Наиболее распространенным методом онлайн-аутентификации на данный момент является пароль. Есть другие, не менее популярные методы онлайн-аутентификации, такие как: двухфакторная аутентификация (или 2FA), логины социальных сетей.
Современные пользователи имеют около 25 различных учетных записей онлайн-сервисов, в то время, как только 6.5 в среднем для их защиты. Эта статистика дает понять, что у пользователей есть реальные проблемы с запоминанием паролей и неоднократным использованием одинаковых паролей на разных сайтах.
Был предложен ряд методов аутентификации для решения проблемы запоминаемости, некоторые из которых уже были реализованы, хотя и не были широко использованы. Наиболее распространенные из них:
Аутентификация парольной фразы. Этот метод предполагает использование фраз вместо паролей, такие фразы могут быть обычными предложениями. Кодовая фраза обычно длиннее пароля и включает в себя пробелы, но более легко запоминаема. Основным преимуществом названного метода является то, что он позволяет повысить запоминаемость пароля при сохранении длины ключевой фразы, необходимой для обеспечения надежного уровня безопасности.
Двухфакторная аутентификация вводит в процесс повышения безопасности, то есть еще один этап аутентификации, помимо пароля. Этот этап может включать одно из следующих решений:
Другим методом аутентификации является единый вход (SSO). Этот метод позволяет пользователям использовать одну из своих учетных записей в одной службе, чтобы войти в другую службу. Это дает возможность уменьшить количество данных, которые необходимо запомнить пользователю. Архитектура SSO предполагает две роли, одну из которых хранит информацию пользователей (например, ВК, Google, Facebook, Twitter) и аутентифицирует их, вторая роль от имени доверяющей стороны (например, CNN, Sears, Groupon) полагается на аутентифицированные удостоверения личности для принятия решений о разрешении. Самый популярный пример такого решения называется Social login, где социальные сети (например, Facebook, Twitter и т. д.) действуют как полагающаяся сторона.
Имеются решения для пк, такие как: 1password (https://1password.com/), Dashlane (https://www.dashlane.com/), LastPass (https://www.lastpass.com) и т.д. Они позволяют хранить большое количество паролей для разных сервисов, также данные решения синхронизируются с мобильными устройствами.
Поскольку существует широкий спектр методов аутентификации, важно определить, какие из них пользователи предпочли бы использовать наиболее часто, чтобы разработчики могли учитывать такую информацию при выборе аутентификации для своих онлайн-сервисов.
Для выявления предпочтений, какой способ аутентификации удобнее и чаще используется, среди пользователей онлайн-сервисов был проведен опрос.
Данный опрос был проведен среди студентов СПБГТИ(ТУ).
Первый вопрос: «Удобно ли для вас использование пароля для входа в онлайн-сервисы?». По результатам опроса 71% респондентов считают пароль удобным методом аутентификации, когда 29% считать неудобным.
Одним из общих аргументов в пользу паролей было то, что участники опроса хорошо запоминали их. Большая часть респондентов, ответивших «Нет», заявила, что неудобство входа по паролю связано с множеством требований для его создания, таких как использование символов, строчные/заглавные буквы и других.
Далее участникам было предложено указать свои предпочтения путем выбора методов, которые бы они предпочли использовать. Респондентам был задан вопрос: «Какой метод аутентификации вы предпочли бы над другими?»
Результаты показали, что большинство людей (около 60%), участвовавших в опросе, по-прежнему предпочли бы использовать пароль для большинства онлайн-сервисов, кроме онлайн-банкинга. В то же время часто выбирались такие альтернативы, как двухфакторные методы аутентификации: наиболее популярной из них была «пароль + аутентификация через SMS» (11 из 34 респондентов выбрали ее).
Токен и двухэтапная аутентификация с помощью токена были наименее популярным выбором для всех классов онлайн услуг, одним из типичных мотивов для этого было то, что в настоящее время данный метод не обрел большую популярность.
В общем, объяснить предпочтения пользователей можно тем, что участники обычно уделяют приоритетное внимание разным типам сервисов, которое основывается на уровне важности.
В следующем вопросе участникам было предложено выбрать одну из трех возможных альтернатив паролю, которые они предпочли бы использовать независимо от онлайн-сервиса. Эти 3 альтернативы были социальным логином, кодовой фразой и токеном.
В результате опроса было установлено, что наиболее предпочтительной альтернативой является кодовая фраза, этот метод был выбран 53% респондентов, в то время как социальный логин и токен были выбраны соответственно 29% и 18% участников.
