वेब ऑथेंटिकेशन सिस्टम की उपयोगिता
वेब प्रमाणीकरण प्रणाली की उपयोगिता ऑनलाइन प्रमाणीकरण प्रणाली की दक्षता और उपयोगकर्ता स्वीकृति को संदर्भित करती है।[1] वेब प्रमाणीकरण प्रणालियों के उदाहरण हैं पासवर्डों, संघीय पहचान (जैसे गूगल oAuth 2.0, फेसबुक जोड़ना, मोज़िला पर्सोना), ईमेल-आधारित एक बार दर्ज करना (एसएसओ) प्रणाली (जैसे एसऐडब्लू, हैचेट), QR कोड-आधारित प्रणाली (जैसे स्नैप2पास, वेब टिकट) या वेब पर उपयोगकर्ता की पहचान को प्रमाणित करने के लिए उपयोग की जाने वाली कोई अन्य प्रणाली होता है। चूंकि वेब प्रमाणीकरण प्रणालियों की उपयोगिता एक प्रणाली का चयन करने में एक महत्वपूर्ण विचार होना चाहिए, बहुत कम वेब प्रमाणीकरण प्रणाली (पासवर्ड के अतिरिक्त) औपचारिक उपयोगिता अध्ययन या विश्लेषण के अधीन हैं।[2]
उपयोगिता और उपयोगकर्ता
क वेब प्रमाणीकरण प्रणाली को यथासंभव उपयोग करने योग्य होना चाहिए, जबकि इंटरनेट सुरक्षा से समझौता नहीं करना चाहिए जिसे सुनिश्चित करने की आवश्यकता है।[1] अधिकृत उपयोगकर्ताओं को एक्सेस की अनुमति देते हुए प्रणाली को दुर्भावनापूर्ण उपयोगकर्ताओं द्वारा एक्सेस को प्रतिबंधित करने की आवश्यकता है। यदि प्रमाणीकरण प्रणाली में पर्याप्त सुरक्षा नहीं है, तो दुर्भावनापूर्ण उपयोगकर्ता आसानी से प्रणाली तक पहुँच प्राप्त कर सकते हैं। दूसरी ओर, यदि प्रमाणीकरण प्रणाली बहुत जटिल और प्रतिबंधात्मक है, तो एक अधिकृत उपयोगकर्ता इसका उपयोग नहीं कर पाएगा (या करना चाहता है)।[3] किसी भी प्रणाली में मजबूत सुरक्षा प्राप्त की जा सकती है, लेकिन प्रणाली के उपयोगकर्ताओं द्वारा सबसे सुरक्षित प्रमाणीकरण प्रणाली को भी कमजोर किया जा सकता है, जिसे अधिकांश संगणक सुरक्षा में कमजोर लिंक के रूप में संदर्भित किया जाता है।[4]
उपयोगकर्ता असावधानी से किसी प्रणाली की सुरक्षा को बढ़ाते या घटाते हैं। यदि कोई प्रणाली प्रयोग करने योग्य नहीं है, तो सुरक्षा प्रभावित हो सकती है क्योंकि उपयोगकर्ता प्रमाणीकरण के लिए इनपुट प्रदान करने के लिए आवश्यक प्रयास को कम करने का प्रयास करेंगे, जैसे कागज पर अपना पासवर्ड लिखना। एक अधिक उपयोगी प्रणाली इसे होने से रोक सकती है। उपयोगकर्ता उन प्रणालियों से प्रमाणीकरण अनुरोधों के लिए बाध्य होने की अधिक संभावना रखते हैं जो महत्वपूर्ण हैं (जैसे ऑनलाइन बैंकिंग), कम महत्वपूर्ण प्रणालियों के विपरीत (उदाहरण के लिए एक मंच जहां उपयोगकर्ता अधिकांशतः जाते हैं) जहां इन तंत्रों को अनदेखा किया जा सकता है। जटिल प्रमाणीकरण तंत्र से नाराज होने से पहले उपयोगकर्ता केवल एक निश्चित बिंदु तक सुरक्षा उपायों को स्वीकार करते हैं।[4] वेब प्रमाणीकरण प्रणाली की उपयोगिता में एक महत्वपूर्ण कारक इस प्रकार इसके निकटतम के उपयोगकर्ता के लिए सुविधा कारक है।
