Удобство использования систем веб-аутентификации

Под удобством использования систем веб-аутентификации понимается эффективность и принятие пользователями систем онлайн-аутентификации. ^[1] Примерами систем веб-аутентификации являются пароли , федеративные системы идентификации (например, Google oAuth 2.0, Facebook connect , Mozilla persona), системы единого входа (SSO) на основе электронной почты (например, SAW, Hatchet), системы на основе QR-кода. (например, Snap2Pass , WebTicket ) или любую другую систему, используемую для аутентификации личности пользователя в сети. Несмотря на то, что удобство веб- аутентификации системы должны быть ключевым фактором при выборе системы, очень немногие системы сетевой аутентификации (кроме паролей) были подвергнуты формальным исследованиям или анализу юзабилити . ^[2]

Юзабилити и пользователи [ править ]

Система веб-аутентификации должна быть максимально удобной для использования, не ставя под угрозу безопасность, которую она должна обеспечивать. ^[1] Системе необходимо ограничить доступ злоумышленников, но разрешить доступ авторизованным пользователям. Если система аутентификации не имеет достаточной безопасности, злоумышленники могут легко получить доступ к системе. С другой стороны, если система аутентификации будет слишком сложной и ограничительной, авторизованный пользователь не сможет (или захочет) ее использовать. ^[3] Сильная безопасность достижима в любой системе, но даже самая безопасная система аутентификации может быть взломана пользователями системы, что часто называют «слабыми звеньями» в компьютерной безопасности. ^[4]

Пользователи склонны непреднамеренно повышать или понижать безопасность системы. Если система непригодна для использования, безопасность может пострадать, поскольку пользователи будут пытаться свести к минимуму усилия, необходимые для ввода данных для аутентификации, таких как запись своих паролей на бумаге. Более удобная система может предотвратить это. Пользователи с большей вероятностью будут выполнять запросы аутентификации от важных систем (например, онлайн-банкинг), в отличие от менее важных систем (например, форума, который пользователь посещает нечасто), где эти механизмы можно просто игнорировать. Пользователи принимают меры безопасности только до определенного момента, прежде чем их раздражают сложные механизмы аутентификации. ^[4] Таким образом, важным фактором удобства использования веб-системы аутентификации является фактор удобства для пользователя.

Юзабилити и веб-приложения [ править ]

Предпочтительной системой веб-аутентификации для веб-приложений является пароль ^[4], несмотря на ее плохое использование и некоторые проблемы с безопасностью. ^[5] Эта широко используемая система обычно содержит механизмы, предназначенные для повышения безопасности (например, требующие от пользователей наличия паролей с высокой энтропией), но приводящие к тому, что системы паролей становятся менее удобными и непреднамеренно менее безопасными. ^[6] Это связано с тем, что пользователям сложнее запомнить эти пароли с высокой энтропией. ^[7] Создателям приложений необходимо изменить парадигму, чтобы разработать более удобные системы аутентификации, учитывающие потребности пользователя. ^[5] Замена повсеместных систем на основе паролей более удобными (и, возможно, более безопасными) системами может принести значительные выгоды как владельцам приложения, так и его пользователям.

Измерение [ править ]

Чтобы измерить удобство использования системы веб-аутентификации, можно использовать структуру « удобство использования – развертывание – безопасность » или «UDS» ^[5] или стандартную метрику, например шкалу удобства использования системы. ^[2] Структура UDS рассматривает три широкие категории, а именно удобство развертывания и безопасность системы веб-аутентификации, а затем оценивает протестированную систему как предлагающую или не предлагающую определенные преимущества, связанные с одной (или несколькими) категориями. Затем система аутентификации классифицируется как предлагающая или не предлагающая определенные преимущества в категориях удобства использования, развертывания и безопасности. ^[5]

Измерение удобства использования систем веб-аутентификации позволит формально оценить систему веб-аутентификации и определить рейтинг системы по сравнению с другими. Хотя в настоящее время проводится множество исследований системы веб-аутентификации, они, как правило, сосредоточены на безопасности, а не на удобстве использования. ^[1] Будущие исследования должны быть официально оценены на предмет удобства использования с использованием сопоставимых показателей или методов. Это позволит сравнить различные системы аутентификации, а также определить, соответствует ли система аутентификации минимальному критерию удобства использования. ^[2]

Какую систему веб-аутентификации выбрать [ изменить ]