Последний вопрос касался предпочтений в двухэтапной аутентификации: «Что бы вы предпочли в качестве второго шага двухфакторной аутентификации для процедуры входа в систему? ».
Метод, выбранный 35% участниками, был «аутентификация через SMS», двумя менее популярными были «токен» и «подтверждение с помощью приложения», они составляли 18% и 17% ответов респондентов. Оставшиеся варианты: «аутентификация через электронную почту» и «аутентификация с помощью приложения» распределяются по 15%.
Итоги опроса показали, что пользователи имеют твердые предпочтения в отношении онлайн-аутентификации и мотивы для этих выборов, как правило, ясны и понятны.
Что касается второго вопроса о методах аутентификации, которые предпочитают пользователи, то пользователи обычно уделяют приоритетное внимание сервисам, где возможна 2FA. Первым и главным фактором является участие любых финансовых активов. Если они задействованы, то пользователи предпочитают максимизировать безопасность их учетной записи и, следовательно, выбирать расширенные методы идентификации личности. Второй фактор является привлечение какой-либо личной информации, такие данные требуют дополнительной защиты.
Из этого следует, что пользователи готовы использовать безопасные пароли, вместо привычных и удобных ради обеспечения безопасности.
Проблема, поднятая в этом исследовании, заключалась в том, что некоторым службам иногда очень сложно установить, какой из методов аутентификации будет самый подходящий. В этом случае может быть хорошей идеей дать пользователю выбрать несколько альтернатив, которые позволят выбирать метод, подходящий именно ему.
Результаты проведенного исследования расширили понимание того, как пользователи воспринимают разные методы аутентификации в связи с различными видами сервисов. Такое понимание может быть полезно для разработчиков онлайн-сервисов, которые в будущем могут использовать наиболее подходящие методы аутентификации.
Современные пользователи имеют около 25 различных учетных записей онлайн-сервисов, в то время, как только 6.5 в среднем для их защиты. Эта статистика дает понять, что у пользователей есть реальные проблемы с запоминанием паролей и неоднократным использованием одинаковых паролей на разных сайтах.
Альтернативные методы аутентификации
Был предложен ряд методов аутентификации для решения проблемы запоминаемости, некоторые из которых уже были реализованы, хотя и не были широко использованы. Наиболее распространенные из них:
Аутентификация парольной фразы. Этот метод предполагает использование фраз вместо паролей, такие фразы могут быть обычными предложениями. Кодовая фраза обычно длиннее пароля и включает в себя пробелы, но более легко запоминаема. Основным преимуществом названного метода является то, что он позволяет повысить запоминаемость пароля при сохранении длины ключевой фразы, необходимой для обеспечения надежного уровня безопасности.
Двухфакторная аутентификация вводит в процесс повышения безопасности, то есть еще один этап аутентификации, помимо пароля. Этот этап может включать одно из следующих решений:
- Проверка SMS. Одноразовый код отправляется на мобильный телефон пользователя и его необходимо ввести для завершения процесса аутентификации.
- Подтверждение по электронной почте. В этом случае одноразовый код отправляется на учетную запись пользователя.
- Проверка кода приложения. Коды генерируются специальным приложением, установленным на телефоне пользователя (например, Google authenticator, яндекс ключ).
- Подтверждение с помощью приложения. Чтобы подтвердить попытку входа в систему, пользователь должен открыть соответствующий приложение на своем мобильном телефоне и подтвердить вход.
- Touch ID, Face ID. Аутентификация по отпечатку пальца, распознаванию черт лица.
- Проверка токена. Для этого метода для завершения аутентификации пользователь должен вставить небольшое USB-устройство и нажать кнопку на нем, или в зависимости от устройства, возможно, потребуется ввести отображаемый код на экране устройства.
Другим методом аутентификации является единый вход (SSO). Этот метод позволяет пользователям использовать одну из своих учетных записей в одной службе, чтобы войти в другую службу. Это дает возможность уменьшить количество данных, которые необходимо запомнить пользователю. Архитектура SSO предполагает две роли, одну из которых хранит информацию пользователей (например, ВК, Google, Facebook, Twitter) и аутентифицирует их, вторая роль от имени доверяющей стороны (например, CNN, Sears, Groupon) полагается на аутентифицированные удостоверения личности для принятия решений о разрешении. Самый популярный пример такого решения называется Social login, где социальные сети (например, Facebook, Twitter и т. д.) действуют как полагающаяся сторона.
