Studying user experience and acceptance of web authentication solutions

Abstract

To improve the security of their web authentication, users can employ password managers, set up two-factor authentication, or replace passwords with FIDO2 authen- ticator devices. However, for those solutions to be accepted by the user, their user experience must match the users’ mental models. This thesis contributes the novel methodologies and results of three studies that measured the user experience and acceptance of three web authentication solutions. Our results show that a) whether password managers are beneficial for security or aggravate existing problems depends on the users’ strategies and how well the manager supports the users’ individual password management right from the time of password creation; b) users consider FIDO2 passwordless authentication as more usable and more acceptable than password-based authentication, but also that impeding concerns remain that are rooted in a gap between the user’s personal perspective onto this new technology and the global view of the FIDO2 designers; c) there is a lack of consistency between the two-factor authentication user journeys of top websites and that the more consistent design patterns are problematic for usability, which could increase users’ cognitive friction and lead to rejection. Based on those results, we make suggestions for further research into understanding and improving the users’ experience of web authentication.

Um die Sicherheit ihrer Web-Authentifizierung zu verbessern, können Nutzer Passwortmanager einsetzen, eine Zwei-Faktor-Authentifizierung einrichten oder Passwörter durch FIDO2-Authentifizierung ersetzen. Damit diese Lösungen von den Nutzern akzeptiert werden, muss die Benutzererfahrung jedoch mit den mentalen Modellen der Nutzer übereinstimmen. In dieser Dissertation stellen wir Methoden und Ergebnisse von drei Studien vor, in denen die Benutzererfahrung und die Akzeptanz von Web-Authentifizierungslösungen gemessen wurden. Unsere Ergebnisse zeigen, dass a) Passwortmanager die Sicherheit erhöhen oder bestehende Probleme verschärfen, abhängig von den Strategien der Nutzer und wie gut der Manager die individuelle Passwortverwaltung der Nutzer bereits bei der Passworterstellung unterstützt; b) Benutzer passwortlose FIDO2-Authentifizierung für benutzerfreundlicher und akzeptabler als Passwörter halten, aber Bedenken bleiben, die auf eine Diskrepanz zwischen der persönlichen Benutzerperspektive und der der FIDO2-Designer auf diese neue Technologie zurückzuführen sind; c) es bei der Zwei- Faktor-Authentifizierung Benutzererfahrung auf Top-Websites an Konsistenz fehlt, und die konsistenteren Designmuster problematisch für Benutzerfreundlichkeit sind, was die kognitive Belastung der Benutzer erhöht und zu Ablehnung führen könnte. Basierend auf diesen Ergebnissen machen wir Vorschläge für weitere Forschung zum Verständnis und zur Verbesserung der Nutzererfahrung bei Web-Authentifizierung. v