Veb-autentifikatsiya tizimlaridan foydalanish imkoniyati - Usability of web authentication systems - Wikipedia

Veb-autentifikatsiya tizimlaridan foydalanish imkoniyati onlayn autentifikatsiya tizimlarining samaradorligi va foydalanuvchi tomonidan qabul qilinishini anglatadi.^[1] Veb-autentifikatsiya tizimlariga misollar parollar, federatsiya identifikatsiya tizimlari (masalan, Google oAuth 2.0, Facebook ulanish, Mozilla persona), elektron pochta asoslangan bitta tizimga kirish (SSO) tizimlari (masalan, SAW, Hatchet), QR kod asoslangan tizimlar (masalan, Snap2Pass, Veb-chipta ) yoki Internetda foydalanuvchi identifikatorini tasdiqlash uchun ishlatiladigan boshqa tizim. Garchi qulaylik Internet autentifikatsiya tizimlar tizimni tanlashda muhim ahamiyatga ega bo'lishi kerak, veb-autentifikatsiya tizimlarining juda oz qismi (parollardan tashqari) rasmiy ravishda qo'llanilgan qulaylik tadqiqotlar yoki tahlillar.^[2]

Foydalanish imkoniyati va foydalanuvchilar

Xavfsizlikni buzmasdan, veb-autentifikatsiya qilish tizimi iloji boricha qulay bo'lishi kerak xavfsizlik buni ta'minlashi kerak.^[1] Tizim zararli foydalanuvchilarning kirishini cheklashi kerak, shu bilan kirish huquqini beradi vakolatli foydalanuvchilar. Agar autentifikatsiya tizimi etarli darajada xavfsizlikka ega bo'lmasa, zararli foydalanuvchilar tizimga osongina kirish huquqiga ega bo'lishlari mumkin. Boshqa tomondan, agar autentifikatsiya qilish tizimi juda murakkab va cheklovli bo'lsa, vakolatli foydalanuvchi undan foydalana olmaydi (yoki foydalanishni xohlamaydi).^[3] Kuchli xavfsizlikka har qanday tizimda erishish mumkin, lekin hatto eng xavfsiz autentifikatsiya tizimiga ham tizim foydalanuvchilari zarar etkazishi mumkin, ko'pincha ularni kompyuter xavfsizligining "zaif bo'g'inlari" deb atashadi.^[4]

Foydalanuvchilar tizim xavfsizligini tasodifan oshirib yoki kamaytiradi. Agar tizimni ishlatib bo'lmaydigan bo'lsa, xavfsizlik buzilishi mumkin, chunki foydalanuvchilar o'zlarining parollarini qog'ozga yozib olish kabi autentifikatsiya qilish uchun kirish uchun zarur bo'lgan harakatlarni minimallashtirishga harakat qiladilar. Keyinchalik qulay tizim bunga yo'l qo'ymasligi mumkin. Foydalanuvchilar ushbu tizimlarni e'tiborsiz qoldirishi mumkin bo'lgan muhim bo'lmagan tizimlardan (masalan, foydalanuvchi kamdan-kam tashrif buyuradigan forumdan) farqli o'laroq, muhim tizimlardan (masalan, onlayn-bank) autentifikatsiya qilish so'rovlarini talab qilishadi. Foydalanuvchilar xavfsizlik choralarini faqat aniq bir nuqtaga qadar murakkab autentifikatsiya mexanizmlaridan bezovtalanishdan oldin qabul qilishadi.^[4] Veb-autentifikatsiya qilish tizimidan foydalanishning muhim omili shu bilan atrofdagi foydalanuvchi uchun qulaylik omili hisoblanadi.

Foydalanish imkoniyati va veb-ilovalar

Veb-ilovalar uchun afzal veb-autentifikatsiya tizimi parol,^[4] yomon foydalanishga va bir nechta xavfsizlik muammolariga qaramay.^[5] Ushbu keng qo'llaniladigan tizim odatda xavfsizlikni kuchaytirishga qaratilgan mexanizmlarni o'z ichiga oladi (masalan, foydalanuvchilarning yuqori entropiya parollariga ega bo'lishini talab qiladi), lekin parol tizimlari kamroq foydalanishga va bexosdan kam xavfsizlikka olib keladi.^[6] Buning sababi shundaki, foydalanuvchilar ushbu yuqori entropiya parollarini eslab qolishlari qiyinroq.^[7] Ilova yaratuvchilari foydalanuvchi ehtiyojlarini inobatga olgan holda foydalanishga yaroqli autentifikatsiya tizimlarini ishlab chiqish uchun paradigma o'zgarishini amalga oshirishi kerak.^[5] Hamma joyda mavjud parollarga asoslangan tizimlarni yanada qulay (va ehtimol xavfsizroq) tizimlar bilan almashtirish dastur egalari uchun ham, uning foydalanuvchilari uchun ham katta foyda keltirishi mumkin.

