Adaptive usable security : personαlizing user authentication and CAPTCHA based on individual differences in cognitive processing

Abstract

Η αλληλεπίδραση ανθρώπου-υπολογιστή μετατοπίζεται από παραδοσιακούς υπολογιστές και αυτόνομες εφαρμογές, προς την αλληλεπίδραση χρηστών με φορητές υπολογιστικές συσκευές και εφαρμογές που υποστηρίζονται από το υπολογιστικό νέφος. Σε αυτό το πλαίσιο, το θέμα της ασφάλειας διαδραστικών συστημάτων κερδίζει ολοένα και περισσότερο την προσοχή ερευνητών και εμπειρογνωμόνων, όχι μόνο από τεχνικής άποψης, αλλά επίσης από την πλευρά της ευχρηστίας. Η κοινότητα ασφάλειας έχει κατανοήσει τη ζωτική σημασία της «εύχρηστης ασφάλειας» (usable security), η οποία εστιάζεται κυρίως στο σχεδιασμό συστημάτων ασφαλείας που να είναι εύχρηστα και φιλικά προς το χρήστη. Οι κυρίαρχες αλληλεπιδράσεις ανθρώπων με συστήματα ασφαλείας στον Παγκόσμιο Ιστό σχετίζονται κυρίως με την ταυτοποίηση χρηστών (user authentication) και το διαχωρισμό μεταξύ ανθρώπων-μηχανών μέσω μηχανισμών CAPTCHA. Ο σχεδιασμός και η ανάπτυξη αυτών των μηχανισμών αντιπροσωπεύει ένα υπαρκτό πρόβλημα μεταξύ ασφάλειας και ευχρηστίας, το οποίο προκύπτει κυρίως από αντιφατικούς στόχους και απαιτήσεις που δημιουργούνται μεταξύ των διαφόρων εγγενών εμπλεκομένων παραγόντων. Από τη μία πλευρά, ειδικοί σε θέματα ασφάλειας αυξάνουν συνεχώς τα επίπεδα της ασφάλειας των μηχανισμών ταυτοποίησης χρηστών και CAPTCHA, ενώ από την άλλη, οι τελικοί χρήστες απαιτούν διαφάνεια, προσαρμοσμένες και φιλικές λύσεις που δεν θα αποτελούν εμπόδιο στην εκτέλεση των καθημερινών τους διεργασιών. Παράλληλα, οι πάροχοι υπηρεσιών από κοινού με εμπειρογνώμονες σε θέματα ευχρηστίας, προσπαθούν να αναδείξουν μια βιώσιμη ισορροπία μεταξύ της ασφάλειας και της ευχρηστίας με σκοπό την αύξηση της αποδοχής υπηρεσιών και εφαρμογών από τους χρήστες. Στο πλαίσιο αυτό, η έρευνα σχετικά με τέτοιου είδους μηχανισμούς ασφαλείας αποτελεί προτεραιότητα τα τελευταία χρόνια, με στόχο την ανάπτυξη μηχανισμών που να προσφέρουν υψηλά πρότυπα ασφαλείας και ταυτόχρονα να διατηρούν την απρόσκοπτη αλληλεπίδραση με τους νόμιμους χρήστες. Επί του παρόντος, η ανάπτυξη μηχανισμών ταυτοποίησης χρηστών και CAPTCHA ακολουθεί κυρίως το μοντέλο «ένας-σχεδιασμός-για-όλους». Κατ’ επέκταση, ο ίδιος τύπος μηχανισμού κοινοποιείται σε όλους τους χρήστες χωρίς να λαμβάνεται υπόψη ότι οι χρήστες έχουν διαφορετικά χαρακτηριστικά, πολιτισμικό και γνωστικό υπόβαθρο. Έχοντας κατά νου ότι οι αλληλεπιδράσεις ανθρώπου-υπολογιστή όσον αφορά τους μηχανισμούς ταυτοποίησης χρηστών και CAPTCHA εκτελούνται κυρίως σε γνωστικό επίπεδο, που περιλαμβάνουν την αντίληψη, την αναγνώριση, μνήμη και σκέψη, η παρούσα διδακτορική διατριβή υποστηρίζει ότι ανθρώπινοι γνωστικοί παράγοντες μπορούν να προσφέρουν μια στρατηγική προοπτική για την εξέταση μηχανισμών ταυτοποίησης και CAPTCHA, πλαισιωμένη από θεωρίες ατομικών διαφορών γνωστικής επεξεργασίας. Στα πλαίσια της διατριβής αυτής επιχειρείται να επανεξεταστεί ο ορισμός της «εύχρηστης ασφάλειας», προτείνοντας μια εναλλακτική προσέγγιση του προβλήματος η οποία ωθείται από την έρευνα σε μοντελοποίηση χρηστών, προσαρμογή και εξατομίκευση συστημάτων αλληλεπίδρασης και ατομικών διαφορών. Κύριος στόχος είναι η εξατομίκευση και βελτίωση της ευχρηστίας μηχανισμών ταυτοποίησης και CAPTCHA λαμβάνοντας υπόψη τα μοναδικά χαρακτηριστικά της γνωστικής επεξεργασίας των χρηστών. Οι στόχοι της διατριβής είναι: (i) Να εξεταστεί η επίδραση γνωστικών παραγόντων στις προτιμήσεις χρηστών και ευχρηστίας διαφόρων μηχανισμών ταυτοποίησης και CAPTCHA, που υποστηρίζεται από μια σειρά έγκυρων μελετών, βασισμένες σε ποσοτικές και ποιοτικές μετρήσεις, (ii) να προταθεί ένα γνωστικό μοντέλο χρηστών, και να μοντελοποιηθεί ένας μηχανισμός προσαρμογής τύπου και πολυπλοκότητας μηχανισμών ταυτοποίησης και CAPTCHA, και (iii) να προταθεί ένα πλαίσιο εξατομίκευσης PAC (Personalized Authentication and CAPTCHA), που προτείνει την καλύτερη δυνατή απόφαση προσαρμογής μηχανισμών ταυτοποίησης χρηστών και CAPTCHA.

