웹 인증 시스템의 사용성

Usability of web authentication systems

웹 인증 시스템의 유용성은 온라인 인증 시스템의 효율성과 사용자 수용을 의미한다.[1]Examples of web authentication systems are passwords, federated identity systems (e.g. Google oAuth 2.0, Facebook connect, Mozilla persona), email-based single sign-on (SSO) systems (e.g. SAW, Hatchet), QR code-based systems (e.g. Snap2Pass, WebTicket) or any other system used to authenticate a user's identity on the web.인증 시스템의 사용적합성이 시스템 선택의 핵심 고려사항이어야 하지만, 공식 사용적합성 연구나 분석을 실시한 웹 인증 시스템(암호 제외)[2]은 거의 없다.

사용성 및 사용자

웹 인증 시스템은 가능한 한 사용할 수 있어야 하며, 필요한 보안을 손상시키지 않아야 한다.[1]시스템은 인증된 사용자에 대한 액세스를 허용하는 동시에 악의적인 사용자의 액세스를 제한할 필요가 있다.인증시스템이 충분한 보안을 갖추지 못하면 악의적인 사용자가 쉽게 시스템에 접속할 수 있다.반면에 인증 시스템이 너무 복잡하고 제한적일 경우, 인가된 사용자는 인증 시스템을 사용할 수 없다(또는 원할 수 있다).[3]강력한 보안은 어떤 시스템에서도 달성할 수 있지만, 가장 안전한 인증 시스템조차 컴퓨터 보안의 "취약 연계"라고 불리는 시스템의 사용자들에 의해 훼손될 수 있다.[4]

사용자들은 의도치 않게 시스템의 보안을 증가시키거나 감소시키는 경향이 있다.시스템을 사용할 수 없는 경우, 사용자가 자신의 비밀번호를 종이에 적는 등 인증 입력에 필요한 노력을 최소화하려고 할 것이기 때문에 보안에 문제가 생길 수 있다.사용 가능한 시스템이 더 많으면 이런 일이 일어나지 않을 수 있다.사용자는 이러한 메커니즘이 무시될 수 있는 덜 중요한 시스템(예: 사용자가 자주 방문하지 않는 포럼)과 반대로 중요한 시스템(예: 온라인 뱅킹)의 인증 요청에 더 많은 의무를 질 가능성이 있다.사용자는 복잡한 인증 메커니즘에 짜증이 나기 전에 일정 시점까지만 보안 조치를 받아들인다.[4]웹 인증 시스템의 사용성에 있어 중요한 요소는 따라서 그 주변 사용자의 편의성 요인이다.

사용성 및 웹 애플리케이션

웹 어플리케이션에 선호되는 웹 인증 시스템은 사용성이 떨어지고 몇 가지 보안 문제가 있음에도 불구하고 [4]패스워드다.[5]일반적으로 널리 사용되는 이 시스템은 보안을 강화하기 위한 메커니즘(예: 사용자가 높은 엔트로피 암호를 보유하도록 요구함)을 포함하지만, 암호 시스템의 사용성이 떨어지고 부주의하게 보안이 저하되는 결과를 초래한다.[6]사용자들은 이러한 높은 엔트로피 암호를 기억하기가 더 힘들다고 생각하기 때문이다.[7]애플리케이션 크리에이터는 사용자의 니즈를 고려한 보다 가용한 인증 시스템을 개발하기 위한 패러다임의 전환이 필요하다.[5]유비쿼터스 패스워드 기반 시스템을 보다 사용 가능한(그리고 더 안전한) 시스템으로 교체하는 것은 애플리케이션의 소유자와 그 사용자 모두에게 큰 이익을 가져다 줄 수 있다.

측정

웹 인증 시스템의 사용적합성을 측정하기 위해 "사용가능성-전개성-보안" 또는 "UDS" 프레임워크[5] 또는 시스템 사용적합성 척도와 같은 표준 메트릭을 사용할 수 있다.[2]UDS 프레임워크는 세 가지 광범위한 범주, 즉 웹 인증 시스템의 사용적합성 배치성 및 보안성을 검토한 후 시험한 시스템을 범주 중 하나 이상에 연결된 특정 편익을 제공하거나 제공하지 않는 것으로 평가한다.인증 시스템은 사용적합성 배치성 및 보안 범주 내에서 특정 이익을 제공하거나 제공하지 않는 것으로 분류된다.[5]

웹 인증 시스템의 사용적합성을 측정하면 웹 인증 시스템의 공식적인 평가가 가능해지고 다른 시스템에 대한 시스템의 순위를 결정할 수 있다.웹 인증 시스템에 대한 많은 연구가 현재 이루어지고 있지만, 사용성이 아닌 보안에 초점을 맞추는 경향이 있다.[1]미래 연구는 비교 가능한 측정기준이나 기법을 사용하여 사용적합성에 대해 공식적으로 평가되어야 한다.이를 통해 다양한 인증 시스템을 비교할 수 있을 뿐만 아니라 인증 시스템이 최소 사용적합성 벤치마크를 충족하는지 여부를 판단할 수 있다.[2]