Было обнаружено, что эксперты по безопасности, как правило, больше внимания уделяют безопасности, а не аспектам удобства использования систем веб-аутентификации. ^[5] Это проблематично, поскольку необходимо соблюдать баланс между безопасностью системы и простотой использования . Исследование, проведенное в 2015 году ^[2], показало, что пользователи, как правило, предпочитают системы единого входа (например, в Google и Facebook). Пользователи предпочли эти системы, потому что считали их быстрыми и удобными в использовании. ^[2] Системы на основе единого входа привели к значительным улучшениям как в удобстве использования, так и в безопасности. ^[5] SSO снижает потребность пользователей в запоминании многих имен пользователей и паролей, а также время, необходимое для аутентификации, тем самым повышая удобство использования системы.

Другие важные соображения [ править ]

Пользователи предпочитают несложные системы, требующие минимальных усилий для использования и понимания. ^[2]
Пользователям нравится использовать биометрические данные и системы аутентификации по телефону . Однако для работы этих типов систем требуются внешние устройства, более высокий уровень взаимодействия с пользователями и необходим механизм отката, если устройство недоступно или выходит из строя, что может привести к снижению удобства использования ^[2]
Текущая система паролей, используемая многими веб-приложениями, может быть расширена для повышения удобства использования с помощью:
- запоминающаяся мнемоника вместо паролей. ^[6]
- графические или мнемонические пароли, чтобы сделать аутентификацию более удобной. ^[7]

Будущая работа [ править ]

Удобство использования будет становиться все более и более важным по мере того, как все больше приложений перемещаются в онлайн и требуют надежных и надежных систем аутентификации, которые можно использовать и безопасно. Использование мозговых волн в системах аутентификации ^[8] было предложено как возможный способ достижения этого. Однако требуются дополнительные исследования и исследования удобства использования.

См. Также [ править ]

Аутентификация
Авторизация
Информационная безопасность
Интернет-безопасность
OpenID
OpenID Connect
Пароль
Шкала удобства использования системы (SUS)
Удобство использования
Юзабилити-тестирование
WebFinger
WebID

Ссылки [ править ]

^ a b c Кристина Браз; Жан-Марк Робер (18 апреля 2006 г.). «Безопасность и удобство использования: методы аутентификации пользователей» . Цифровая библиотека ACM . ACM Нью-Йорк, штат Нью-Йорк, США. С. 199–203 . Проверено 24 февраля +2016 .
^ a b c d e f г Скотт Руоти; Брент Робертс; Кент Симонс. «Ближайшая проверка подлинности: анализ удобства использования семи систем веб-аутентификации» (PDF) . 24-я Международная конференция по всемирной паутине . С. 916–926 . Проверено 24 февраля 2016 .
^ Шнайер, Брюс. «Баланс безопасности и удобства использования при аутентификации» . Шнайер о безопасности . Проверено 24 февраля +2016 .
^ a b c Рено, Карен (январь 2004 г.). «Количественная оценка качества механизмов веб-аутентификации с точки зрения удобства использования» . Журнал веб-инженерии . Проверено 24 февраля +2016 .
^ a b c d e f Бонно, Жозеф; Херли, Кормак; van Oorschot, Paul C .; Стаджано, Франк (2012). The Quest to Replace Passwords: A Framework for Comparative Evaluation of Web Authentication Schemes (PDF) . Симпозиум IEEE 2012 г. по безопасности и конфиденциальности . Компьютерная лаборатория Кембриджского университета. DOI : 10,1109 / SP.2012.44 . ISSN 1476-2986 .
^ а б Сундарараман, Джейараман; Топкара, Умут. Ешьте пирог и ешьте тоже - Повышение удобства использования систем аутентификации на основе текстового пароля (PDF) . 21-я Ежегодная конференция по приложениям компьютерной безопасности (ACSAC'05). Материалы ... Ежегодной конференции по приложениям компьютерной безопасности . Тусон, Аризона: IEEE. DOI : 10,1109 / CSAC.2005.28 . ISBN 0-7695-2461-3. ISSN 1063-9527 .
^ a b Ma, Y; Фэн, Дж (2011). Оценка удобства использования трех методов аутентификации в веб-приложении . 2011 9-я Международная конференция по исследованиям, управлению и приложениям программной инженерии (SERA). Балтимор, Мэриленд: IEEE. С. 81–88. DOI : 10,1109 / SERA.2011.18 . ISBN 978-1-4577-1028-5.
^ Финансовая криптография и безопасность данных . Springer Berlin Heidelberg. 2013. С. 1–16. ISBN 978-3-642-41320-9.

