Удобство использования систем веб-аутентификации - Usability of web authentication systems
Удобство использования систем веб-аутентификации относится к эффективности и принятию пользователями онлайн-систем аутентификации.[1] Примеры систем веб-аутентификации: пароли, федеративные системы идентификации (например. Google oAuth 2.0, Facebook подключение, Mozilla персона), электронное письмо -основан Единая точка входа (SSO) системы (например, SAW, Hatchet), QR код -системы (например, Snap2Pass, WebTicket ) или любую другую систему, используемую для аутентификации личности пользователя в сети. Хотя удобство использования сети аутентификация системы должны быть ключевым фактором при выборе системы, очень немногие системы веб-аутентификации (кроме паролей) подвергались формальным удобство использования исследования или анализ.[2]
Юзабилити и пользователи
Система веб-аутентификации должна быть максимально удобной для использования, не подвергая риску безопасность что ему нужно обеспечить.[1] Системе необходимо ограничить доступ злонамеренных пользователей, одновременно разрешив доступ к уполномоченный пользователей. Если система аутентификации не имеет достаточной безопасности, злоумышленники могут легко получить доступ к системе. С другой стороны, если система аутентификации слишком сложная и ограничивающая, авторизованный пользователь не сможет (или захочет) ее использовать.[3] Сильная безопасность достижима в любой системе, но даже самая безопасная система аутентификации может быть взломана пользователями системы, что часто называют «слабыми звеньями» в компьютерной безопасности.[4]
Пользователи склонны непреднамеренно повышать или понижать безопасность системы. Если система непригодна для использования, безопасность может пострадать, поскольку пользователи будут пытаться минимизировать усилия, необходимые для ввода данных для аутентификации, таких как запись своих паролей на бумаге. Более удобная система могла бы предотвратить это. Пользователи с большей вероятностью будут подчиняться запросам аутентификации от важных систем (например, онлайн-банкинга), в отличие от менее важных систем (например, форума, который пользователь посещает нечасто), где эти механизмы можно просто игнорировать. Пользователи принимают меры безопасности только до определенного момента, прежде чем их начинают раздражать сложные механизмы аутентификации.[4] Таким образом, важным фактором удобства использования системы веб-аутентификации является фактор удобства для пользователя.
Юзабилити и веб-приложения
Предпочтительной системой веб-аутентификации для веб-приложений является пароль,[4] несмотря на плохое удобство использования и некоторые проблемы с безопасностью.[5] Эта широко используемая система обычно содержит механизмы, которые были предназначены для повышения безопасности (например, требуя от пользователей наличия паролей с высокой энтропией), но приводят к тому, что системы паролей становятся менее удобными и непреднамеренно менее безопасными.[6] Это связано с тем, что пользователям сложнее запомнить пароли с высокой энтропией.[7] Создателям приложений необходимо изменить парадигму, чтобы разработать более удобные для использования системы аутентификации, учитывающие потребности пользователя.[5] Замена повсеместных систем на основе паролей более удобными (и, возможно, более безопасными) может принести значительные выгоды как владельцам приложения, так и его пользователям.
Измерение
Чтобы измерить удобство использования системы веб-аутентификации, можно использовать "удобство использования – развертывание – безопасность "или" UDS "framework[5] или стандартная метрика, например шкала удобства использования системы.[2] Платформа UDS рассматривает три широкие категории, а именно удобство развертывания и безопасность системы веб-аутентификации, а затем оценивает протестированную систему как предлагающую или не предлагающую определенные преимущества, связанные с одной (или несколькими) категориями. Затем система аутентификации классифицируется как предлагающая или не предлагающая определенные преимущества в рамках категорий удобства использования, развертывания и безопасности.[5]
Измерение удобства использования систем веб-аутентификации позволит формально оценить систему веб-аутентификации и определить рейтинг системы по сравнению с другими. Хотя в настоящее время проводится множество исследований системы веб-аутентификации, они, как правило, сосредоточены на безопасности, а не на удобстве использования.[1] Будущие исследования должны быть официально оценены на предмет удобства использования с использованием сопоставимых показателей или методов. Это позволит сравнить различные системы аутентификации, а также определить, соответствует ли система аутентификации минимальному критерию удобства использования.[2]
Какую систему веб-аутентификации выбрать
Было обнаружено, что эксперты по безопасности склонны уделять больше внимания безопасность и меньше - об аспектах удобства использования систем веб-аутентификации.[5] Это проблематично, так как должен быть баланс между безопасность системы и ее простота использования.Исследование, проведенное в 2015 году.[2] обнаружили, что пользователи, как правило, предпочитают системы на основе единого входа (например, в Google и Facebook). Пользователи предпочли эти системы, потому что считали их быстрыми и удобными в использовании.[2] Системы на основе единого входа позволили существенно улучшить удобство использования и безопасность.[5] SSO снижает потребность пользователей в запоминании многих имен пользователей и паролей, а также время, необходимое для аутентификации, тем самым повышая удобство использования системы.
