TU Darmstadt / ULB / TUprints

From the Quest to Replace Passwords towards Supporting Secure and Usable Password Creation

Zimmermann, Verena (2021)
From the Quest to Replace Passwords towards Supporting Secure and Usable Password Creation.
Technische Universität Darmstadt
doi: 10.26083/tuprints-00017425
Ph.D. Thesis, Primary publication, Publisher's Version

[img]
Preview
Text
Dissertation_VerenaZimmermann_final.pdf
Copyright Information: CC BY-NC-ND 4.0 International - Creative Commons, Attribution NonCommercial, NoDerivs.

Download (4MB) | Preview
Item Type: Ph.D. Thesis
Type of entry: Primary publication
Title: From the Quest to Replace Passwords towards Supporting Secure and Usable Password Creation
Language: English
Referees: Vogt, Prof. Dr. Joachim ; Renaud, Prof. PhD. Karen
Date: 2021
Place of Publication: Darmstadt
Collation: ix, 117 Seiten
Date of oral examination: 11 November 2020
DOI: 10.26083/tuprints-00017425
Abstract:

Authentication is an important measure for protecting personal and sensitive information from unauthorised access. Password authentication still is the most widely used form of authentication despite its well-established downsides, including the cognitive load it poses for users and coping strategies resulting thereof. These include the creation of weak passwords or the reuse of passwords across accounts. Alternatives to the knowledge-based password scheme include biometric schemes, such as fingerprint authentication and token-based schemes like chip card authentication. However, attempts to replace the password on a large scale have not yet been successful.

Commencing this research with an extensive rating and comparison of objective features of existing authentication schemes confirmed that the password indeed is not easily replaceable. To shine light on this seemingly intractable issue, a laboratory and an online study were conducted to explore the user perceptions of authentication schemes. Although studied less frequently than technical aspects, user perceptions are highly relevant. First, they can influence acceptance of authentication schemes, and second, mismatches between technical security and security perceptions can ultimately impact security. The two studies revealed a user preference for password authentication across different contexts of use, despite its downsides. While the initial comparison acknowledged the password’s persistence with regard to objective features, the studies confirm the relevance of password authentication from a user perspective. Because the security of password authentication largely depends on the password creation and handling of the user, further research was needed to explore measures that support secure and usable password authentication.

A promising approach for encouraging secure choices without constraining the user is provided by the concept of ”nudging”, as proposed by Thaler and Sunstein. Nudges are small tweaks of the choice architecture that target automatic cognitive processes and that do not limit or significantly influence the cost of the available choices. To support secure password creation, three consecutive field studies analysed the impact of various password nudges on password creation. The first two studies used visual nudges intended to simply encourage stronger passwords and produced insignificant results. Based on the lessons learned, the resulting intervention in the third study combined a nudge with password strength information and compensation for stronger passwords in the form of later password expiry. This intervention indeed encouraged the creation of stronger passwords.

The finding led to the assumption that the combination of a nudge and information provision, a hybrid nudge, may be more effective in encouraging secure choices than either intervention on its own. An online study analysed the single and joint effects of nudges and information provision across different securityrelated decisions including password creation. The findings revealed that the hybrid nudge proved to be most effective across decisions. Furthermore, the combination of transparent nudges with information provision educating users about the reasons for encouraging a particular choice appeared most favourable with regard to ethical considerations. A final online study compared the effects of different hybrid password nudges on password creation, password memorability, and the users’ perceptions. It confirmed the effectiveness of the hybrid nudge as compared to exclusive information or nudge interventions on all three counts. Yet, nearly no significant differences between hybrid password nudges emerged, indicating that the type of nudge included plays a minor role compared to the combination as such.

It is concluded that the combination of nudging and information provision constitutes a promising strategy for supporting users in creating secure passwords and in making security-related decisions without enforcing a particular choice. This may further open the path towards a more human-centred approach in cybersecurity as envisioned in a mindset labelled ”Cybersecurity, Differently”.

The findings are discussed regarding the transferability of the results to real-life settings and their scalability to the large number of accounts users have to manage. Suggestions for future work include field studies on hybrid password nudges, the integration into suitable tools such as password managers to ease the cognitive load, or the development of concepts that especially consider aspects such as account sensitivity or password reuse.

Alternative Abstract:
Alternative AbstractLanguage

Authentifizierung ist eine wichtige Maßnahme zum Schutz persönlicher und sensibler Informationen vor unbefugtem Zugriff. Nach wie vor ist das Passwort die am weitesten verbreitete Form der Authentifizierung, trotz bekannter Nachteile wie der kognitiven Belastung für die Nutzenden und daraus resultierenden Bewältigungsstrategien. Diese umfassen die Erstellung schwacher Passwörter oder die Wiederverwendung von Passwörtern über Konten hinweg. Alternativen zum wissensbasierten Passwortverfahren sind biometrische Verfahren wie Fingerabdruck-Authentifizierung und gegenstandsbasierte Verfahren wie Chipkarten-Authentifizierung. Bisherige Versuche, das Passwort im großen Maßstab zu ersetzen, waren jedoch nicht erfolgreich.

