La usabilidad de los sistemas de autenticación web se refiere a la eficiencia y aceptación del usuario de los sistemas de autenticación en línea. [1] Ejemplos de sistemas de autenticación web son contraseñas , sistemas de identidad federados (por ejemplo, Google oAuth 2.0, Facebook connect , persona de Mozilla ), sistemas de inicio de sesión único (SSO) basados en correo electrónico (por ejemplo, SAW, Hatchet), sistemas basados en códigos QR (por ejemplo , Snap2Pass , WebTicket ) o cualquier otro sistema utilizado para autenticar la identidad de un usuario en la web. Aunque la usabilidad de la autenticación webLos sistemas deben ser una consideración clave al seleccionar un sistema, muy pocos sistemas de autenticación web (aparte de las contraseñas) se han sometido a estudios o análisis formales de usabilidad . [2]
Usabilidad y usuarios
Un sistema de autenticación web debe ser lo más utilizable posible sin comprometer la seguridad que debe garantizar. [1] El sistema debe restringir el acceso de usuarios malintencionados al tiempo que permite el acceso a usuarios autorizados . Si el sistema de autenticación no tiene suficiente seguridad, los usuarios malintencionados podrían acceder fácilmente al sistema. Por otro lado, si el sistema de autenticación es demasiado complicado y restrictivo, un usuario autorizado no podría (o no querría) usarlo. [3] Se puede lograr una seguridad sólida en cualquier sistema, pero incluso el sistema de autenticación más seguro puede ser socavado por los usuarios del sistema, a menudo denominados "eslabones débiles" en la seguridad informática. [4]
Los usuarios tienden a aumentar o disminuir inadvertidamente la seguridad de un sistema. Si un sistema no es utilizable, la seguridad podría verse afectada ya que los usuarios intentarán minimizar el esfuerzo requerido para proporcionar información para la autenticación, como escribir sus contraseñas en papel. Un sistema más utilizable podría evitar que esto suceda. Es más probable que los usuarios obliguen a las solicitudes de autenticación de los sistemas que son importantes (por ejemplo, banca en línea), en contraposición a los sistemas menos importantes (por ejemplo, un foro que el usuario visita con poca frecuencia) donde estos mecanismos podrían simplemente ignorarse. Los usuarios aceptan las medidas de seguridad solo hasta cierto punto antes de sentirse molestos por los complicados mecanismos de autenticación. [4] Por tanto, un factor importante en la usabilidad de un sistema de autenticación web es el factor de conveniencia para el usuario que lo rodea.
Usabilidad y aplicaciones web
El sistema de autenticación web preferido para aplicaciones web es la contraseña, [4] a pesar de su escasa facilidad de uso y varios problemas de seguridad. [5] Este sistema ampliamente utilizado generalmente contiene mecanismos que estaban destinados a aumentar la seguridad (por ejemplo, exigir a los usuarios que tengan contraseñas de alta entropía) pero que hacen que los sistemas de contraseñas sean menos utilizables y, sin darse cuenta, menos seguros. [6] Esto se debe a que los usuarios encuentran estas contraseñas de alta entropía más difíciles de recordar. [7] Los creadores de aplicaciones deben hacer un cambio de paradigma para desarrollar sistemas de autenticación más utilizables que tomen en cuenta las necesidades del usuario. [5] Reemplazar los ubicuos sistemas basados en contraseñas por sistemas más utilizables (y posiblemente más seguros) podría generar importantes beneficios tanto para los propietarios de la aplicación como para sus usuarios.
Medición
Para medir la usabilidad de un sistema de autenticación web, se puede usar el marco de " usabilidad-implementación-seguridad " o "UDS" [5] o una métrica estándar, como la escala de usabilidad del sistema. [2] El marco UDS analiza tres categorías amplias, a saber, la facilidad de uso y la seguridad de un sistema de autenticación web y luego califica el sistema probado como que ofrece o no ofrece un beneficio específico vinculado a una (o más) de las categorías. Luego, un sistema de autenticación se clasifica como que ofrece o no ofrece un beneficio específico dentro de las categorías de usabilidad, implementación y seguridad. [5]
La medición de la usabilidad de los sistemas de autenticación web permitirá la evaluación formal de un sistema de autenticación web y determinará la clasificación del sistema en relación con otros. Si bien actualmente se están realizando muchas investigaciones sobre el sistema de autenticación web, tiende a centrarse en la seguridad y no en la usabilidad. [1] Las investigaciones futuras deben evaluarse formalmente para determinar la usabilidad utilizando una métrica o técnica comparable. Esto permitirá la comparación de varios sistemas de autenticación, así como determinar si un sistema de autenticación cumple con un punto de referencia mínimo de usabilidad. [2]
Qué sistema de autenticación web elegir
Se ha descubierto que los expertos en seguridad tienden a centrarse más en la seguridad y menos en los aspectos de usabilidad de los sistemas de autenticación web. [5] Esto es problemático ya que debe haber un equilibrio entre la seguridad de un sistema y su facilidad de uso . Un estudio realizado en 2015 [2] encontró que los usuarios tienden a preferir sistemas basados en el inicio de sesión único (como los proporcionados por Google y Facebook). Los usuarios preferían estos sistemas porque los encontraban rápidos y cómodos de usar. [2] Los sistemas basados en inicio de sesión único han dado como resultado mejoras sustanciales tanto en usabilidad como en seguridad. [5] SSO reduce la necesidad de que los usuarios recuerden muchos nombres de usuario y contraseñas, así como el tiempo necesario para autenticarse, mejorando así la usabilidad del sistema.
