WebAuthn kan gøre adgangskoder forældede. Kredit:RUB, Marquard
Mange brugere anser adgangskoder for ekstremt belastende. En godkendelsesprotokol for websteder, kaldet WebAuthn, kan gøre dem forældede. Brugere kan bruge det til at logge på en tjeneste såsom et socialt netværk eller en online shopping platform med deres smartphone eller computer. Processen er hurtig og nem, når du bruger biometriske data såsom fingeraftryk eller ansigtsgenkendelse, som ofte allerede er gemt for at låse enheden op. "Det er ikke overraskende, at dette kan skabe det indtryk, at de biometriske data overføres til den hjemmeside, du vil logge ind på, svarende til en adgangskode. Men det er en misforståelse," siger Leona Lassak fra Ruhr-Universität Bochum (RUB). ).
Et team fra RUB, Max Planck Institute for Security and Privacy (MPI-SP) i Bochum og University of Chicago har tacklet disse og andre misforståelser. I flere online undersøgelser lod de 414 brugere prøve det nye WebAuthn-login og spurgte dem om deres første indtryk og bekymringer vedrørende dets sikkerhed, brugervenlighed og privatliv.
Leona Lassak fra Horst Görtz Instituttet for IT-sikkerhed på RUB og Dr. Maximilian Golla fra MPI-SP vil sammen med Annika Hildebrandt og professor Blase Ur fra University of Chicago offentliggøre resultaterne på USENIX Security-konferencen den 11. august 2021 Avisen har været tilgængelig online siden 21. juni 2021.
Sådan fungerer WebAuthn
WebAuthn er en del af den nye FIDO2-standard, som har til formål at gøre adgangskoder forældede. I øjeblikket, når brugere ønsker at logge ind på en tjeneste, indtaster de blot et brugernavn og en adgangskode. I fremtiden kunne brugere i stedet autentificere sig selv ved blot at bruge deres enhed. For at sikre, at en tilfældig person, der finder en tabt smartphone, ikke vil være i stand til at logge ind på alle slags tjenester, skal brugerne bekræfte login-processen med deres smartphone-pinkode eller biometri. Nogle tjenester såsom amerikanske eBay eller Microsoft tilbyder allerede WebAuthn-login.
Leona Lassak forklarer problemet:"For brugeren ser det ud til, at de logger ind på onlinetjenesten med deres fingeraftryk. Faktisk låser deres fingeraftryk kun op for en såkaldt kryptografisk nøgle, som gemmes på brugerens enhed og derefter bruges til selve login."
Forvirring blandt førstegangsbrugere
Næsten 70 procent af de adspurgte var usikre eller troede fejlagtigt, at deres biometriske data ville blive delt med det websted, de forsøgte at logge ind på. "Det er vigtigt at tage fat på disse misforståelser, da de bringer folks villighed til at bruge det nye sikre log-in i fare, " siger Annika Hildebrandt, en forfatter fra University of Chicago.
Et andet problem opstår, hvis fingeraftrykssensoren ikke virker. Faktisk er det muligt at indtaste smartphone-pinkoden alternativt. Men da brugergrænsefladen ikke gør denne mulighed særlig tydelig, troede 60 procent af brugerne, at de ville miste adgangen til deres konto i dette tilfælde. Forskerne spurgte også, om deltagerne ville føle, at deres konti var sikre, hvis deres smartphone blev stjålet. 93 procent af de adspurgte følte sig tilstrækkeligt beskyttet på grund af deres biometri, men var ikke klar over, at en hacker også kunne få adgang til deres konti ved at gætte smartphone-pinkoden.
Håndtering af misforståelser
Forskerne lod syv fokusgrupper udvikle tekster og grafik, som har til formål at forhindre disse misforståelser og formidle WebAuthns komplicerede funktionalitet. Baseret på disse tekster implementerede forskerne seks notifikationer og sammenlignede dem i en online undersøgelse.
"Det mest effektive til at imødegå misforståelser er at kommunikere eksplicit, at fingeraftryk og ansigtsdata aldrig overføres til hjemmesiden," forklarer Annika Hildebrandt. Det var mindre effektivt at fremhæve ulemperne ved adgangskoder eller at nævne de pålidelige virksomheder, der hjalp med at udvikle WebAuthn-standarden.
Øget anvendelse
På trods af alle misforståelser og bekymringer vurderede deltagerne det biometriske login højere end traditionelle adgangskoder, da de var særligt imponerede over dets hastighed og brugervenlighed. I fremtiden agter forskerne yderligere at øge accepten af WebAuthn for at gøre dets fordele tilgængelige for alle brugere.
Sidste artikelEl Salvador satser på bitcoin, men vil det virke?
Næste artikelHvorfor er augmented reality-apps primært designet til unge?