O'lchov

Veb-autentifikatsiya tizimining qulayligini o'lchash uchun ""foydalanish uchun qulaylik-joylashish-xavfsizlik "yoki" UDS "ramkasi^[5] yoki tizimdan foydalanish ko'lami kabi standart o'lchov.^[2] UDS doirasi uchta keng toifani ko'rib chiqadi, ya'ni veb-autentifikatsiya tizimining qulayligi va xavfsizligi, so'ngra sinovdan o'tgan tizimni toifalarning biriga (yoki bir nechtasiga) bog'langan ma'lum bir imtiyozni taklif qilish yoki taklif qilmaslik deb baholaydi. Keyinchalik autentifikatsiya qilish tizimi foydalanishga qulaylik va xavfsizlik toifalarida ma'lum bir foyda keltiradigan yoki taklif qilmaydigan deb tasniflanadi.^[5]

Veb-autentifikatsiya tizimlarining qulayligini o'lchash veb-autentifikatsiya tizimini rasmiy baholashga va tizimning boshqalarga nisbatan reytingini aniqlashga imkon beradi. Hozirda veb-autentifikatsiya qilish tizimiga oid ko'plab tadqiqotlar olib borilayotgan bo'lsa-da, u xavfsizlikka emas, balki foydalanishga e'tiborni qaratadi.^[1] Kelajakdagi tadqiqotlar taqqoslanadigan metrikadan yoki texnikadan foydalangan holda rasmiy ravishda baholanishi kerak. Bu turli xil autentifikatsiya tizimlarini taqqoslash, shuningdek autentifikatsiya tizimining minimal foydalanish ko'rsatkichlariga mos kelishini aniqlashga imkon beradi.^[2]

Qaysi veb-autentifikatsiya tizimini tanlash kerak

Xavfsizlik bo'yicha mutaxassislar ko'proq e'tiborni qaratishi aniqlandi xavfsizlik va veb-autentifikatsiya tizimlarining qulaylik jihatlari haqida kamroq.^[5] Bu muammoli, chunki ular o'rtasida muvozanat bo'lishi kerak xavfsizlik tizimning va uning foydalanish qulayligi.2015 yilda o'tkazilgan tadqiqot^[2] foydalanuvchilar Yagona tizimga kirishni afzal ko'rishadi (Google va Facebook tomonidan taqdim etilgan tizimlar singari). Foydalanuvchilar ushbu tizimlarni afzal ko'rishdi, chunki ular ularni tez va qulay foydalanishga imkon berishdi.^[2] Bitta tizimga asoslangan tizimlar foydalanishda ham, xavfsizlikda ham sezilarli yaxshilanishlarga olib keldi.^[5] SSO foydalanuvchilarga ko'plab foydalanuvchi nomlari va parollarni eslab qolish ehtiyojlarini kamaytiradi, shuningdek o'zlarini tasdiqlash uchun zarur bo'lgan vaqtni kamaytiradi va shu bilan tizimning qulayligini yaxshilaydi.

Boshqa muhim fikrlar

Foydalanuvchilar murakkab bo'lmagan va ulardan foydalanish va tushunish uchun minimal kuch talab qiladigan tizimlarni afzal ko'rishadi.^[2]
Foydalanuvchilar foydalanishni yoqtiradilar biometriya va telefonga asoslangan autentifikatsiya tizimlari. Ammo ushbu turdagi tizimlar tashqi qurilmalarning ishlashini, foydalanuvchilarning yuqori darajadagi o'zaro ta'sirini talab qiladi va agar qurilma mavjud bo'lmasa yoki ishlamay qolsa, bu orqaga qaytish mexanizmini talab qiladi - bu qulaylikni pasayishiga olib kelishi mumkin.^[2]
Ko'pgina veb-ilovalar tomonidan qo'llaniladigan joriy parol tizimi quyidagilar yordamida yanada qulay foydalanish uchun kengaytirilishi mumkin.
- parollar o'rniga unutilmas mnemonika.^[6]
- grafik yoki mnemonik parollar autentifikatsiyani yanada qulayroq qilish.^[7]