Otras consideraciones importantes
- Los usuarios prefieren sistemas que no sean complicados y que requieran un esfuerzo mínimo para su uso y comprensión. [2]
- Los usuarios disfrutan del uso de sistemas de autenticación biométricos y telefónicos . Sin embargo, estos tipos de sistemas requieren dispositivos externos para funcionar, un mayor nivel de interacción por parte de los usuarios y necesitan un mecanismo de respaldo si el dispositivo no está disponible o falla, lo que podría conducir a una menor usabilidad [2]
- El sistema de contraseñas actual utilizado por muchas aplicaciones web podría ampliarse para una mejor usabilidad mediante el uso de:
- mnemónicos memorables en lugar de contraseñas. [6]
- contraseñas gráficas o mnemotécnicas para que la autenticación sea más utilizable. [7]
Trabajo futuro
La usabilidad será cada vez más importante a medida que más aplicaciones se muevan en línea y requieran sistemas de autenticación robustos y confiables que sean utilizables y seguros. Se ha propuesto el uso de ondas cerebrales en los sistemas de autenticación [8] como una posible forma de lograrlo. Sin embargo, se requieren más estudios de investigación y usabilidad.
Ver también
- Autenticación
- Autorización
- Seguridad de información
- Seguridad de Internet
- OpenID
- Conexión OpenID
- Contraseña
- Escala de usabilidad del sistema (SUS)
- Usabilidad
- Pruebas de usabilidad
- WebFinger
- WebID
Referencias
- ^ a b c Christina Braz; Jean-Marc Robert (18 de abril de 2006). "Seguridad y usabilidad: el caso de los métodos de autenticación de usuarios" . Biblioteca digital ACM . ACM Nueva York, NY, EE. UU. págs. 199–203 . Consultado el 24 de febrero de 2016 .
- ^ a b c d e f g Scott Ruoti; Brent Roberts; Kent Seamons. "Autenticación cuerpo a cuerpo: un análisis de usabilidad de siete sistemas de autenticación web" (PDF) . 24ª Conferencia Internacional World Wide Web . págs. 916–926 . Consultado el 24 de febrero de 2016 .
- ^ Schneier, Bruce. "Equilibrio entre seguridad y usabilidad en autenticación" . Schneier sobre seguridad . Consultado el 24 de febrero de 2016 .
- ^ a b c Renaud, Karen (enero de 2004). "Cuantificación de la calidad de los mecanismos de autenticación web desde una perspectiva de usabilidad" . Revista de Ingeniería Web . Consultado el 24 de febrero de 2016 .
- ^ a b c d e f Bonneau, Joseph; Herley, Cormac; van Oorschot, Paul C .; Stajano, Frank (2012). La búsqueda para reemplazar las contraseñas: un marco para la evaluación comparativa de los esquemas de autenticación web (PDF) . 2012 Simposio IEEE sobre seguridad y privacidad . Laboratorio de Computación de la Universidad de Cambridge. doi : 10.1109 / SP.2012.44 . ISSN 1476-2986 .
- ^ a b Sundararaman, Jeyaraman; Topkara, Umut. Tómate el pastel y cómetelo también: infundiendo usabilidad en los sistemas de autenticación basados en texto y contraseña (PDF) . XXI Congreso Anual de Aplicaciones de Seguridad Informática (ACSAC'05). Actas de la ... Conferencia anual de aplicaciones de seguridad informática . Tucson, AZ: IEEE. doi : 10.1109 / CSAC.2005.28 . ISBN 0-7695-2461-3. ISSN 1063-9527 .
- ^ a b Mayo; Feng, J (2011). Evaluación de la usabilidad de tres métodos de autenticación en aplicaciones basadas en web . 2011 IX Congreso Internacional de Investigación, Gestión y Aplicaciones en Ingeniería de Software (SERA). Baltimore, MD: IEEE. págs. 81–88. doi : 10.1109 / SERA.2011.18 . ISBN 978-1-4577-1028-5.
- ^ Criptografía financiera y seguridad de datos . Springer Berlín Heidelberg. 2013. págs. 1-16. ISBN 978-3-642-41320-9.
Otras lecturas
- Martin Georgiev; Suman Jana; Vitaly Shmatikov. "Repensar la seguridad de las aplicaciones de sistemas basados en web" (PDF) . 24ª Conferencia Internacional World Wide Web .
- Keith, Mark; Shao, Benjamín; Steinbart, Paul John (enero de 2007). "La usabilidad de las frases de contraseña para la autenticación: un estudio de campo empírico". Revista Internacional de Estudios Humano-Informáticos . 65 (1): 17-28. doi : 10.1016 / j.ijhcs.2006.08.005 .
- Muhammad Daniel Hafiz Abdullah; Abdul Hanan Abdullah; Norafida Ithnin; Hazinah Kutty Mammi (2008). Hacia la identificación de las características de usabilidad y seguridad de la contraseña gráfica en la técnica de autenticación basada en el conocimiento . 2008 Segunda Conferencia Internacional de Asia sobre Modelado y Simulación (AMS). págs. 396–403. doi : 10.1109 / AMS.2008.136 .
- John Chuang; Hamilton Nguyen; Charles Wang; Benjamin Johnson (2013). "Pienso, por lo tanto, soy: usabilidad y seguridad de la autenticación mediante ondas cerebrales". Criptografía financiera y seguridad de datos . Apuntes de conferencias en Ciencias de la Computación. 7862 . Springer Berlín Heidelberg. págs. 1-16. CiteSeerX 10.1.1.359.9402 . doi : 10.1007 / 978-3-642-41320-9_1 . ISBN 978-3-642-41319-3. ISSN 0302-9743 .
- Paul T. McCabe (2002). "Usabilidad y Autenticación de Usuario: Contraseña Pectoral vs PIN" . Ergonomía contemporánea, 2003 . Prensa CRC. ISBN 9780203455869.