Имеются решения для пк, такие как: 1password (https://1password.com/), Dashlane (https://www.dashlane.com/), LastPass (https://www.lastpass.com) и т.д. Они позволяют хранить большое количество паролей для разных сервисов, также данные решения синхронизируются с мобильными устройствами.
Поскольку существует широкий спектр методов аутентификации, важно определить, какие из них пользователи предпочли бы использовать наиболее часто, чтобы разработчики могли учитывать такую информацию при выборе аутентификации для своих онлайн-сервисов.
Предпочтения пользователей
Для выявления предпочтений, какой способ аутентификации удобнее и чаще используется, среди пользователей онлайн-сервисов был проведен опрос.
Данный опрос был проведен среди студентов СПБГТИ(ТУ).
Первый вопрос: «Удобно ли для вас использование пароля для входа в онлайн-сервисы?». По результатам опроса 71% респондентов считают пароль удобным методом аутентификации, когда 29% считать неудобным.
Одним из общих аргументов в пользу паролей было то, что участники опроса хорошо запоминали их. Большая часть респондентов, ответивших «Нет», заявила, что неудобство входа по паролю связано с множеством требований для его создания, таких как использование символов, строчные/заглавные буквы и других.
Далее участникам было предложено указать свои предпочтения путем выбора методов, которые бы они предпочли использовать. Респондентам был задан вопрос: «Какой метод аутентификации вы предпочли бы над другими?»
Результаты показали, что большинство людей (около 60%), участвовавших в опросе, по-прежнему предпочли бы использовать пароль для большинства онлайн-сервисов, кроме онлайн-банкинга. В то же время часто выбирались такие альтернативы, как двухфакторные методы аутентификации: наиболее популярной из них была «пароль + аутентификация через SMS» (11 из 34 респондентов выбрали ее).
Токен и двухэтапная аутентификация с помощью токена были наименее популярным выбором для всех классов онлайн услуг, одним из типичных мотивов для этого было то, что в настоящее время данный метод не обрел большую популярность.
В общем, объяснить предпочтения пользователей можно тем, что участники обычно уделяют приоритетное внимание разным типам сервисов, которое основывается на уровне важности.
В следующем вопросе участникам было предложено выбрать одну из трех возможных альтернатив паролю, которые они предпочли бы использовать независимо от онлайн-сервиса. Эти 3 альтернативы были социальным логином, кодовой фразой и токеном.
В результате опроса было установлено, что наиболее предпочтительной альтернативой является кодовая фраза, этот метод был выбран 53% респондентов, в то время как социальный логин и токен были выбраны соответственно 29% и 18% участников.
Последний вопрос касался предпочтений в двухэтапной аутентификации: «Что бы вы предпочли в качестве второго шага двухфакторной аутентификации для процедуры входа в систему? ».
Метод, выбранный 35% участниками, был «аутентификация через SMS», двумя менее популярными были «токен» и «подтверждение с помощью приложения», они составляли 18% и 17% ответов респондентов. Оставшиеся варианты: «аутентификация через электронную почту» и «аутентификация с помощью приложения» распределяются по 15%.
Результаты
Итоги опроса показали, что пользователи имеют твердые предпочтения в отношении онлайн-аутентификации и мотивы для этих выборов, как правило, ясны и понятны.
Что касается второго вопроса о методах аутентификации, которые предпочитают пользователи, то пользователи обычно уделяют приоритетное внимание сервисам, где возможна 2FA. Первым и главным фактором является участие любых финансовых активов. Если они задействованы, то пользователи предпочитают максимизировать безопасность их учетной записи и, следовательно, выбирать расширенные методы идентификации личности. Второй фактор является привлечение какой-либо личной информации, такие данные требуют дополнительной защиты.
Из этого следует, что пользователи готовы использовать безопасные пароли, вместо привычных и удобных ради обеспечения безопасности.
Проблема, поднятая в этом исследовании, заключалась в том, что некоторым службам иногда очень сложно установить, какой из методов аутентификации будет самый подходящий. В этом случае может быть хорошей идеей дать пользователю выбрать несколько альтернатив, которые позволят выбирать метод, подходящий именно ему.
Результаты проведенного исследования расширили понимание того, как пользователи воспринимают разные методы аутентификации в связи с различными видами сервисов. Такое понимание может быть полезно для разработчиков онлайн-сервисов, которые в будущем могут использовать наиболее подходящие методы аутентификации.
