WebAuthn kan göra lösenord föråldrade. Kredit:RUB, Marquard
Många användare anser att lösenord är extremt betungande. Ett autentiseringsprotokoll för webbplatser, kallat WebAuthn, kan göra dem föråldrade. Användare kan använda den för att logga in på en tjänst som ett socialt nätverk eller en online shoppingplattform med sin smartphone eller dator. Processen är snabb och enkel när du använder biometriska data som fingeravtryck eller ansiktsigenkänning, som ofta redan finns lagrade för att låsa upp enheten. "Det är inte förvånande att detta kan skapa intrycket att de biometriska uppgifterna överförs till webbplatsen som du vill logga in på, liknande ett lösenord. Men detta är en missuppfattning", säger Leona Lassak från Ruhr-Universität Bochum (RUB) ).
Ett team från RUB, Max Planck Institute for Security and Privacy (MPI-SP) i Bochum och University of Chicago har tagit itu med dessa och andra missuppfattningar. I flera onlinestudier lät de 414 användare prova den nya WebAuthn-inloggningen och frågade dem om deras första intryck och farhågor angående dess säkerhet, användbarhet och integritet.
Leona Lassak från Horst Görtz Institute for IT Security vid RUB och Dr Maximilian Golla från MPI-SP kommer tillsammans med Annika Hildebrandt och professor Blase Ur från University of Chicago att publicera resultaten vid USENIX Security-konferensen den 11 augusti 2021 Tidningen har varit tillgänglig online sedan 21 juni 2021.
Så fungerar WebAuthn
WebAuthn är en del av den nya FIDO2-standarden, som syftar till att göra lösenord föråldrade. För närvarande, när användare vill logga in på en tjänst, anger de bara ett användarnamn och lösenord. I framtiden kan användare istället autentisera sig själva genom att använda sin enhet. För att säkerställa att en slumpmässig person som hittar en borttappad smartphone inte kommer att kunna logga in på alla typer av tjänster måste användare bekräfta inloggningsprocessen med sin smartphone-PIN eller biometri. Vissa tjänster som amerikanska eBay eller Microsoft erbjuder redan WebAuthn-inloggning.
Leona Lassak förklarar problemet:"För användaren verkar det som att de loggar in på onlinetjänsten med sitt fingeravtryck. I själva verket låser deras fingeravtryck bara upp en så kallad kryptografisk nyckel, som lagras på användarens enhet och sedan används för själva inloggningen."
Förvirring bland förstagångsanvändare
Nästan 70 procent av de tillfrågade var osäkra eller trodde felaktigt att deras biometriska data skulle delas med webbplatsen de försökte logga in på. "Det är viktigt att åtgärda dessa missförstånd, eftersom de äventyrar människors vilja att använda den nya säkra inloggningen, säger Annika Hildebrandt, författare från University of Chicago.
Ett annat problem uppstår om fingeravtryckssensorn inte fungerar. Det är faktiskt möjligt att ange smarttelefonens PIN-kod alternativt. Men eftersom användargränssnittet inte gör det här alternativet särskilt tydligt, trodde 60 procent av användarna att de skulle förlora åtkomsten till sitt konto i det här fallet. Forskarna frågade också om deltagarna skulle känna att deras konton var säkra om deras smartphone blev stulen. 93 procent av de tillfrågade kände sig tillräckligt skyddade på grund av sin biometri men var omedvetna om att en angripare också kunde få tillgång till sina konton genom att gissa smarttelefonens PIN-kod.
Att åtgärda missuppfattningar
Forskarna lät sju fokusgrupper utveckla texter och grafik som syftar till att förhindra dessa missuppfattningar och kommunicera den komplicerade funktionaliteten hos WebAuthn. Baserat på dessa texter implementerade forskarna sex anmälningar och jämförde dem i en onlinestudie.
"Det mest effektiva för att komma till rätta med missuppfattningar är att uttryckligen kommunicera att fingeravtrycks- och ansiktsdata aldrig överförs till webbplatsen", förklarar Annika Hildebrandt. Det var mindre effektivt att lyfta fram nackdelarna med lösenord eller att nämna de pålitliga företagen som hjälpte till att utveckla WebAuthn-standarden.
Ökar användningen
Trots alla missförstånd och farhågor rankade deltagarna den biometriska inloggningen högre än traditionella lösenord, eftersom de var särskilt imponerade av dess snabbhet och användarvänlighet. I framtiden avser forskarna att ytterligare öka acceptansen av WebAuthn för att göra dess fördelar tillgängliga för alla användare.