用户对作为FIDO2漫游验证器的智能手机的可用性和安全性的看法

FIDO2标准旨在用公开密钥加密技术取代密码，用于网络用户身份验证。这样做对可用性（例如无需记住密码）和安全性（例如消除网络钓鱼）都有好处。用户可以通过以下两种方式之一使用FIDO2进行身份验证。使用平台身份验证器，用户可以通过访问网站的同一设备上的可信硬件进行身份验证。但是，他们必须在每个设备上分别重新注册每个网站。使用漫游身份验证器（如USB安全密钥），它们只需注册一次，即可跨设备传输安全密钥。然而，用户可能不愿意为USB安全密钥付费，也不愿意随身携带，也不想知道如何将其插入不同的设备。这些缺陷推动了最近的努力，使智能手机能够充当漫游身份验证器。我们对使用智能手机作为漫游身份验证工具的FIDO2无密码身份验证进行了首次用户研究。在一项受试者之间的设计中，97名参与者使用他们的智能手机作为FIDO2漫游验证器（通过名为Neo的原型）或密码登录虚拟银行两周。我们发现，参与者准确地认识到Neo相对于密码的强大安全优势。然而，尽管Neo在概念上具有可用性优势，但参与者发现，无论是在客观衡量标准（如完成任务的时间）还是在感知方面，Neo的可用性都远不如密码。他们对Neo的批评包括对手机可用性、帐户恢复/备份和设置困难的担忧。我们的结果突出了推动智能手机作为FIDO2漫游认证器的关键挑战和机遇。