Technologie zum Ersetzen von Passwörtern schlägt bei Benutzertests fehl
Passwörter und Anmeldungen sind nach wie vor die gängigsten elektronischen Authentifizierungssysteme, die alles von unseren Bankkonten, Laptops und E-Mails bis hin zu Gesundheitsinformationen, Stromrechnungen und natürlich unseren Facebook-Profilen schützen.
Das Überwiegen der "Sicherheits" -Funktionen hat dazu geführt, dass viele Spickzettel erstellt haben, um uns an die cleveren Passwörter oder Anmeldungen zu erinnern, die wir bei der Eröffnung des Kontos entwickelt haben. Dies erhöht ironischerweise unsere Gefährdung durch Datenschutz- und Sicherheitsverletzungen.
Die Ingenieure der University of Washington versuchen herauszufinden, warum die Authentifizierungstechnologie für Fingerabdrücke, Augen- und Gesichtserkennung nicht zum Mainstream geworden ist. In einer kürzlich durchgeführten Studie stellten sie fest, dass die Benutzererfahrung der Schlüssel zur Schaffung eines Systems sein könnte, das nicht auf Kennwörtern basiert.
"Wie Menschen mit biometrischen Geräten interagieren, ist für ihren zukünftigen Erfolg von entscheidender Bedeutung", sagte die leitende Forscherin Cecilia Aragon, Ph.D., eine UW-Professorin für menschenzentriertes Design und Engineering.
"Dies ist der Beginn der Betrachtung der biometrischen Authentifizierung als sozio-technisches System, bei dem nicht nur eine effiziente und genaue Authentifizierung erforderlich ist, sondern auch etwas, dem die Menschen vertrauen, das sie akzeptieren und mit dem sie nicht frustriert werden."
Aragon glaubt, dass einer der Gründe, warum Gesichts- und Augenerkennungssysteme nicht gestartet wurden, darin besteht, dass die Benutzererfahrung häufig nicht in das Design einbezogen wird.
Ihr Team präsentierte seine Studie auf der Internationalen Konferenz für Biometrie der International Association for Pattern Recognition. Die Forscher fanden heraus, dass Geschwindigkeit, Genauigkeit und Auswahl der Fehlermeldungen für den Erfolg eines Eye-Tracking-Systems wichtig sind.
"Wenn Sie die Technologie und die Benutzeroberfläche parallel entwickeln, können Sie sicherstellen, dass die Technologie zu den Benutzern passt und nicht umgekehrt", sagte Aragon. "Es ist sehr wichtig, Feedback von allen Beteiligten zu erhalten, während Sie ein biometrisches Identifikationssystem entwerfen."
Das UW-Team entwickelte in Zusammenarbeit mit Oleg Komogortsev, Ph.D., an der Texas State University eine neue biometrische Authentifizierungstechnik, mit der Personen anhand ihrer Augenbewegungen identifiziert werden können. Sie durchliefen die Probanden durch verschiedene Arten der Authentifizierung und baten dann um Feedback zur Benutzerfreundlichkeit und zur wahrgenommenen Sicherheit.
In der Studie simulierten Benutzer das Abheben von Geld an einem Geldautomaten. Der Prototyp - ein ATM-ähnlicher Computerbildschirm mit Eye-Tracking-Technologie - präsentierte drei verschiedene Arten der Authentifizierung: eine Standard-PIN mit vier Zahlen, ein zielbasiertes Spiel, das den Blick einer Person verfolgt, und eine Leseübung, die den Augen eines Benutzers folgt bewege dich an jedem Wort vorbei. Mit jedem haben die Forscher gemessen, wie lange es gedauert hat und wie oft das System neu kalibriert werden musste.
Die Eye-Tracking-Technologie verwendet Infrarotlicht und Kameras. Das Licht wird von der Oberfläche des Augapfels zurück zur Kamera reflektiert, wenn das Auge eines Benutzers einem Punkt oder Wörtern auf dem Computerbildschirm folgt. Das Ortungsgerät erfasst die einzigartige Art und Weise, wie sich das Auge jeder Person bewegt.
Das UW-Forschungsteam entschied sich für das ATM-Szenario, da es den meisten Menschen bekannt ist und auf vielen Maschinen bereits eine grundlegende Überwachungskamera installiert ist.
"Das Ziel von Eye-Tracking-Signaturen ist es, kostengünstige Kameras anstelle von spezieller Eye-Tracking-Hardware zu ermöglichen", sagte Aragon. "Dieses System kann von praktisch jeder Technologie verwendet werden, die über eine Kamera verfügt, sogar über eine Webcam von geringer Qualität."
Bei einem anschließenden Interview gaben die meisten Probanden an, der in den meisten Geldautomaten verwendeten Standard-Drucktasten-PIN nicht zu vertrauen, und die meisten gingen davon aus, dass die fortschrittlicheren Technologien die beste Sicherheit bieten würden.
Als die Authentifizierung jedoch fehlschlug - das Forschungsteam veranlasste sie absichtlich, Benutzer während eines Versuchs nicht zu erkennen -, verloren sie das Vertrauen in die Eye-Tracking-Systeme. Diese Studie hat gezeigt, dass die zukünftige Eye-Tracking-Technologie klare Fehlermeldungen oder Anweisungen zum Vorgehen der Benutzer geben sollte, wenn sie aus der Spur geraten.
"Die von uns bereitgestellten Fehlermeldungen und das Feedback, das wir gaben, waren wirklich wichtig, um sie nutzbar zu machen", sagte Michael Brooks, ein UW-Doktorand in menschenzentriertem Design und Ingenieurwesen. "Es wäre schwierig gewesen, diese Prototypen zu entwerfen, ohne frühzeitig Feedback von den Benutzern zu erhalten."
Die Standard-PIN-Authentifizierung zeichnete sich durch Schnelligkeit und Benutzerfreundlichkeit aus, aber die Punkt-Targeting-Übung erzielte auch bei den Benutzern eine hohe Punktzahl und dauerte nicht annähernd so lange wie die Leseübung. Diese spielerische Option könnte ein Modell für zukünftige Versionen sein, sagte Brooks.
Die Forscher planen, als nächstes die Entwicklung einer ähnlichen Eye-Tracking-Authentifizierung für andere Systeme zu untersuchen, die grundlegende Kameras wie Desktop-Computer verwenden. Ein ähnliches Design könnte verwendet werden, um sich anzumelden oder Zugriff auf eine sichere Website zu erhalten.
Die Forschung wurde vom Nationalen Institut für Standards und Technologie finanziert.
Quelle: Universität von Washington