Дальнейшее чтение [ править ]

Мартин Георгиев; Суман Джана; Виталий Шматиков. «Переосмысление безопасности системных веб-приложений» (PDF) . 24-я Международная конференция по всемирной паутине .
Кейт, Марк; Шао, Бенджамин; Стейнбарт, Пол Джон (январь 2007 г.). «Удобство использования парольных фраз для аутентификации: эмпирическое полевое исследование». Международный журнал человеко-компьютерных исследований . 65 (1): 17–28. DOI : 10.1016 / j.ijhcs.2006.08.005 .
Мухаммад Даниэль Хафиз Абдулла; Абдул Ханан Абдулла; Норафида Итнин; Хазина Кутти Мамми (2008). На пути к определению возможностей использования и безопасности графического пароля в технике аутентификации, основанной на знаниях . 2008 Вторая Азиатская международная конференция по моделированию и имитационному моделированию (AMS). С. 396–403. DOI : 10.1109 / AMS.2008.136 .
Джон Чуанг; Гамильтон Нгуен; Чарльз Ван; Бенджамин Джонсон (2013). «Думаю, следовательно, я: удобство и безопасность аутентификации с использованием мозговых волн». Финансовая криптография и безопасность данных . Конспект лекций по информатике. 7862 . Springer Berlin Heidelberg. С. 1–16. CiteSeerX 10.1.1.359.9402 . DOI : 10.1007 / 978-3-642-41320-9_1 . ISBN 978-3-642-41319-3. ISSN 0302-9743 .
Пол Т. МакКейб (2002). «Удобство использования и аутентификация пользователя: грудной пароль против PIN-кода» . Современная эргономика, 2003 . CRC Press. ISBN 9780203455869.

[braz-1] Кристина Браз; Жан-Марк Робер (18 апреля 2006 г.). «Безопасность и удобство использования: методы аутентификации пользователей» . Цифровая библиотека ACM . ACM Нью-Йорк, штат Нью-Йорк, США. С. 199–203 . Проверено 24 февраля +2016 .

[ruoti-2] г Скотт Руоти; Брент Робертс; Кент Симонс. «Ближайшая проверка подлинности: анализ удобства использования семи систем веб-аутентификации» (PDF) . 24-я Международная конференция по всемирной паутине . С. 916–926 . Проверено 24 февраля 2016 .

[schneier-balancing-security-3] Шнайер, Брюс. «Баланс безопасности и удобства использования при аутентификации» . Шнайер о безопасности . Проверено 24 февраля +2016 .

[renaud-4] Рено, Карен (январь 2004 г.). «Количественная оценка качества механизмов веб-аутентификации с точки зрения удобства использования» . Журнал веб-инженерии . Проверено 24 февраля +2016 .

[bonneau-5] Бонно, Жозеф; Херли, Кормак; van Oorschot, Paul C .; Стаджано, Франк (2012). The Quest to Replace Passwords: A Framework for Comparative Evaluation of Web Authentication Schemes (PDF) . Симпозиум IEEE 2012 г. по безопасности и конфиденциальности . Компьютерная лаборатория Кембриджского университета. DOI : 10,1109 / SP.2012.44 . ISSN 1476-2986 .

[sundararaman-6] а б Сундарараман, Джейараман; Топкара, Умут. Ешьте пирог и ешьте тоже - Повышение удобства использования систем аутентификации на основе текстового пароля (PDF) . 21-я Ежегодная конференция по приложениям компьютерной безопасности (ACSAC'05). Материалы ... Ежегодной конференции по приложениям компьютерной безопасности . Тусон, Аризона: IEEE. DOI : 10,1109 / CSAC.2005.28 . ISBN 0-7695-2461-3. ISSN 1063-9527 .

[feng-ma-7] Ma, Y; Фэн, Дж (2011). Оценка удобства использования трех методов аутентификации в веб-приложении . 2011 9-я Международная конференция по исследованиям, управлению и приложениям программной инженерии (SERA). Балтимор, Мэриленд: IEEE. С. 81–88. DOI : 10,1109 / SERA.2011.18 . ISBN 978-1-4577-1028-5.

[chuang-8] Финансовая криптография и безопасность данных . Springer Berlin Heidelberg. 2013. С. 1–16. ISBN 978-3-642-41320-9.

[1]