Kelajakdagi ish

Ko'proq ilovalar onlayn harakatlanadigan va foydalanishga yaroqli va xavfsiz bo'lgan ishonchli va ishonchli autentifikatsiya tizimlarini talab qiladiganligi sababli, foydalanish imkoniyati tobora muhimroq bo'ladi. Autentifikatsiya tizimlarida miya to'lqinlaridan foydalanish^[8] bunga erishishning mumkin bo'lgan usuli sifatida taklif qilingan. Ammo ko'proq tadqiqotlar va qulayliklarni o'rganish kerak.

Shuningdek qarang

Adabiyotlar

^ ^a ^b ^v Kristina Braz; Jan-Mark Robert (2006-04-18). "Xavfsizlik va qulaylik: foydalanuvchini autentifikatsiya qilish usullari misolida". ACM Raqamli kutubxonasi. ACM Nyu-York, Nyu-York, AQSh. 199-203 betlar. Olingan 24 fevral 2016.
^ ^a ^b ^v ^d ^e ^f ^g Skot Ruoti; Brent Roberts; Kent Seamons. "Autentifikatsiya uchrashuvi: ettita veb-autentifikatsiya tizimining qulayligini tahlil qilish" (PDF). 24-Xalqaro Jahon Internet Konferentsiyasi. 916-926-betlar. Olingan 2016-02-24.
^ Shnayer, Bryus. "Autentifikatsiya qilishda xavfsizlik va foydalanishni muvozanatlash". Shnayer xavfsizlik to'g'risida. Olingan 24 fevral 2016.
^ ^a ^b ^v Reno, Karen (2004 yil yanvar). "Veb-autentifikatsiya qilish mexanizmlarining sifatini aniqlash uchun qulaylik istiqbollari". Veb muhandislik jurnali. Olingan 24 fevral 2016.
^ ^a ^b ^v ^d ^e ^f Bonneau, Jozef; Xarli, Kormak; van Oorshot, Pol S.; Stajano, Frank (2012). Parollarni almashtirish bo'yicha izlanish: Internetda autentifikatsiya qilish sxemalarini qiyosiy baholash uchun asos (PDF). Xavfsizlik va maxfiylik bo'yicha IEEE 2012 simpoziumi. Kembrij universiteti kompyuter laboratoriyasi. doi:10.1109 / SP.2012.44. ISSN 1476-2986.
^ ^a ^b Sundararaman, Jeyaraman; Topkara, Umut. Kekni oling va uni ham iste'mol qiling - Matn va parolga asoslangan autentifikatsiya tizimlariga qulaylik kiritish (PDF). Kompyuter xavfsizligini ta'minlash bo'yicha 21-yillik anjuman (ACSAC'05). Kompyuter xavfsizligi bo'yicha yillik anjumanning materiallari .... Tusson, AZ: IEEE. doi:10.1109 / CSAC.2005.28. ISBN 0-7695-2461-3. ISSN 1063-9527.
^ ^a ^b Ma, Y; Feng, J (2011). Internetga asoslangan dasturda uchta autentifikatsiya qilish usulidan foydalanishni baholash. Dasturiy injiniring tadqiqotlari, menejmenti va ilovalari bo'yicha 9-xalqaro konferentsiya (SERA). Baltimor, MD: IEEE. 81-88 betlar. doi:10.1109 / SERA.2011.18. ISBN 978-1-4577-1028-5.
^ Moliyaviy kriptografiya va ma'lumotlar xavfsizligi. Springer Berlin Heidelberg. 2013. 1-16 betlar. ISBN 978-3-642-41320-9.