선택할 웹 인증 시스템

보안 전문가들은 웹 인증 시스템의 가용성 측면보다는 보안에 중점을 두는 경향이 있는 것으로 밝혀졌다.[5]이는 시스템의 보안과 사용 편의성 사이에 균형이 있어야 하기 때문에 문제가 있다.2015년에[2] 실시된 한 연구에 따르면 사용자들은 구글이나 페이스북에서 제공하는 것과 마찬가지로 Single Sign-On을 선호하는 경향이 있다.사용자들은 이 시스템을 빠르고 사용하기 편리하다고 생각했기 때문에 선호했다.[2]단일 사인온 기반 시스템은 가용성 및 보안 모두에서 상당한 개선을 가져왔다.[5]SSO는 사용자들이 많은 사용자 이름과 비밀번호를 기억해야 할 필요성과 더불어 본인 인증에 필요한 시간을 줄여 시스템의 사용성을 향상시킨다.

기타 중요한 고려 사항

  • 사용자들은 복잡하지 않고 사용과 이해를 위한 최소한의 노력이 필요한 시스템을 선호한다.[2]
  • 사용자는 생체 인식전화 기반 인증 시스템을 사용하는 것을 즐긴다.그러나 이러한 유형의 시스템들은 외부 기기가 기능할 것을 요구하고, 사용자로부터의 더 높은 수준의 상호작용을 요구하며, 기기를 사용할 수 없거나 고장날 경우 예비 메커니즘이 필요하다. 이는 낮은 사용성으로[2] 이어질 수 있다.
  • 많은 웹 애플리케이션에서 사용하는 현재 암호 시스템은 다음을 사용하여 더 나은 사용성을 위해 확장될 수 있다.

미래작업

더 많은 애플리케이션이 온라인으로 이동하고 사용 가능하고 안전한 강력하고 신뢰할 수 있는 인증 시스템을 요구함에 따라 사용성은 점점 더 중요해질 것이다.이를 달성하기 위한 가능한 방법으로 인증 시스템에[8] 뇌파를 사용하는 것이 제안되었다.그러나 더 많은 연구와 사용적합성 연구가 필요하다.

참고 항목

참조

  1. ^ a b c Christina Braz; Jean-Marc Robert (2006-04-18). "Security and Usability: The Case of the User Authentication Methods". ACM Digital Library. ACM New York, NY, USA. pp. 199–203. Retrieved 24 February 2016.
  2. ^ a b c d e f g Scott Ruoti; Brent Roberts; Kent Seamons. "Authentication Melee: A Usability Analysis of Seven Web Authentication Systems" (PDF). 24th International World Wide Web Conference. pp. 916–926. Retrieved 2016-02-24.
  3. ^ Schneier, Bruce. "Balancing Security and Usability in Authentication". Schneier on Security. Retrieved 24 February 2016.
  4. ^ a b c Renaud, Karen (January 2004). "Quantifying the Quality of Web Authentication Mechanisms A Usability Perspective". Journal of Web Engineering. Retrieved 24 February 2016.
  5. ^ a b c d e f Bonneau, Joseph; Herley, Cormac; van Oorschot, Paul C.; Stajano, Frank (2012). The Quest to Replace Passwords: A Framework for Comparative Evaluation of Web Authentication Schemes (PDF). 2012 IEEE Symposium on Security and Privacy. University of Cambridge Computer Laboratory. doi:10.1109/SP.2012.44. ISSN 1476-2986.
  6. ^ a b Sundararaman, Jeyaraman; Topkara, Umut. Have the cake and eat it too – Infusing usability into text- password based authentication systems (PDF). 21st Annual Computer Security Applications Conference (ACSAC'05). Proceedings of the ... Annual Computer Security Applications Conference. Tucson, AZ: IEEE. doi:10.1109/CSAC.2005.28. ISBN 0-7695-2461-3. ISSN 1063-9527.
  7. ^ a b Ma, Y; Feng, J (2011). Evaluating Usability of Three Authentication Methods in Web-Based Application. 2011 9th International Conference on Software Engineering Research, Management and Applications (SERA). Baltimore, MD: IEEE. pp. 81–88. doi:10.1109/SERA.2011.18. ISBN 978-1-4577-1028-5.
  8. ^ Financial Cryptography and Data Security. Springer Berlin Heidelberg. 2013. pp. 1–16. ISBN 978-3-642-41320-9.

추가 읽기