प्रयोज्यता और वेब अनुप्रयोग
खराब उपयोगिता और कई सुरक्षा चिंताओं के होने पर भी वेब[4] अनुप्रयोगों के लिए पसंदीदा वेब प्रमाणीकरण प्रणाली पासवर्ड है।[5] इस व्यापक रूप से उपयोग की जाने वाली प्रणाली में सामान्यतः ऐसे तंत्र होते हैं जिनका उद्देश्य सुरक्षा को बढ़ाना था (उदाहरण के लिए उपयोगकर्ताओं को उच्च एन्ट्रॉपी पासवर्ड की आवश्यकता होती है) लेकिन पासवर्ड प्रणाली कम उपयोग करने योग्य और असावधानी से कम सुरक्षित होने का कारण बनता है।[6] ऐसा इसलिए है क्योंकि उपयोगकर्ताओं को ये उच्च एन्ट्रॉपी पासवर्ड याद रखने में कठिन लगते हैं।[7] एप्लिकेशन निर्माताओं को उपयोगकर्ता की जरूरतों को ध्यान में रखते हुए अधिक प्रयोग करने योग्य प्रमाणीकरण प्रणाली विकसित करने के लिए एक आदर्श बदलाव करने की आवश्यकता है।[5] सर्वव्यापी पासवर्ड आधारित प्रणालियों को अधिक उपयोगी (और संभवतः अधिक सुरक्षित) प्रणालियों के साथ बदलने से एप्लिकेशन के मालिकों और इसके उपयोगकर्ताओं दोनों के लिए बड़े लाभ हो सकते हैं।
माप
वेब प्रमाणीकरण प्रणाली की प्रयोज्यता को मापने के लिए, कोई "उपयोगिता-तैनाती-सुरक्षा" या "यूडीएस" संरचना[5] या एक मानक मीट्रिक जैसे प्रणाली उपयोगिता पैमाने का उपयोग कर सकता है।[2] यूडीएस संरचना तीन व्यापक श्रेणियों को देखता है, अर्थात् उपयोगिता तैनाती और वेब प्रमाणीकरण प्रणाली की सुरक्षा और फिर परीक्षण प्रणाली को श्रेणियों के एक (या अधिक) से जुड़े विशिष्ट लाभ की प्रस्तुति या प्रस्तुति नहीं करने के रूप में दरें निर्धारित करता है। एक प्रमाणीकरण प्रणाली को तब प्रयोज्य तैनाती और सुरक्षा की श्रेणियों के अन्दर एक विशिष्ट लाभ की प्रस्तुति या प्रस्तुति नहीं करने के रूप में वर्गीकृत किया जाता है।[5]
वेब प्रमाणीकरण प्रणालियों की प्रयोज्यता को मापने से वेब प्रमाणीकरण प्रणाली के औपचारिक मूल्यांकन की अनुमति मिलेगी और दूसरों के सापेक्ष प्रणाली की श्रेणी निर्धारित होगी। जबकि वेब प्रमाणीकरण प्रणाली के बारे में बहुत सारे शोध वर्तमान में किए जा रहे हैं, यह सुरक्षा पर ध्यान केंद्रित करता है यह शोध उपयोगिता के आधार पर नही हो रहे है।[1] तुलनीय मीट्रिक या तकनीक का उपयोग करके प्रयोज्यता के लिए भविष्य के अनुसंधान का औपचारिक रूप से मूल्यांकन किया जाना चाहिए। यह विभिन्न प्रमाणीकरण प्रणालियों की तुलना करने में सक्षम होगा, साथ ही यह निर्धारित करेगा कि प्रमाणीकरण प्रणाली न्यूनतम उपयोगिता बेंचमार्क को पूरा करती है या नहीं करती है।[2]
किस वेब प्रमाणीकरण प्रणाली को चुनना है