Beginnend mit einem umfangreichen Bewertungsprozess und Vergleich objektiver Aspekte von existierenden Authentifizierungsverfahren, konnte diese Forschung die Schwierigkeit, das Passwort durch ein anderes Verfahren abzulösen, bestätigen. Um dieses scheinbar unlösbare Problem zu beleuchten, wurden eine Laborstudie und eine Onlinestudie zu den Nutzendenwahrnehmungen von Authentifizierungsverfahren durchgeführt. Diese sind relevant, obwohl sie bisher weniger untersucht wurden als technische Aspekte. Erstens können sie die Akzeptanz von Authentifizierungsverfahren beeinflussen und zweitens können Diskrepanzen zwischen technischer Sicherheit und Sicherheitswahrnehmung letztendlich die Sicherheit beeinträchtigen. Die zwei Studien zeigten eine Präferenz der Nutzenden für das Passwortverfahren in verschiedenen Anwendungskontexten trotz seiner Nachteile. Während der initiale Vergleich die Beständigkeit des Passworts im Hinblick auf objektive Aspekte verdeutlichte, bestätigten die beiden Studien die Relevanz des Passwortverfahrens aus Perspektive der Nutzenden. Da die Sicherheit des Passwortverfahrens maßgeblich von der Passworterstellung und -handhabung durch die Nutzenden abhängt, ist weitere Forschung zur Unterstützung von Nutzenden bei der Erstellung sicherer Passwörter notwendig.

Ein vielversprechender Ansatz zur Förderung sicherer Entscheidungen, ohne die Nutzenden zu beschränken, stellt das Konzept des ”Nudging” von Thaler und Sunstein dar. Nudges sind kleine Veränderungen der Entscheidungsarchitektur, die automatische, kognitive Prozesse aktivieren und die weder die Entscheidungsoptionen eingrenzen noch deren Kosten signifikant beeinflussen. Zur Unterstützung sicherer Passworterstellung wurde in drei aufeinander aufbauenden Feldstudien der Einfluss verschiedener Passwort-Nudges auf die Passworterstellung untersucht. Die ersten zwei Studien mit visuellen Nudges, die lediglich zu erhöhter Passwortsicherheit ermuntern sollten, erzielten keine signifikanten Ergebnisse. Die aus den Erkenntnissen resultierende Intervention in der dritten Studie kombinierte einen Nudge mit Passwortstärke-Information und der Kompensation stärkerer Passwörter durch eine längere Passwortgültigkeit. Diese Intervention förderte tatsächlich die Erstellung stärkerer Passwörter.

Die Erkenntnisse führten zu der Annahme, dass die Kombination aus einem Nudge und Informationsvermittlung, ein hybrider Nudge, wirksamer zur Förderung sicherer Entscheidungen sein könnte als einzelne Maßnahmen für sich alleine. Daher untersuchte eine Online-Studie den individuellen und kombinierten Effekt von Nudges und Informationsvermittlung auf verschiedene sicherheitsbezogene Entscheidungen einschließlich Passworterstellung. Die Ergebnisse zeigten, dass der hybride Nudge über die Entscheidungen hinweg am effektivsten war. Weiterhin erscheint die Kombination eines transparenten Nudges mit Informationen, die Nutzende über den Grund für die Förderung einer bestimmten Entscheidung aufklären, aus ethischen Gesichtspunkten am günstigsten. In einer abschließenden Online-Studie wurden die Auswirkungen verschiedener hybrider Nudges auf Passworterstellung, Merkbarkeit und die Nutzendenwahrnehmungen verglichen. Die Studie bestätigte die Wirksamkeit hybrider Nudges gegenüber Interventionen, die nur einen Nudge oder nur Informationen beinhalteten, in allen drei Punkten. Allerdings wurden nahezu keine signifikanten Unterschiede zwischen verschiedenen hybriden Nudges gefunden, was darauf hindeutet, dass die Art des verwendeten Nudges eine untergeordnete Rolle im Vergleich zur Kombination als solche einnimmt.

Die Ergebnisse legen nahe, dass die Kombination aus Nudging und Informationsvermittlung eine erfolgsversprechende Strategie zur Unterstützung von Nutzenden im Hinblick auf sichere Passworterstellung und sicherheitsrelevante Entscheidungen darstellt, ohne eine bestimmte Option zu erzwingen. Dies könnte auch den Weg zu einem stärker mensch-zentrierten Cybersecurity Ansatz öffnen, wie er mit der als ”Cybersecurity, Differently” bezeichneten Denkweise vorgestellt wird.

Die Ergebnisse werden unter anderem im Hinblick auf ihre Übertragbarkeit auf reale Situationen und ihre Skalierbarkeit für die große Anzahl von Accounts, die Nutzende verwalten müssen, diskutiert. Die Vorschläge für zukünftige Forschung beinhalten daher Feldstudien zu hybriden Passwort-Nudges, ihre Integration in geeignete Tools wie Passwort-Manager zur Reduzierung der kognitiven Belastung von Nutzenden oder die Entwicklung von Konzepten, die insbesondere Aspekte wie Account-Sensitivität und Wiederverwendung von Passwörtern berücksichtigen.

German
Status: Publisher's Version
URN: urn:nbn:de:tuda-tuprints-174254
Classification DDC: 000 Generalities, computers, information > 004 Computer science
100 Philosophy and psychology > 150 Psychology
Divisions: Profile Areas > Cybersecurity (CYSEC)
03 Department of Human Sciences > Institute for Psychology
03 Department of Human Sciences > Institute for Psychology > Engineering psychology research group!
TU-Projects: VDI|16KIS0594K|CRISP-SAL2 TP5b
VDI|16KIS0594K|CRISP-SAL2 TP5a
Date Deposited: 08 Mar 2021 09:50
Last Modified: 08 Mar 2021 09:50
URI: https://tuprints.ulb.tu-darmstadt.de/id/eprint/17425
PPN: 477567428
Export:
Actions (login required)
View Item View Item