Современные пользователи имеют около 25 различных учетных записей онлайн-сервисов, в то время, как только 6.5 в среднем для их защиты. Эта статистика дает понять, что у пользователей есть реальные проблемы с запоминанием паролей и неоднократным использованием одинаковых паролей на разных сайтах.
Альтернативные методы аутентификации
Был предложен ряд методов аутентификации для решения проблемы запоминаемости, некоторые из которых уже были реализованы, хотя и не были широко использованы. Наиболее распространенные из них:
Аутентификация парольной фразы. Этот метод предполагает использование фраз вместо паролей, такие фразы могут быть обычными предложениями. Кодовая фраза обычно длиннее пароля и включает в себя пробелы, но более легко запоминаема. Основным преимуществом названного метода является то, что он позволяет повысить запоминаемость пароля при сохранении длины ключевой фразы, необходимой для обеспечения надежного уровня безопасности.
Двухфакторная аутентификация вводит в процесс повышения безопасности, то есть еще один этап аутентификации, помимо пароля. Этот этап может включать одно из следующих решений:
- Проверка SMS. Одноразовый код отправляется на мобильный телефон пользователя и его необходимо ввести для завершения процесса аутентификации.
- Подтверждение по электронной почте. В этом случае одноразовый код отправляется на учетную запись пользователя.
- Проверка кода приложения. Коды генерируются специальным приложением, установленным на телефоне пользователя (например, Google authenticator, яндекс ключ).
- Подтверждение с помощью приложения. Чтобы подтвердить попытку входа в систему, пользователь должен открыть соответствующий приложение на своем мобильном телефоне и подтвердить вход.
- Touch ID, Face ID. Аутентификация по отпечатку пальца, распознаванию черт лица.
- Проверка токена. Для этого метода для завершения аутентификации пользователь должен вставить небольшое USB-устройство и нажать кнопку на нем, или в зависимости от устройства, возможно, потребуется ввести отображаемый код на экране устройства.
Другим методом аутентификации является единый вход (SSO). Этот метод позволяет пользователям использовать одну из своих учетных записей в одной службе, чтобы войти в другую службу. Это дает возможность уменьшить количество данных, которые необходимо запомнить пользователю. Архитектура SSO предполагает две роли, одну из которых хранит информацию пользователей (например, ВК, Google, Facebook, Twitter) и аутентифицирует их, вторая роль от имени доверяющей стороны (например, CNN, Sears, Groupon) полагается на аутентифицированные удостоверения личности для принятия решений о разрешении. Самый популярный пример такого решения называется Social login, где социальные сети (например, Facebook, Twitter и т. д.) действуют как полагающаяся сторона.
Имеются решения для пк, такие как: 1password (https://1password.com/), Dashlane (https://www.dashlane.com/), LastPass (https://www.lastpass.com) и т.д. Они позволяют хранить большое количество паролей для разных сервисов, также данные решения синхронизируются с мобильными устройствами.
Поскольку существует широкий спектр методов аутентификации, важно определить, какие из них пользователи предпочли бы использовать наиболее часто, чтобы разработчики могли учитывать такую информацию при выборе аутентификации для своих онлайн-сервисов.
Предпочтения пользователей
Для выявления предпочтений, какой способ аутентификации удобнее и чаще используется, среди пользователей онлайн-сервисов был проведен опрос.
Данный опрос был проведен среди студентов СПБГТИ(ТУ).
Первый вопрос: «Удобно ли для вас использование пароля для входа в онлайн-сервисы?». По результатам опроса 71% респондентов считают пароль удобным методом аутентификации, когда 29% считать неудобным.
Одним из общих аргументов в пользу паролей было то, что участники опроса хорошо запоминали их. Большая часть респондентов, ответивших «Нет», заявила, что неудобство входа по паролю связано с множеством требований для его создания, таких как использование символов, строчные/заглавные буквы и других.
Далее участникам было предложено указать свои предпочтения путем выбора методов, которые бы они предпочли использовать. Респондентам был задан вопрос: «Какой метод аутентификации вы предпочли бы над другими?»
Результаты показали, что большинство людей (около 60%), участвовавших в опросе, по-прежнему предпочли бы использовать пароль для большинства онлайн-сервисов, кроме онлайн-банкинга. В то же время часто выбирались такие альтернативы, как двухфакторные методы аутентификации: наиболее популярной из них была «пароль + аутентификация через SMS» (11 из 34 респондентов выбрали ее).
Токен и двухэтапная аутентификация с помощью токена были наименее популярным выбором для всех классов онлайн услуг, одним из типичных мотивов для этого было то, что в настоящее время данный метод не обрел большую популярность.