यह पाया गया है कि सुरक्षा विशेषज्ञ संगणक सुरक्षा पर अधिक ध्यान केंद्रित करते हैं और वेब प्रमाणीकरण प्रणाली के उपयोगिता पद्धति पर कम ध्यान देते हैं।[5] यह समस्याग्रस्त है क्योंकि प्रणाली की सुरक्षा और इसके उपयोग में आसानी के बीच संतुलन होना आवश्यक है
2015 में किया गया एक अध्ययन[2] जिसमे पाया गया कि उपयोगकर्ता एकल साइन-ऑन (जैसे कि गूगल और फेसबुक द्वारा प्रदान किए गए) आधारित प्रणाली पसंद करते हैं। उपयोगकर्ताओं ने इन प्रणालियों को पसंद किया क्योंकि उन्होंने उन्हें तेज़ और उपयोग करने में सुविधाजनक पाया।[2] एकल साइन-ऑन आधारित प्रणालियों के परिणामस्वरूप उपयोगिता और सुरक्षा दोनों में पर्याप्त सुधार हुए हैं।[5] एसएसओ उपयोगकर्ताओं को कई उपयोगकर्ता नाम और पासवर्ड याद रखने की आवश्यकता के साथ-साथ खुद को प्रमाणित करने के लिए आवश्यक समय को कम करता है, जिससे प्रणाली की उपयोगिता में सुधार होता है।
अन्य महत्वपूर्ण विचार
- उपयोगकर्ता उन प्रणालियों को पसंद करते हैं जो जटिल नहीं हैं और उपयोग करने और समझने के लिए न्यूनतम प्रयास की आवश्यकता होती है।[2]
- उपयोगकर्ता बॉयोमीट्रिक्स और फोन-आधारित प्रमाणीकरण प्रणाली का उपयोग करने का आनंद लेते हैं। चूँकि, इस प्रकार के प्रणाली को कार्य करने के लिए बाहरी उपकरणों की आवश्यकता होती है, उपयोगकर्ताओं से उच्च स्तर की सहभागिता और डिवाइस के अनुपलब्ध होने या विफल होने पर फॉल बैक मैकेनिज्म की आवश्यकता होती है - जिससे उपयोगिता कम हो सकती है[2]
- कई वेब अनुप्रयोगों द्वारा उपयोग की जाने वाली वर्तमान पासवर्ड प्रणाली का उपयोग करके बेहतर उपयोगिता के लिए बढ़ाया जा सकता है:
- पासवर्ड के अतिरिक्त यादगार स्मृति चिन्ह।[6]
- पासवर्ड प्रमाणीकरण के लिए पासवर्ड के विकल्प प्रमाणीकरण को अधिक उपयोगी बनाने के लिए।[7]
भविष्य का काम
उपयोगिता अधिक से अधिक महत्वपूर्ण हो जाएगी क्योंकि अधिक से अधिक एप्लिकेशन ऑनलाइन चलते हैं और मजबूत और विश्वसनीय प्रमाणीकरण प्रणालियों की आवश्यकता होती है जो प्रयोग करने योग्य और सुरक्षित दोनों हैं। इसे प्राप्त करने के संभावित विधियों के रूप में प्रमाणीकरण प्रणालियों[8] में ब्रेनवेव्स का उपयोग प्रस्तावित किया गया है। चूँकि अधिक शोध और उपयोगिता में अध्ययन की आवश्यकता है।
यह भी देखें
- प्रमाणीकरण
- प्राधिकरण
- सूचना सुरक्षा
- इंटरनेट सुरक्षा
- ओपनआईडी
- ओपनआईडी कनेक्ट
- पासवर्ड
- सिस्टम उपयोगिता स्केल | सिस्टम उपयोगिता स्केल (SUS)
- उपयोगिता
- उपयोगिता परीक्षण
- Webउंगली
- वेबआईडी
संदर्भ
- ↑ 1.0 1.1 1.2 Christina Braz; Jean-Marc Robert (2006-04-18). "सुरक्षा और उपयोगिता: उपयोगकर्ता प्रमाणीकरण विधियों का मामला". ACM Digital Library (in English). ACM New York, NY, USA. pp. 199–203. Retrieved 24 February 2016.
