Afsløring af fejl i metrics for brugerloginsystemer

Hvor god er forskningen om systemets succes eller fiasko, der verificerer din identitet, når du logger ind på en computer, smartphone eller anden enhed?

Chancerne er store, at det ikke er godt, og det er et stort sikkerheds- og privatlivsproblem, der bør løses, ifølge en undersøgelse fra Rutgers University-New Brunswick, der foreslår en ny løsning.

"Vores papir repræsenterer et stort fremskridt i retning af at forstå autentificeringssystemer, "sagde Janne Lindqvist, seniorforfatter og adjunkt i Institut for Elektro- og Datateknik. "Overraskende, vi fandt ud af, at almindeligt anvendte metrics i forskning til rapportering af ydeevnen for brugerloginsystemer er fejlbehæftede. Det betyder, at systemerne muligvis ikke fungerer godt, og det kan have alvor, virkelige konsekvenser for foreslåede systemer, der vedtages baseret på vildledende metrik. "

Brugerloginsystemer - kendt som godkendelsessystemer - formodes at sikre, at den person, der logger ind på en computer eller anden enhed, får adgang til e -mail eller får adgang til en finansiel konto er, hvem de hævder at være. En af de mest populære måder at logge på indebærer indtastning af brugernavne og tekstbaserede adgangskoder.

Rutgers ingeniører gennemgik 35 nylige forskningsartikler om godkendelsessystemer og fandt ud af, at 33 systemer, eller 94 procent, havde fejl i det, de rapporterede. Ingeniørerne fandt også ud af, at der ikke er nogen konsekvent tilgang til rapportering af systempræstationsmålinger, og metrikerne er utilstrækkelige.

Så de fandt på en ny metode, der giver forskere og andre, herunder offentlige instanser og offentligheden, nøjagtige oplysninger om effektiviteten af ​​deres godkendelsessystemer, og hvordan de kan forbedres, sagde Lindqvist, der leder Rutgers Human-Computer Interaction and Security Engineering Laboratory i Engineering School.

Rutgers ingeniørers løsning er at kombinere styrkerne ved en almindeligt anvendt metrik fra andre felter og en sjældent brugt metrik. Disse kan sammen bruges til at måle succesen af ​​brugerloginsystemer. Man giver et overblik over, hvor godt et godkendelsessystem generelt fungerer. Den anden afgør, om systemets ydeevne måles ved hjælp af vildledende data.

"Vi mener, at det er afgørende for vores samfund at vedtage mere gennemsigtig rapportering af metrics og ydeevne, "siger den peer-reviewed undersøgelse.

Undersøgelsen vil blive offentliggjort under proceduren i Network and Distributed System Security Symposium, som er sponsoreret af Internet Society og afholdes i denne uge i San Diego, Californien.