В общем, объяснить предпочтения пользователей можно тем, что участники обычно уделяют приоритетное внимание разным типам сервисов, которое основывается на уровне важности.
В следующем вопросе участникам было предложено выбрать одну из трех возможных альтернатив паролю, которые они предпочли бы использовать независимо от онлайн-сервиса. Эти 3 альтернативы были социальным логином, кодовой фразой и токеном.
В результате опроса было установлено, что наиболее предпочтительной альтернативой является кодовая фраза, этот метод был выбран 53% респондентов, в то время как социальный логин и токен были выбраны соответственно 29% и 18% участников.
Последний вопрос касался предпочтений в двухэтапной аутентификации: «Что бы вы предпочли в качестве второго шага двухфакторной аутентификации для процедуры входа в систему? ».
Метод, выбранный 35% участниками, был «аутентификация через SMS», двумя менее популярными были «токен» и «подтверждение с помощью приложения», они составляли 18% и 17% ответов респондентов. Оставшиеся варианты: «аутентификация через электронную почту» и «аутентификация с помощью приложения» распределяются по 15%.
Результаты
Итоги опроса показали, что пользователи имеют твердые предпочтения в отношении онлайн-аутентификации и мотивы для этих выборов, как правило, ясны и понятны.
Что касается второго вопроса о методах аутентификации, которые предпочитают пользователи, то пользователи обычно уделяют приоритетное внимание сервисам, где возможна 2FA. Первым и главным фактором является участие любых финансовых активов. Если они задействованы, то пользователи предпочитают максимизировать безопасность их учетной записи и, следовательно, выбирать расширенные методы идентификации личности. Второй фактор является привлечение какой-либо личной информации, такие данные требуют дополнительной защиты.
Из этого следует, что пользователи готовы использовать безопасные пароли, вместо привычных и удобных ради обеспечения безопасности.
Проблема, поднятая в этом исследовании, заключалась в том, что некоторым службам иногда очень сложно установить, какой из методов аутентификации будет самый подходящий. В этом случае может быть хорошей идеей дать пользователю выбрать несколько альтернатив, которые позволят выбирать метод, подходящий именно ему.
Результаты проведенного исследования расширили понимание того, как пользователи воспринимают разные методы аутентификации в связи с различными видами сервисов. Такое понимание может быть полезно для разработчиков онлайн-сервисов, которые в будущем могут использовать наиболее подходящие методы аутентификации.
Комментарии (16)
bano-notit
12.12.2017 02:51Я может конечно и дурак, но я не понял что такое токен, в чём смысл этого метода аутентификации и вообще принцип? Можно статейку или какой-то материал для неимущих?
jetsam
12.12.2017 12:23небольшое USB-устройство
далее по тексту идет два кратких описания:
описание, похожее больше на хранилище сертификата (что-то по типу КриптоПро)
и описание, более похожее на OTP-генератор "ввести отображаемый код на экране устройства." (просто в виде аппаратного устройства, а не в виде приложения на компе\смарте)
* наверное, в статье под токен имеют в виду аппаратную реализацию любого метода (без уточнения).
nmk2002
12.12.2017 11:14Интересно узнать количество респондентов в ваших опросах. Хотя я думаю, что выборка среди студентов не будет показательной для всех.
В последнем опросе: «Что бы вы предпочли в качестве второго шага двухфакторной аутентификации для процедуры входа в систему?» два варианта ответа неразличимы между собой:
- Подтверждение с помощью приложения
- Аутентификация с помощью приложения
И еще я сильно сомневаюсь, что опрашиваемые пользователи испытали все эти методы аутентификации. Например, аутентификация через мобильное приложение (не одноразовые коды), очень удобна, но мало кто ее вообще видел вживую.VolCh
12.12.2017 13:09Различимы. Вот сейчас у меня телефон спрашивает "пытаетесь войти?", когда гугл аус дергаю где-то. Ответы "да" и "нет" — это просто подтверждение. А вот если бы телефон просил, например, палец к датчику приложить и сравнивал его с "зашитым" — это уже аутентификация
jetsam
12.12.2017 11:15TOTP (== Google authenticator) не обязательно на смартфоне иметь.
и как плагин к keepass (при желании и макро с автовходом для 2FA) и как небольшой класс (например php) — хоть с командной строки код получай.
и, как генератор — более удобен, так как не обязательно смарт в руках держать — можно на любое устройство найти. и порча\утеря смарта не вызывает ступпор.