Другие важные соображения
- Пользователи предпочитают несложные системы, требующие минимальных усилий для использования и понимания.[2]
- Пользователям нравится использовать биометрия и по телефону системы аутентификации. Однако для работы этих типов систем требуются внешние устройства, более высокий уровень взаимодействия с пользователями и необходим резервный механизм, если устройство недоступно или выходит из строя, что может привести к снижению удобства использования.[2]
- Текущая система паролей, используемая многими веб-приложениями, может быть расширена для повышения удобства использования с помощью:
- запоминающаяся мнемоника вместо паролей.[6]
- графические или мнемонические пароли чтобы сделать аутентификацию более удобной.[7]
Будущая работа
Удобство использования будет становиться все более и более важным по мере того, как все больше приложений перемещаются в онлайн и требуют надежных и надежных систем аутентификации, которые можно использовать и защищать. Использование мозговых волн в системах аутентификации[8] были предложены в качестве возможного способа достижения этого. Однако требуются дополнительные исследования и исследования удобства использования.
Смотрите также
Рекомендации
- ^ а б c Кристина Браз; Жан-Марк Робер (18 апреля 2006 г.). «Безопасность и удобство использования: методы аутентификации пользователей». Цифровая библиотека ACM. ACM Нью-Йорк, Нью-Йорк, США. стр. 199–203. Получено 24 февраля 2016.
- ^ а б c d е ж грамм Скотт Руоти; Брент Робертс; Кент Симонс. «Рукопашная аутентификация: анализ удобства использования семи систем веб-аутентификации» (PDF). 24-я Международная конференция World Wide Web. стр. 916–926. Получено 2016-02-24.
- ^ Шнайер, Брюс. «Баланс безопасности и удобства использования при аутентификации». Шнайер о безопасности. Получено 24 февраля 2016.
- ^ а б c Рено, Карен (январь 2004 г.). «Количественная оценка качества механизмов веб-аутентификации с точки зрения удобства использования». Журнал веб-инженерии. Получено 24 февраля 2016.
- ^ а б c d е ж Бонно, Жозеф; Херли, Кормак; van Oorschot, Paul C .; Стаджано, Франк (2012). В поисках замены паролей: основа для сравнительной оценки схем веб-аутентификации (PDF). Симпозиум IEEE по безопасности и конфиденциальности 2012 г.. Компьютерная лаборатория Кембриджского университета. Дои:10.1109 / SP.2012.44. ISSN 1476-2986.
- ^ а б Сундарараман, Джейараман; Топкара, Умут. Ешьте пирог и ешьте тоже - Повышение удобства использования систем аутентификации на основе текстового пароля (PDF). 21-я ежегодная конференция по приложениям компьютерной безопасности (ACSAC'05). Материалы ... Ежегодной конференции по приложениям компьютерной безопасности. Тусон, Аризона: IEEE. Дои:10.1109 / CSAC.2005.28. ISBN 0-7695-2461-3. ISSN 1063-9527.
- ^ а б Май; Фэн, Дж (2011). Оценка удобства использования трех методов аутентификации в веб-приложении. 2011 9-я Международная конференция по исследованиям, управлению и приложениям программной инженерии (SERA). Балтимор, Мэриленд: IEEE. С. 81–88. Дои:10.1109 / SERA.2011.18. ISBN 978-1-4577-1028-5.
- ^ Финансовая криптография и безопасность данных. Springer Berlin Heidelberg. 2013. С. 1–16. ISBN 978-3-642-41320-9.
дальнейшее чтение
- Мартин Георгиев; Суман Джана; Виталий Шматиков. «Переосмысление безопасности системных веб-приложений» (PDF). 24-я Международная конференция World Wide Web.
- Кейт, Марк; Шао, Бенджамин; Стейнбарт, Пол Джон (январь 2007 г.). «Удобство использования парольных фраз для аутентификации: эмпирическое полевое исследование». Международный журнал человеко-компьютерных исследований. 65 (1): 17–28. Дои:10.1016 / j.ijhcs.2006.08.005.
- Мухаммад Даниэль Хафиз Абдулла; Абдул Ханан Абдулла; Норафида Итнин; Хазина Кутти Мамми (2008). На пути к определению возможностей использования и безопасности графического пароля в технике аутентификации на основе знаний. 2008 Вторая Азиатская международная конференция по моделированию и симуляции (AMS). С. 396–403. Дои:10.1109 / AMS.2008.136.
- Джон Чуанг; Гамильтон Нгуен; Чарльз Ван; Бенджамин Джонсон (2013). «Я думаю, следовательно, я: удобство и безопасность аутентификации с использованием мозговых волн». Финансовая криптография и безопасность данных. Конспект лекций по информатике. 7862. Springer Berlin Heidelberg. С. 1–16. CiteSeerX 10.1.1.359.9402. Дои:10.1007/978-3-642-41320-9_1. ISBN 978-3-642-41319-3. ISSN 0302-9743.
- Пол Т. МакКейб (2002). «Удобство использования и аутентификация пользователя: грудной пароль против PIN». Современная эргономика, 2003 г.. CRC Press. ISBN 9780203455869.