论文精读:A Systematic Study of the Consistency of Two-Factor Authentication User Journeys on Top-Ranked Websites (NDSS 2023)
相关链接:
笔记
认证因素 Authentication Factor
一般来说有三种:
知识因素/秘密信息(knowledge factors):原则上仅个人知道的信息,典型的如密码
物品因素/个人财产(possession factors):持有的实体物品,如身份证、卡、U盘等
遗传因素/生理特征(inherence factors):个人生理特征,如指纹、虹膜、人脸等
User Journey
用户旅程是用户与某物(通常是软件)交互时的体验,或为实现某个目的需要经历的操作过程。
雅各布定律
雅各布定律是一个描述用户学习的定律:用户往往更喜欢一个与他们所熟悉的其他网站(产品)相似的产品。换句话说,当设计一个新模式时,应该符合广大用户所熟悉的使用习惯,而这个习惯大多来自于用户从大量其他网站(产品)中习得的。
1.Introduction
双因素认证是现在很流行的加强账户安全的手段,但是2FA相关的UX设计存在不一致性(可以理解为不同网站之间2FA设置、使用流程差异很大),导致用户学习成本较高,降低了2FA的易用性。
本文系统地研究了85个热门网站上的2FA用户旅程,也就是希望确定这些网站是否始终遵循相同的设计模式和策略。为了做更准确的比较,论文设计了一个包含22个比较因子的列表,然后比较得出一般的设计模式,也给出对UX设计有益/有害的模式。
2.Background
关于2FA
很多网站开启双因素认证,对这篇工作比较重要的是一些网站可能提供多个2FA选项,或者强制用户以一个特定的顺序设置等等。此外2FA一个常见的问题是恢复阶段,例如一个认证设备丢失了;一个常见的策略是使用专用恢复项,例如一次性密码。
关于用户体验
用户体验没有一个明确的定义,但往往代表一个用户与一个产品交互的各个方面。UX设计有三个(互相有重叠的)方面:形式(如UI)、内容(如文本)、行为(如功能),本工作更多关注功能方面。
UX设计中的雅各布定律表示了功能类似的产品的设计,应当具有尽可能一致的模式,这样才能降低用户学习的成本,这也是本文研究各个网站2FA用户旅程的一致性的核心动机。
3.Related Work
关于2FA的问题大多采用用户调查的形式,焦点是用户对2FA的态度、采用2FA的障碍以及如何提高用户体验。还有一部分研究第二个认证因素的不同选项之间的用户偏好。
部分研究对本文有启发的一点是,将2FA的设置和登录分开研究,因为用户经常因为缺乏引导而感到困惑,这些研究大力推荐为用户设置清晰的说明和引导。
本文工作的关键区别在于,本文不研究形式、内容或功能的具体变化如何影响2FA的易用性和具体体验,而是首次系统地研究现有流行网站用户体验的一致性。论文的核心贡献是衡量各个网站的2FA用户旅程服从雅各布定律的程度。
4.Methodology
5.Data Set
论文的数据集整理自网站https://2fa.directory/。
6.Comparison Factors
22个比较因子。
Factors for Discovery
名称 | 满足 | 部分满足 | 不满足 |
|---|---|---|---|
Promotion. 宣传性 | 网站在创建账户或登录后立刻清晰地引导2FA流程 | 以不那么显眼的方式,例如footer中的链接提供2FA支持 | 需要用户自己发现2FA设置 |
Non-Optional. 非可选性 | 2FA设置是强制性的,否则无法创建账户或创建后无法访问完整功能 | / | 2FA设置是可选的 |
Common-Naming-and-Location.命名和位置的常规性 | 2FA设置的名称和位置较为常规 | 名称和位置有一个不常规 | 名称和位置都不常规 |
Factors for Education
名称 | 满足 | 部分满足 | 不满足 |
|---|---|---|---|
Descriptive-Notification. 描述性通知 | 网站在用户确认启用2FA前,简要地描述什么是2FA,或为什么2FA对用户重要。 | 在用户启用2FA后提供描述,但此时用户仍然可以放弃设置 | 没有提供对2FA的描述 |
Additional-Information. 额外信息 | 网站提供更详细的关于2FA的说明,例如一个 | / | 没有额外信息,或链接损坏 |
Factors for Setup
名称 | 满足 | 部分满足 | 不满足 |
|---|---|---|---|
Option-Specific-Information.选项详细信息 | 网站提供对所有支持的2FA选项的详细信息。 | / | 没有详细的信息但直接开始设置步骤。例如,直接让用户扫描二维码或使用安全密钥,但没有做进一步的解释 |
Step-Wise-Instructions.循序渐进的指示 | 设置2FA时网站提供详细引导 | / | 没有详细引导 |
Multiselection. 多选 | 网站允许用户设置多种2FA选项 | 网站提供多种2FA选项,但只允许用户设置一种 | 只有一种2FA选项 |
