот, Пол К.; Стахано, Франк (2012). «В поисках замены паролей: основа сравнительной оценки схем веб-аутентификации». Симпозиум IEEE 2012 по безопасности и конфиденциальности (PDF) . Компьютерная лаборатория Кембриджского университета. стр. 553–567. дои : 10.1109/СП.2012.44 . ISBN 978-1-4673-1244-8 . ISSN 1476-2986 .
^ Jump up to: ^а ^б Сундарараман, Джияраман; Топкара, Умут (2005). «Имейте пирог и съешьте его — повышение удобства использования систем аутентификации на основе текстовых паролей». 21-я ежегодная конференция по приложениям компьютерной безопасности (ACSAC'05) (PDF) . IEEE. стр. 473–482. дои : 10.1109/CSAC.2005.28 . ISBN 0-7695-2461-3 . ISSN 1063-9527 .
^ Jump up to: ^а ^б Может; Фэн, Дж (2011). «Оценка удобства использования трех методов аутентификации в веб-приложении». 2011 Девятая международная конференция по исследованиям, управлению и приложениям в области программного обеспечения . IEEE. стр. 81–88. дои : 10.1109/SERA.2011.18 . ISBN 978-1-4577-1028-5 .
^ Финансовая криптография и безопасность данных . Шпрингер Берлин Гейдельберг. 2013. стр. 1–16. ISBN 978-3-642-41320-9 .

Дальнейшее чтение

Мартин Георгиев; Суман Джана; Виталий Шматиков. «Переосмысление безопасности системных веб-приложений» (PDF) . 24-я Международная конференция Всемирной паутины .
Кейт, Марк; Шао, Бенджамин; Стейнбарт, Пол Джон (январь 2007 г.). «Удобство использования парольных фраз для аутентификации: эмпирическое полевое исследование». Международный журнал человеко-компьютерных исследований . 65 (1): 17–28. дои : 10.1016/j.ijhcs.2006.08.005 . S2CID 18143783 .
Хафиз, Мухаммад Даниэль; Абдулла, Абдул Ханан; Итнин, Норафида; Мамми, Хазина Кутти (2008). «На пути к определению возможностей использования и безопасности графического пароля в технологии аутентификации, основанной на знаниях». 2008 Вторая Азиатская международная конференция по моделированию и симуляции (AMS) . стр. 396–403. дои : 10.1109/AMS.2008.136 .
Джон Чуанг; Гамильтон Нгуен; Чарльз Ван; Бенджамин Джонсон (2013). «Я мыслю, следовательно, я существую: удобство использования и безопасность аутентификации с использованием мозговых волн». Финансовая криптография и безопасность данных . Конспекты лекций по информатике. Том. 7862. Шпрингер Берлин Гейдельберг. стр. 1–16. CiteSeerX 10.1.1.359.9402 . дои : 10.1007/978-3-642-41320-9_1 . ISBN 978-3-642-41319-3 . ISSN 0302-9743 .
Пол Т. Маккейб (2002). «Удобство использования и аутентификация пользователей: пекторальный пароль или PIN-код» . Современная эргономика, 2003 . ЦРК Пресс. ISBN 9780203455869 .

[braz-1] Jump up to: ^а ^б ^с Кристина Браз; Жан-Марк Робер (18 апреля 2006 г.). «Безопасность и удобство использования: пример методов аутентификации пользователей» . Цифровая библиотека ACM . ACM Нью-Йорк, штат Нью-Йорк, США. стр. 199–203 . Проверено 24 февраля 2016 г.

[ruoti-2] Jump up to: ^а ^б ^с ^д ^и ^ж ^г Скотт Руоти; Брент Робертс; Кент Симонс. «Аутентификация ближнего боя: анализ удобства использования семи систем веб-аутентификации» (PDF) . 24-я Международная конференция Всемирной паутины . стр. 916–926 . Проверено 24 февраля 2016 г.

[schneier-balancing-security-3] Шнайер, Брюс. «Баланс между безопасностью и удобством аутентификации» . Шнайер по безопасности . Проверено 24 февраля 2016 г.

[renaud-4] Jump up to: ^а ^б ^с Рено, Карен (январь 2004 г.). «Количественная оценка качества механизмов веб-аутентификации с точки зрения удобства использования» . Журнал веб-инженерии . Проверено 24 февраля 2016 г.

[bonneau-5] Jump up to: ^а ^б ^с ^д ^и ^ж Бонно, Джозеф; Херли, Кормак; ван Оршот, Пол К.; Стахано, Франк (2012). «В поисках замены паролей: основа сравнительной оценки схем веб-аутентификации». Симпозиум IEEE 2012 по безопасности и конфиденциальности (PDF) . Компьютерная лаборатория Кембриджского университета. стр. 553–567. дои : 10.1109/СП.2012.44 . ISBN 978-1-4673-1244-8 . ISSN 1476-2986 .

[sundararaman-6] Jump up to: ^а ^б Сундарараман, Джияраман; Топкара, Умут (2005). «Имейте пирог и съешьте его — повышение удобства использования систем аутентификации на основе текстовых паролей». 21-я ежегодная конференция по приложениям компьютерной безопасности (ACSAC'05) (PDF) . IEEE. стр. 473–482. дои : 10.1109/CSAC.2005.28 . ISBN 0-7695-2461-3 . ISSN 1063-9527 .

[feng-ma-7] Jump up to: ^а ^б Может; Фэн, Дж (2011). «Оценка удобства использования трех методов аутентификации в веб-приложении». 2011 Девятая международная конференция по исследованиям, управлению и приложениям в области программного обеспечения . IEEE. стр. 81–88. дои : 10.1109/SERA.2011.18 . ISBN 978-1-4577-1028-5 .

[chuang-8] Финансовая криптография и безопасность данных . Шпрингер Берлин Гейдельберг. 2013. стр. 1–16. ISBN 978-3-642-41320-9 .

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]