原文标题: Organizational Security:Implementing a Risk-Reduction-Based Incentivization Model for MFA Adoption
原文作者: Sanchari Das, Andrew Kim, and L. Jean Camp
原文机构: University of Denver,Indiana University Bloomington
原文地址: https://fc21.ifca.ai/papers/249.pdf
发表日期/期刊: 2021/Financial Cryptography and Data Security
笔记整理: [email protected]
1. 简介
多因素身份验证 (MFA) 是加强身份验证的有用措施,但是MFA的采用率并不高。作者为了创建更多以人为中心的身份验证解决方案,设计并评估了基于风险降低的激励模型的有效性。
2. 方法论
在真实环境中测试MFA 风险和收益沟通的激励模型。
在一家国际组织(92025 名正式员工和临时员工)分访谈和调查两个阶段研究。最开始对以下人员进行伊西俄半结构化访谈
决策领导人(3)、核心开发人员(5),通信和分发团队成员(5),技术决策者(3),技术支持团队成员(3)。
对员工和社区使用基于文本和视频的风险沟通策略。最开始内容侧重于数巨泄露和员工疏忽,导致参与者可能会使用散步恐惧攻击。最后对所有23名员工都进行了基于文本和视频的风险沟通策略的9次迭代。所以最终的沟通就侧重于了MFA的好处。
在研究的第二个阶段,对组织中技术领域工作的员工进行了一次调查。以消除技术知识和专业技术造成的可变性。
- 参与者(N1=287)分为对照组(N11=100)和实验组(N12=187)。实验组分为基于文本的风险沟通和激励消息(90)和基于视频的风险沟通和激励消息(97)。
- 参与者被问,"您对以下哪些帐户或服务使用MFA?”这种有关 Okta 的具体问题以及他们对 MFA 使用的总体理解。
- 让参与者必须观看风险沟通和激励消息,对照组则不观看。然后都回答有关 MFA 的收益和风险权衡的问题,最后进行对比。
- 向参与者询问对组织中MFA的未来期望。
最后从参与者中随机选一部分(M=22)完成额外的半结构化访谈。
3. 结果
组织使用了内部和外部身份认证。限制2019年5月-9月的数据以消除人员的动态性。其中71115名用户都注册了MFA,其中63964名注册了基于推送和一次性密码 (OTP) 应用程序的身份验证,49589 名注册了基于呼叫的身份验证, 少数员工(462 名员工)获得了 Yubico 安全令牌作为身份验证的第二个因素。
- 用户风险感知和心理模型
参与者中,58%的参与者了解MFA原理,61%了解MFA的好处,60%表示MFA使得在线数据更安全。 - 未充分研究的组织人口
用户通常认为MFA设置起来很困难,使用也麻烦。本文使用强制使用安全工具作为解决办法。结果表明,没有所述要求时要求使用工具是徒劳的,会使得用户采用负面行为。 - 用户的首选身份验证方法
用户指出,愿意使用各种形式的MFA,但是推送方式是最受欢迎的,近86%认为他们“极有可能”使用推送使用MFA。 - 通过风险和收益交流评估激励模型
参与者观看或者阅读MFA视频或者文本后可以提交遇到的问题开放性文本。与对照组相比,基于文本的问题(90/90的人理解MFA的优势),基于视频的问题(81/97的人理解MFA的优势),对照组(20/100理解MFA的优势) - 实施和采用问题
对完成调查的一部分参与者进行半结构化访谈,从开发人员的角度来看,问题主要是用户不知道MFA做了什么,并经常由于强制策略而被迫使用MFA。
4. 讨论和启示
风险降低激励模型在现实世界的大型组织中用作 MFA 部署策略的一部分时是有效的。
交流的风险和收益被视为有助于用户在采用安全工具和技术时做出决策的激励措施。 为了鼓励使用工具,使用之前必须向用户提供这些工具是必要的背后原因,而不是用技术细节来压倒他们。 同样,对于多因素身份验证,通过解释为什么这些额外步骤对用户有益,并使工具和组织保持一致,从而解决了增加登录步骤的复杂性。
5. 结论
本文研究重点是通过探索如何鼓励改进的身份验证技术(MFA)来降低风险。尽管MFA安全,但是采用性低。为了解决该问题,建议通过基于文本和视频的消息传递实施风险和收益交流,以提高用户对新安全工具和技术的采用率。参与者的反应大多是积极的,所以需要强制,但是需要不使用安全术语解释。
建议将基于风险降低的激励模型作为所有 MFA 实施策略和政策的一部分,以鼓励有关安全工具使用的积极决策。