Grouped-Setting. 集中的设置位置(“多选”至少为 | 用户有一个单一的设置位置来管理他们所有的2FA选项 | / | 和2FA相关的设置项较为分散 |
No-Enforced-Options. 无强制选项(“多选”至少为 | 用户可以自主选择2FA选项 | / | 例如,用户必须先配置短信验证,然后才能配置其他选项 |
Selectable-Primary-Option. 可以设置主选项(“多选”应为 | 可以设置主选项 | / | 不支持用户自主选择的主选项 |
Settings-Changed-Verification. 设置变更需认证 | 更改2FA设置时用户需要身份认证 | / | 更改2FA设置时用户不需要身份认证 |
Settings-Changed-Notification. 设置变更有通知 | 更改2FA设置后用户会收到通过其他渠道的通知,如电子邮件 | / | 更改2FA设置后无通知 |
Confirm-Successful-Setup. 确认成功设置 | 网站需要用户确认2FA验证才能成功完成设置,并提供清晰的消息提示 | 需要确认但缺失消息 | 不需要确认 |
Informed-2FA-Recovery-Options. 专用恢复选项 | 网站提供专用恢复选项,并解释为什么这是重要的 | 提供此功能,但没有告知用户其重要性 | 不提供专用恢复选项 |
Enforced-2FA-Recovery-Setup. 强制设置恢复选项(“专用恢复选项”至少为 | 设置2FA恢复选项是设置2FA过程所必需的 | 不是必需,但网站建议用户设置 | 由用户自行决定,网站并没有建议 |
Factors for Usage
名称 | 满足 | 部分满足 | 不满足 |
|---|---|---|---|
Device-Remembrance. 设备记忆 | 网站自动设置设备记忆 | 由用户自行决定选择退出,如未选中的复选框被描述为“在此设备上再次询问我” | 由用户自行决定选择加入,如未选中的复选框被描述为“信任此设备” |
No-Preselected-Option. 无预选选项(“多选”应为 | 网站在登录时显示所有已配置的2FA选项 | / | 存在对用户不透明的预选 |
Factors for Deactivation
名称 | 满足 | 部分满足 | 不满足 |
|---|---|---|---|
Informed-Deactivation. 可停用 | 可以停用2FA选项,并且网站会解释这样做的潜在风险 | 可以停用2FA选项,但没有进一步的解释或警告 | 不允许停用2FA |
Deactivation-Verification. 停用需认证(“可停用”至少为 | 停用2FA时用户需要身份认证 | / | 停用2FA时用户不需要身份认证 |
Deactivation-Notification. 停用有通知(“可停用”至少为 | 停用2FA后用户会收到通过其他渠道的通知,如电子邮件 | / | 停用2FA后无通知 |
Communicate-Successful-Deactivation.提示成功停用(“可停用”至少为 | 成功停用UI会有清晰的消息提示 | / | 没有相应提示 |
7.Results
网站数据概览
一些发现包括:
86%的网站使用two-factor/two-step/multiple-factor+authentication/verification作为命名;
92%的网站2FA设置在账户设置的安全设置下;
只有31个网站提供设备记忆功能,其中52%的网站描述设备记忆为记住设备或客户端,29%的网站描述设备记忆为信任设备,13%的网站描述设备记忆为跳过额外步骤;
……
探索性数据分析
网站相似性和因素一致性:使用汉明距离分析,发现平均每个网站在14个非条件性因素中有6~7个因素与其他网站不同,表明这些网站的2FA用户流程在整体上缺乏一致性。
通过聚类分析,研究发现6个主要的设计模式(聚类集群),这些集群在用户教育、多重2FA选项的支持以及设备记忆功能的提供上有所不同。
集群与网站排名有一定的统计显著性关联,2FA设计的某些模式在高排名网站中更为常见,而较低排名的网站则更多地落入另一个集群。
定性数据分析
一致的发现过程:大多数网站不会在用户注册或登录时立即推广2FA,只有少数网站强制要求用户设置2FA。
用户教育的缺乏:大多数网站没有为用户提供足够的2FA信息或分步指导。
2FA设置和配置的混合策略:在2FA选项的提供和配置方面,网站之间存在显著差异,例如是否允许多个2FA选项同时激活。
恢复选项多为可选项:大部分网站提供恢复选项,但只有少数网站强制要求用户设置这些选项。
设备记忆功能的混合策略:超过一半的网站不支持设备记忆功能,而支持该功能的网站在用户选择和逻辑上也存在差异。
一致的停用支持:几乎所有网站都允许停用2FA,但只有少数会提醒用户停用的风险并进行身份验证。
8.Discussion and Future Work
略。
9.Conclusion
本文的工作为比较网站上的2FA用户旅程提供了一种方法,并首次对顶级网站上用户旅程的一致性进行了系统研究。这项工作也会为2FA功能开发者提供更通用的UX设计指南。