Použitelnost webových autentizačních systémů - Usability of web authentication systems - Wikipedia

Použitelnost webových autentizačních systémů odkazuje na efektivitu a uživatelské přijetí online ověřovacích systémů.[1] Příklady systémů pro ověřování webu jsou hesla, federované systémy identity (např. Google oAuth 2.0, Připojení k Facebooku, Mozilla persona), e-mailem -na základě jednotné přihlášení Systémy (SSO) (např. SAW, Hatchet), QR kód systémy na bázi (např. Snap2Pass, Webový lístek ) nebo jakýkoli jiný systém používaný k ověření identity uživatele na webu. I když použitelnost webu ověřování systémy by měly být klíčovým hlediskem při výběru systému, formálnímu podrobení bylo věnováno jen velmi málo webových ověřovacích systémů (kromě hesel) použitelnost studie nebo analýzy.[2]

Použitelnost a uživatelé

Systém webového ověřování musí být co nejvíce použitelný, aniž by byl ohrožen bezpečnostní které musí zajistit.[1] Systém musí omezit přístup uživatelů se zlými úmysly a zároveň umožnit přístup k nim autorizovaný uživatelů. Pokud ověřovací systém nemá dostatečné zabezpečení, mohli by uživatelé se zlými úmysly snadno získat přístup do systému. Na druhou stranu, pokud je autentizační systém příliš komplikovaný a omezující, autorizovaný uživatel by jej nemohl (nebo nechtěl) použít.[3] Silného zabezpečení je možné dosáhnout v jakémkoli systému, ale i ten nejbezpečnější autentizační systém mohou uživatelé systému podkopat, což se v počítačové bezpečnosti často označuje jako „slabé odkazy“.[4]

Uživatelé mají tendenci neúmyslně zvyšovat nebo snižovat zabezpečení systému. Pokud systém není použitelný, mohlo by dojít k narušení zabezpečení, protože uživatelé se pokusí minimalizovat úsilí potřebné k zajištění vstupu pro ověřování, například zapisování hesel na papír. Použitelnější systém by tomu mohl zabránit. Uživatelé pravděpodobněji budou vyžadovat požadavky na autentizaci ze systémů, které jsou důležité (např. Online bankovnictví), na rozdíl od méně důležitých systémů (např. Fórum, které uživatel zřídka navštěvuje), kde mohou být tyto mechanismy ignorovány. Uživatelé přijímají bezpečnostní opatření pouze do určitého bodu, než se naštvají komplikovanými mechanizmy ověřování.[4] Důležitým faktorem použitelnosti webového ověřovacího systému je tedy faktor pohodlí pro uživatele kolem něj.

Použitelnost a webové aplikace

Upřednostňovaný systém ověřování webu pro webové aplikace je heslo,[4] navzdory špatné použitelnosti a několika bezpečnostním problémům.[5] Tento široce používaný systém obvykle obsahuje mechanismy, které měly zvýšit zabezpečení (např. Vyžadovat, aby uživatelé měli hesla s vysokou entropií), ale vedou k tomu, že systémy hesel jsou méně použitelné a neúmyslně méně zabezpečené.[6] Je to proto, že uživatelé si tato hesla s vysokou entropií těžší zapamatují.[7] Tvůrci aplikací musí provést změnu paradigmatu, aby mohli vyvinout použitelnější ověřovací systémy, které zohlední potřeby uživatelů.[5] Nahrazení všudypřítomných systémů založených na heslech použitelnějšími (a možná i bezpečnějšími) systémy by mohlo vést k velkým výhodám jak pro vlastníky aplikace, tak pro její uživatele.

Měření

K měření použitelnosti webového ověřovacího systému lze použít „použitelnost – nasaditelnost – bezpečnost "nebo" UDS "framework[5] nebo standardní metrika, například stupnice použitelnosti systému.[2] Rámec UDS zkoumá tři široké kategorie, jmenovitě použitelnost, nasazení a bezpečnost webového ověřovacího systému, a poté testovaný systém hodnotí jako nabízející nebo nenabízející konkrétní výhodu spojenou s jednou (nebo více) kategoriemi. Systém ověřování je poté klasifikován jako nabízející nebo nenabízející konkrétní výhodu v rámci kategorií použitelnosti, nasaditelnosti a zabezpečení.[5]

Měření použitelnosti webových autentizačních systémů umožní formální vyhodnocení webového autentizačního systému a určí pořadí systému vzhledem k ostatním. I když se v současné době provádí mnoho výzkumů týkajících se webového ověřovacího systému, směřuje spíše k zabezpečení a ne k použitelnosti.[1] Budoucí výzkum by měl být formálně hodnocen z hlediska použitelnosti pomocí srovnatelné metriky nebo techniky. To umožní srovnání různých ověřovacích systémů a také určení, zda ověřovací systém splňuje minimální měřítko použitelnosti.[2]

