论文阅读:《A Systematic Study of the Consistency of Two-Factor Authentication User Journeys on Top-Ranked Websites》

论文:A Systematic Study of the Consistency of Two-Factor Authentication User Journeys on Top-Ranked Websites

本文对web端2FA间用户体验的一致性进行系统性研究。

2FA是一种在过去几年才开始在网站中得到广泛采用的技术,因此并不是最初网站设计的一部分。目前也不存在2FA相关的通用指南或是最佳实践。

挑战与方法

为了解决这一挑战,作者设计了一种方法,对85个网站上现有的2FA user journey,进行开放和轴向地编码,得出了22个比较因素。这些因素描述了用户从登录/注册期间发现提供2FA支持,到用户了解可用的第二因素选项及其设置过程,再到所选2FA选项的使用和停用的过程。基于这些因素进行比较,确定了常见的2FA设计模式及差异,并强调它们对于用户体验的影响。

自动化爬虫工具需要先验知识的引导,且无法处理2FA过程中所需利用到的额外设备。因此本文采取两名研究人员手动地进行用户旅程探索

图片

作者将2FA用户旅程的探索分为了五个步骤,并分别进行比较因素的提取:

  1. 第一步是在网站上发现2FA支持;(是否有提示,是否强制,是否在常见位置等)
  2. 下一步是网站如何介绍与解释2FA;(是否有描述信息,是否有额外链接)
  3. 接着探索了不同的2FA设置选项以及网站对成功设置的反馈;(是否有关于2FA步骤与因子的引导,是否有默认或强制开启的选项,是否通知恢复机制等)
  4. 然后,检查网站上2FA的使用情况。重新登录并观察网站如何提示身份验证,以及它是否实现了设备记忆等;(是否提供记住设备功能,用户在未预先设置过的情况下登录,是否有第二因子可选列表,还是内部自动选取第二因子)
  5. 最后,探讨了网站设置中的2FA停用过程以及网站如何传达这些更改。(停用时是否有解释,验证,通知信息等)
    图片

具体来说,作者应用紧急编码中的知识,特别是基于基础理论的开放和轴向编码,这些编码技术通常应用于文本内容的定性数据分析。为了沿用这些既定的方法,作者将录屏得到的2FA用户旅程视为了半结构化的访谈

两名研究人员分别对一组记录的用户旅程进行了评估,并将观察到的旅程划分为有意义的部分,他们为这些部分分配了概念(即代码)。随后是轴向编码,两位研究人员通过归纳和演绎将这些概念组合成类别。在对比较因素列表达成一致后,研究人员讨论了每个网站如何匹配每个比较因素(例如,完全匹配、部分匹配或完全匹配)。

实验结论

实验数据集来源于2FA Directory,对其中属于同一域名下的子域名进行了合并,并选取最具代表性的域名展开分析(例如cloud.google.com和mail.google.com等都是采用google账号登录,选取mail.google.com即可)。并排除了一部分无法创建账号的网站类别(银行、政府等)

作者使用海明距离比较网站间相似性,香农熵计算因子一致性。

图片

结果表明,尽管2FA没有一个总体的设计模式。但其设计空间被聚集在具有非常相似模式的网站群中,其中一些受到顶级网站的青睐,另一些则受到不太流行网站的青睐。

图片

此外,几乎所有网站都同意的2FA设计方面是:它是一个可选功能,如何被调用和描述,以及应该能在帐户设置中找到它。数据集中仅六个网站强制要求2FA,其中大多数属于加密货币类别。

图片

相比之下,在设置和使用2FA的关键步骤中,这些网站所实施的策略存在着不一致性,例如支持的2FA技术不同、设备记忆选项的不一致、或向用户提供不同程度的反馈

  • 三种基本策略之间存在着几乎均等的分歧:“只提供一种2FA选项”、“提供多种2FA选项,但一次只能激活一种”和“提供多个2FA选项且同时可以激活多种2FA”
  • 在支持多个2FA选项的网站中,有一半在向用户提供其他选项之前,只会提供特定的2FA选项。例如,只有在提供电话号码后,用户才能设置安全密钥或TOTP作为替代。
  • 只有一个网站在登录期间,会提前询问用户希望使用哪个2FA选项。绝大多数网站都使用内部指标来确定应使用哪个2FA选项登录,用户只能通过“use a different method”或“do you have difficulties”菜单来选择另一个2FA选项。

图片

  • 四分之三的网站提供了恢复选项,其中大多数网站还向用户解释设置恢复选项的重要性或忽略设置恢复选项所带来的风险。这些网站中首选的恢复选项是可打印的一次性代码。此外,网站在强制设置恢复选项方面非常一致。几乎四分之三的具有恢复选项的网站都会敦促用户设置恢复,只有六个网站在2FA设置期间强制执行此操作。
  • 数据集中超过一半的网站不支持设备记忆,即用户无法在未来登录时明确选择跳过第二因素身份验证。对于支持这一功能的网站,我们发现它们不仅以不同的方式描述它,而且它们的记忆逻辑也不同。几乎三分之二的网站需要用户选择使用这一功能,五分之一的网站要求用户明确选择不记住设备,另外五分之一网站在不询问用户的情况下自动记忆设备cookie。
  • 数据集中除五个网站外,其他所有网站都支持停用2FA。然而,只有少数网站向用户传达停用2FA的风险(例如,更容易的账户劫持)。此外,只有大约一半的网站在停用前验证用户身份、通知用户停用、或在网站设置中显示成功消息。