Qo'shimcha o'qish

Martin Georgiev; Suman Jana; Vitaliy Shmatikov. "Internetga asoslangan tizim dasturlarining xavfsizligini qayta ko'rib chiqish" (PDF). 24-Xalqaro Jahon Internet Konferentsiyasi.
Keyt, Mark; Shao, Benjamin; Shteynbart, Pol Jon (2007 yil yanvar). "Parollarning autentifikatsiya qilish uchun qulayligi: empirik tadqiqotlar". Inson-kompyuter tadqiqotlari xalqaro jurnali. 65 (1): 17–28. doi:10.1016 / j.ijhcs.2006.08.005.
Muhammad Doniyor Hofiz Abdulloh; Abdul Xanan Abdulloh; Norafida Itnin; Xazina Kutti Mammi (2008). Bilimga asoslangan autentifikatsiya qilish usulida grafik parolning qulayligi va xavfsizligini aniqlashga qaratilgan. Modellashtirish va simulyatsiya bo'yicha ikkinchi Osiyo xalqaro konferentsiyasi (AMS). 396-403 betlar. doi:10.1109 / AMS.2008.136.
Jon Chuang; Xemilton Nguyen; Charlz Vang; Benjamin Jonson (2013). "O'ylaymanki, shuning uchun men: miya to'lqinlari yordamida autentifikatsiya qilishning qulayligi va xavfsizligi". Moliyaviy kriptografiya va ma'lumotlar xavfsizligi. Kompyuter fanidan ma'ruza matnlari. 7862. Springer Berlin Heidelberg. 1-16 betlar. CiteSeerX 10.1.1.359.9402. doi:10.1007/978-3-642-41320-9_1. ISBN 978-3-642-41319-3. ISSN 0302-9743.
Pol T. Makkeyb (2002). "Foydalanish uchun qulaylik va foydalanuvchining autentifikatsiyasi: Pektoral parol va PIN kod". Zamonaviy ergonomika, 2003 yil. CRC Press. ISBN 9780203455869.

[braz-1] v Kristina Braz; Jan-Mark Robert (2006-04-18). "Xavfsizlik va qulaylik: foydalanuvchini autentifikatsiya qilish usullari misolida". ACM Raqamli kutubxonasi. ACM Nyu-York, Nyu-York, AQSh. 199-203 betlar. Olingan 24 fevral 2016.

[ruoti-2] v ^d ^e ^f ^g Skot Ruoti; Brent Roberts; Kent Seamons. "Autentifikatsiya uchrashuvi: ettita veb-autentifikatsiya tizimining qulayligini tahlil qilish" (PDF). 24-Xalqaro Jahon Internet Konferentsiyasi. 916-926-betlar. Olingan 2016-02-24.

[schneier-balancing-security-3] Shnayer, Bryus. "Autentifikatsiya qilishda xavfsizlik va foydalanishni muvozanatlash". Shnayer xavfsizlik to'g'risida. Olingan 24 fevral 2016.

[renaud-4] v Reno, Karen (2004 yil yanvar). "Veb-autentifikatsiya qilish mexanizmlarining sifatini aniqlash uchun qulaylik istiqbollari". Veb muhandislik jurnali. Olingan 24 fevral 2016.

[bonneau-5] v ^d ^e ^f Bonneau, Jozef; Xarli, Kormak; van Oorshot, Pol S.; Stajano, Frank (2012). Parollarni almashtirish bo'yicha izlanish: Internetda autentifikatsiya qilish sxemalarini qiyosiy baholash uchun asos (PDF). Xavfsizlik va maxfiylik bo'yicha IEEE 2012 simpoziumi. Kembrij universiteti kompyuter laboratoriyasi. doi:10.1109 / SP.2012.44. ISSN 1476-2986.

[sundararaman-6] Sundararaman, Jeyaraman; Topkara, Umut. Kekni oling va uni ham iste'mol qiling - Matn va parolga asoslangan autentifikatsiya tizimlariga qulaylik kiritish (PDF). Kompyuter xavfsizligini ta'minlash bo'yicha 21-yillik anjuman (ACSAC'05). Kompyuter xavfsizligi bo'yicha yillik anjumanning materiallari .... Tusson, AZ: IEEE. doi:10.1109 / CSAC.2005.28. ISBN 0-7695-2461-3. ISSN 1063-9527.

[feng-ma-7] Ma, Y; Feng, J (2011). Internetga asoslangan dasturda uchta autentifikatsiya qilish usulidan foydalanishni baholash. Dasturiy injiniring tadqiqotlari, menejmenti va ilovalari bo'yicha 9-xalqaro konferentsiya (SERA). Baltimor, MD: IEEE. 81-88 betlar. doi:10.1109 / SERA.2011.18. ISBN 978-1-4577-1028-5.

[chuang-8] Moliyaviy kriptografiya va ma'lumotlar xavfsizligi. Springer Berlin Heidelberg. 2013. 1-16 betlar. ISBN 978-3-642-41320-9.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]