Který webový autentizační systém zvolit

Bylo zjištěno, že bezpečnostní experti mají tendenci se více soustředit bezpečnostní a méně o aspektech použitelnosti systémů ověřování na webu.[5] To je problematické, protože musí existovat rovnováha mezi bezpečnostní systému a jeho snadnost použití Studie provedená v roce 2015[2] zjistili, že uživatelé mají tendenci upřednostňovat systémy založené na jednotném přihlášení (jako jsou ty, které poskytuje Google a Facebook). Uživatelé upřednostňovali tyto systémy, protože je považovali za rychlé a pohodlné.[2] Systémy založené na jednotném přihlášení vedly k podstatnému zlepšení použitelnosti i bezpečnosti.[5] SSO snižuje potřebu, aby si uživatelé pamatovali mnoho uživatelských jmen a hesel, a také čas potřebný k jejich autentizaci, čímž zlepšuje použitelnost systému.

Další důležité úvahy

  • Uživatelé upřednostňují systémy, které nejsou složité a jejichž použití a pochopení vyžadují minimální úsilí.[2]
  • Uživatelé mají radost z používání biometrie a telefonicky autentizační systémy. Tyto typy systémů však vyžadují, aby externí zařízení fungovala, vyšší úroveň interakce od uživatelů a potřebují záložní mechanismus, pokud zařízení není k dispozici nebo selže - což by mohlo vést k nižší použitelnosti[2]
  • Aktuální systém hesel používaný mnoha webovými aplikacemi lze pro lepší použitelnost rozšířit pomocí:

Budoucí práce

Použitelnost bude stále důležitější, jakmile se více aplikací přesune online a bude vyžadovat robustní a spolehlivé ověřovací systémy, které jsou použitelné i bezpečné. Využití mozkových vln v autentizačních systémech[8] byly navrženy jako možný způsob, jak toho dosáhnout. Je však zapotřebí více výzkumů a studií použitelnosti.

Viz také

Reference

  1. ^ A b C Christina Braz; Jean-Marc Robert (18-04-18). „Zabezpečení a použitelnost: Případ metod ověřování uživatelů“. Digitální knihovna ACM. ACM New York, NY, USA. 199–203. Citováno 24. února 2016.
  2. ^ A b C d E F G Scott Ruoti; Brent Roberts; Kent Seamons. „Autentizace na blízko: Analýza použitelnosti sedmi systémů autentizace na webu“ (PDF). 24. mezinárodní konference na webu. 916–926. Citováno 2016-02-24.
  3. ^ Schneier, Bruce. „Vyvážení zabezpečení a použitelnosti při ověřování“. Schneier o bezpečnosti. Citováno 24. února 2016.
  4. ^ A b C Renaud, Karen (leden 2004). „Kvantifikace kvality mechanismů autentizace webu perspektiva použitelnosti“. Journal of Web Engineering. Citováno 24. února 2016.
  5. ^ A b C d E F Bonneau, Joseph; Herley, Cormac; van Oorschot, Paul C .; Stajano, Frank (2012). Úkol k nahrazení hesel: Rámec pro srovnávací hodnocení schémat autentizace webu (PDF). 2012 IEEE Symposium on Security and Privacy. Počítačová laboratoř University of Cambridge. doi:10.1109 / SP.2012.44. ISSN  1476-2986.
  6. ^ A b Sundararaman, Jeyaraman; Topkara, Umut. Dejte si dort a sníte ho také - nalití použitelnosti do ověřovacích systémů založených na textových heslech (PDF). 21. výroční konference o aplikacích zabezpečení počítače (ACSAC'05). Sborník ... Výroční konference o aplikacích zabezpečení počítače. Tucson, AZ: IEEE. doi:10.1109 / CSAC.2005.28. ISBN  0-7695-2461-3. ISSN  1063-9527.
  7. ^ A b Smět; Feng, J (2011). Vyhodnocení použitelnosti tří metod ověřování ve webové aplikaci. 2011 9. mezinárodní konference o výzkumu, managementu a aplikacích softwarového inženýrství (SERA). Baltimore, MD: IEEE. 81–88. doi:10.1109 / SERA.2011.18. ISBN  978-1-4577-1028-5.
  8. ^ Finanční kryptografie a bezpečnost dat. Springer Berlin Heidelberg. 2013. s. 1–16. ISBN  978-3-642-41320-9.

Další čtení