Удобство использования веб-аутентификационных систем
Удобство использования веб-аутентификационных систем (англ. Usability of web authentication systems) — это показатель эффективности и пользовательской приемлемости различных систем аутентификации в интернете[1]. Примеры веб-аутентификационных систем включают пароли, федеративные системы идентификации, например, Google OAuth 2.0, Facebook Connect, Sign in with Apple, системы одноразовой аутентификации на основе электронной почты, а также аутентификацию с использованием QR-кодов, а также любые другие системы, используемые для подтверждения личности пользователя в сети. Несмотря на то, что удобство использования веб-аутентификационных систем должно быть важным критерием их выбора, очень немногие системы были исследованы или формально проанализированы с точки зрения удобства использования[2].
Удобство использования и пользователи
Веб-аутентификационная система должна быть максимально удобной, не жертвуя необходимым уровнем безопасности[1]. Система должна ограничивать доступ для злоумышленников, но при этом предоставлять его авторизованным пользователям. Если система аутентификации недостаточно безопасна, злоумышленники могут получить несанкционированный доступ. В то же время, если аутентификация слишком сложна или строга, у пользователя может пропасть желание или возможность ей воспользоваться[3]. Высокий уровень безопасности достижим в любой системе, но даже самая надёжная система может быть скомпрометирована действиями пользователей, которые зачастую считаются «слабыми звеньями» в компьютерной безопасности[4].
Пользователи имеют тенденцию как повышать, так и снижать уровень безопасности системы. Если система неудобна, пользователи начинают искать способы минимизации усилий, затрачиваемых на процесс аутентификации — например, записывать пароли на бумаге. Более удобная система может предотвратить такие действия. Как правило, пользователи больше склонны следовать процедурам аутентификации в системах, которые для них важны (например, онлайн-банкинг), в то время как в менее значимых (например, форумы) меры безопасности могут быть проигнорированы. Принятие пользователями средств защиты ограничено порогом: при слишком сложной аутентификации возникает раздражение и отказ от её использования[4]. Таким образом, ключевое значение для удобства использования системы приобретает её удобство и простота для пользователя.
Удобство использования и веб-приложения
Несмотря на ряд проблем с удобством использования и безопасностью[5], пароли остаются самым распространённым способом аутентификации в веб-приложениях[4]. Во многих случаях реализуются механизмы, направленные на повышение безопасности (например, требование создавать пароли с высокой энтропией), что, как правило, делает их менее удобными и зачастую менее безопасными[6]. Пользователям сложно помнить сложные пароли с высокой энтропией[7]. Разработчикам предлагается переосмыслить подходы и создавать более удобные системы, ориентированные на нужды пользователя[5]. Замена паролей более удобными (и потенциально более безопасными) механизмами аутентификации позволит получить выгоды и для пользователей, и для владельцев приложений.
Оценка удобства использования
Для оценки удобства использования веб-аутентификационной системы могут применяться подходы вроде триады «удобство использования — внедряемость — безопасность» (UDS)[5] или стандартные метрики, такие как шкала удобства использования системы (SUS)[2]. Модель UDS рассматривает три категории — удобство использования, внедряемость и безопасность, после чего тестируемая система получает или не получает определённые преимущества в рамках этих категорий. Таким образом, система классифицируется по наличию или отсутствию преимуществ в каждой из трёх категорий[5]
Измерение удобства использования веб-аутентификационных систем позволяет формально оценивать их и сравнивать между собой. Несмотря на обширные исследования в сфере аутентификации, основной акцент до сих пор делается на безопасность, а не на удобство использования.[1]. В дальнейшем рекомендуется применять стандартизированные метрики для оценки удобства использования, что позволит объективно сравнивать различные системы и определять, соответствуют ли они минимальному уровню удобства[2].
Какую веб-аутентификационную систему выбрать
Обнаружено, что эксперты в области безопасности больше внимания уделяют безопасности, нежели удобству использования веб-аутентификационных систем[5] Это вызывает затруднения, поскольку важен баланс между безопасностью и простотой обращения. Согласно исследованию 2015 года,[2] пользователи предпочитают системы на базе одноразовой аутентификации. Эти системы воспринимаются как быстрые и удобные.[2] Системы SSO существенно улучшают и удобство, и безопасность: пользователю не нужно запоминать множество паролей и логинов или тратить лишнее время на аутентификацию, что повышает удобство использования.
- Пользователи предпочитают системы, которые просты и требуют минимальных усилий для понимания и использования.[2]
- Им нравятся решения на базе биометрии и аутентификации посредством телефона, однако такие системы требуют дополнительных устройств, более сложного взаимодействия и наличия резервных механизмов на случай недоступности устройства, что может снижать удобство использования.[2]
- Текущие системы паролей можно сделать удобнее за счёт:
- использования запоминающихся мнемотехник вместо паролей;[6].
- применения графических или мнемонических паролей, что повышает удобство процесса аутентификации[7].
Будущее
С переходом всё большего числа приложений в онлайн-режим будет возрастать значимость удобства использования: нужны устойчивые и надёжные аутентификационные решения, сочетающие удобство и безопасность. В качестве перспективного направления предлагается аутентификация с использованием мозговых волн[8], однако требуется больше исследований и практических испытаний.
Примечания
Литература
- Rethinking Security of Web-Based System Applications (англ.). 24th International World Wide Web Conference.
- Keith, Mark; Shao, Benjamin; Steinbart, Paul John (январь 2007). “The usability of passphrases for authentication: An empirical field study”. International Journal of Human-Computer Studies. 65 (1): 17—28. DOI:10.1016/j.ijhcs.2006.08.005. S2CID 18143783. Проверьте дату в
|date=(справка на английском) - Hafiz, Muhammad Daniel. Towards Identifying Usability and Security Features of Graphical Password in Knowledge Based Authentication Technique // 2008 Second Asia International Conference on Modelling & Simulation (AMS) / Muhammad Daniel Hafiz, Abdul Hanan Abdullah, Norafida Ithnin … [и др.]. — 2008. — P. 396–403. — doi:10.1109/AMS.2008.136.
- John Chuang. I Think, Therefore I Am: Usability and Security of Authentication Using Brainwaves // Financial Cryptography and Data Security / John Chuang, Hamilton Nguyen, Charles Wang … [и др.]. — Springer Berlin Heidelberg, 2013. — Vol. 7862. — P. 1–16. — ISBN 978-3-642-41319-3. — doi:10.1007/978-3-642-41320-9_1.
- Paul T. McCabe. Usability and User Authentication: Pectoral Password vs PIN // Contemporary Ergonomics, 2003. — CRC Press, 2002. — ISBN 9780203455869.