Computer-human interaction is nowadays shifting from traditional desktop computers and standalone applications towards mobile computing devices and cloud-based oriented applications and services, mainly triggered by developments in network communication technologies. Within this realm, security issues of interactive systems are gaining more than ever the attention not only from a technical and security perspective but also from the user’s point of view. The security community has come to understand the critical importance of usable security, which is primarily focused on designing secure systems that people can use. The predominant user security interactions over the World Wide Web are commonly related to user authentication and CAPTCHA mechanisms. Design and development of user authentication and CAPTCHA represents a cross-roads priority problem, between security and usability, which emerge from contradictory requirements posed by different stakeholders, inherent to the function and purpose of each security mechanism. On the one hand, security experts increase continuously the security levels of user authentication and CAPTCHA, while on the other, end-users demand transparent, adaptable and user-friendly solutions. In parallel, service providers together with user experience experts, try to find a viable equilibrium among security and usability in order to increase the acceptability of services and applications. In this context, research on these security mechanisms has received significant attention lately, aiming to offer high security standards and at the same time to maintain a seamless interaction for the legitimate users. Currently, deployment of user authentication and CAPTCHA mechanisms follow a “one-size-fits-all” paradigm. The same type of text-based password and text-recognition CAPTCHA is communicated to all users neglecting the fact that users have different cultural and cognitive backgrounds, and interact in different contexts of use. Bearing in mind that human-computer interactions with regard to user authentication and CAPTCHA mechanisms are in principal cognitive tasks that embrace perception, recognition, remembering and reasoning, this research work builds on the promise that human cognitive factors offer a widely ignored but very strategical perspective for examining user authentication and CAPTCHA tasks framed by theories of individual differences in human cognitive processing. Henceforth, this work attempts to revisit the definition of usable security by advocating an alternative approach which is driven by research in the intersection of User Modeling, Adaptation and Personalization, and Individual Differences. Main focus is to personalize and improve the usability of user interactions in authentication and CAPTCHA according to the unique cognitive processing characteristics of users. The high-level objectives of the thesis are: (i) Investigate the effects of human cognitive factors on user preference and task performance of different user authentication and CAPTCHA mechanisms, supported by a number of ecological valid user studies, and quantitative and qualitative metrics; (ii) propose a formalization of a cognitive factor-based user model and an adaptation engine for personalizing user authentication and CAPTCHA tasks on design type and complexity; and (iii) propose PAC (Personalized Authentication and CAPTCHA), a personalization framework that recommends the “best-fit” decision based on the aforementioned formalizations.