“希望它存储在加密服务器上：缓解用户对FIDO2生物识别网站Authn的误解

虽然之前尝试在web上进行无密码身份验证需要专门的硬件，但FIDO2的WebAuthn协议允许用户使用智能手机登录网站。用户通过手机的解锁机制进行本地身份验证。然后，他们的手机使用公钥加密来验证网站的身份。使用生物特征（例如指纹、面部）进行本地身份验证可能很方便，但可能会产生误解，阻碍采用。通过三项补充研究，我们描述了生物特征WebAuth的特点，并试图减少对其的误解。我们还将其与非生物特征WebAuthn和传统密码进行了比较。首先，42名众筹工作者使用生物特征WebAuth登录网站，然后完成调查。至关重要的是，67%的参与者错误地认为他们的生物特征被发送到了网站上，从而引发了安全问题。在远程焦点小组中，27名众包工作人员共同设计了简短通知，以缓解生物特征WebAuth的误解。通过一项345人参与的在线研究，我们发现一些通知改善了对生物特征WebAuth的认知，部分解决了误解，但关于生物特征存储位置的关键误解部分持续存在。尽管如此，参与者愿意采用生物特征WebAuthn，而不是非生物特征WebAuthn或密码。我们的工作通过强调生物特征WebAuth的安全性和可用性，确定了增加其采用的方向。