** а по гендеру не было разреза? хотелось бы узнать отличие.jetsam
12.12.2017 12:49личное мнение:
я не знаю как был сформулирован вопрос «что бы вы предпочли..», была ли фраза "если бы все было бесплатно".
если бы меня спросили, я бы (автоматом) не поставил токен (любой) на первое место, так как он платный (1200р мин). а если и студенты задумывались о цене вопроса? и, конечно, платность токена сильно сужает круг знакомства с ним и, соответственно, выбор…
некорректно сводить бесплатный и платный вариант в один разрез.
* и VolCh правильно задал вопрос про сертификаты — пример есть — почивший StartCom (startssl) и, почти почивший, WoSign — авторизация по сертификату (не в токене) — такой простой метод не рассматривался?VolCh
12.12.2017 14:33Токен бы я не поставил по другим причинам (1200 рублей или 3000 — особо не принципиально):
- Легко потерять/повредить, а восстановить/заменить сложно, как правило. Туда же оперативный доступ в форс-мажорных ситуациях.
- (не для всех) Есть проблемы с совместимостью локального окружения, например на условном линуксе с условным Konquero
- Не очень понятен юридический статус как для пользователя (особо интересно трансграничное перемещение токена и использование не в стране приобретения), так и разработчика, желающего сделать на, например, своем сайте.
jetsam
12.12.2017 15:58Легко потерять/повредить, а восстановить/заменить сложно, как правило. Туда же оперативный доступ в форс-мажорных ситуациях.
тут, к сожалению, расплывчатость понятия «токен» — он может быть и генератором HOTP — полный аналог гуглаут только в виде флешки с кнопкой (и втыкать ее не надо) — дублируется\заменяется любым приложением (хоть на смарте, хоть на компе).
вот «очень умный» токен типа криптопро — это да (хотя и там дубликат можно поиметь в сейфе).
с «юрид» — да, но столкнуться можно при ввозе (только?) в Россию (ограничение ФСБ по шифрованию, насколько помню и то, для токенов типа криптопро, для OTP генераторов — еще не додумались).
что касается 1000 или 3000 не важно — кому как. мне (частное лицо) психологически не комфортно, если сервис бесплатный или 1уе\год, а токен для него 1000р :). да и 1000 по россии уже не мелочь.VolCh
12.12.2017 16:03Я больше про "очень умные", подключаемые к компу, требующие установки драйверов, провайдеров и т. п.
Ограничения ФСБ есть не только на ввоз, но и на вывоз. Да и вдругих странах есть ограничения на ввоз СКЗИ.
Вот, кстати, забыл отметить — может понадобиться иметь множество токенов для разных применений не из соображений "не класть все яйца в одну корзину", а потому что выбора нет.
jetsam
12.12.2017 16:36если человек перемещается по странам и континентам — ему только метод Штирлица — пара предложений с ххх абзаца в библии, как парольная фраза. возить с собой не надо (везде есть, подозрений не вызывает), запоминать не надо, потерять не реально :)
множество токенов — да. есть такое — у меня на 30 регистраторов (это которые с 2fa) — у трех — своя система генерации (у остальных HOTP), хочешь не хочешь — ставь «фирменное».
* вообще анализ «что выбрать» сильно коррелирует с «сколько входов и как часто и где».
** «очень умные» — скорее всего остануться в сфере, где нужна подпись (и\или шифрование) на документе. а как средство входа — генераторы.
EminH
12.12.2017 13:06Данный опрос был проведен среди студентов СПБГТИ(ТУ).
А сколько их было всего? И что их побудило учавствовать? (не праздное любопытство, мне нужен такой же опрос, хочу выяснить как проводить)
zharikovpro
12.12.2017 14:14У вас получилось исследование не «как пользователи воспринимают», а «что думают студенты-инженеры». Готов поспорить: среди аудитории одноклассников 40+ результаты будут совсем другие, а что такое «аутентификация» и «токен» респонденты вообще не поймут.
VolCh
А сертификаты не участвовали в опросе? А вообще как-то редко упоминается такой аспект аутентификации как удобство восстановления доступа при утрате аутентифицирующего фактора пользователем и сложности эмуляции утраты злоумышленником.
nmk2002
Похоже, что сертификаты входят в группу «Токен». Наверно автор сделала допущение, что пользователю не важно, что за токен, а важно сам факт использования дополнительного устройства в процессе аутентификации.
VolCh
Ну тут-то устройства нет, просто файлик на компе.
nmk2002
Согласен, бывает и просто файлик. Привык, что закрытый ключ на смарт-карте или USB токене.