- ↑ 2.0 2.1 2.2 2.3 2.4 2.5 2.6 Scott Ruoti; Brent Roberts; Kent Seamons. "ऑथेंटिकेशन मेली: ए यूज़ेबिलिटी एनालिसिस ऑफ़ सेवन वेब ऑथेंटिकेशन सिस्टम्स" (PDF). 24th International World Wide Web Conference (in English). pp. 916–926. Retrieved 2016-02-24.
- ↑ Schneier, Bruce. "प्रमाणीकरण में सुरक्षा और उपयोगिता को संतुलित करना". Schneier on Security. Retrieved 24 February 2016.
- ↑ 4.0 4.1 4.2 Renaud, Karen (January 2004). "वेब प्रमाणीकरण तंत्र की गुणवत्ता को मापना उपयोगिता परिप्रेक्ष्य". Journal of Web Engineering. Retrieved 24 February 2016.
- ↑ 5.0 5.1 5.2 5.3 5.4 5.5 Bonneau, Joseph; Herley, Cormac; van Oorschot, Paul C.; Stajano, Frank (2012). पासवर्ड बदलने की खोज: वेब प्रमाणीकरण योजनाओं के तुलनात्मक मूल्यांकन के लिए एक रूपरेखा (PDF). 2012 IEEE Symposium on Security and Privacy. University of Cambridge Computer Laboratory. doi:10.1109/SP.2012.44. ISSN 1476-2986.
- ↑ 6.0 6.1 Sundararaman, Jeyaraman; Topkara, Umut. केक लो और इसे भी खाओ - पाठ-पासवर्ड आधारित प्रमाणीकरण प्रणाली में उपयोगिता को प्रभावित करना (PDF). 21st Annual Computer Security Applications Conference (ACSAC'05). Proceedings of the ... Annual Computer Security Applications Conference. Tucson, AZ: IEEE. doi:10.1109/CSAC.2005.28. ISBN 0-7695-2461-3. ISSN 1063-9527.
- ↑ 7.0 7.1 Ma, Y; Feng, J (2011). वेब-आधारित अनुप्रयोग में तीन प्रमाणीकरण विधियों की उपयोगिता का मूल्यांकन. 2011 9th International Conference on Software Engineering Research, Management and Applications (SERA). Baltimore, MD: IEEE. pp. 81–88. doi:10.1109/SERA.2011.18. ISBN 978-1-4577-1028-5.
- ↑ वित्तीय क्रिप्टोग्राफी और डेटा सुरक्षा. Springer Berlin Heidelberg. 2013. pp. 1–16. ISBN 978-3-642-41320-9.
अग्रिम पठन
- Martin Georgiev; Suman Jana; Vitaly Shmatikov. "Rethinking Security of Web-Based System Applications" (PDF). 24th International World Wide Web Conference (in English).
- Keith, Mark; Shao, Benjamin; Steinbart, Paul John (January 2007). "The usability of passphrases for authentication: An empirical field study". International Journal of Human-Computer Studies. 65 (1): 17–28. doi:10.1016/j.ijhcs.2006.08.005.
- Muhammad Daniel Hafiz Abdullah; Abdul Hanan Abdullah; Norafida Ithnin; Hazinah Kutty Mammi (2008). Towards Identifying Usability and Security Features of Graphical Password in Knowledge Based Authentication Technique. 2008 Second Asia International Conference on Modelling & Simulation (AMS). pp. 396–403. doi:10.1109/AMS.2008.136.
- John Chuang; Hamilton Nguyen; Charles Wang; Benjamin Johnson (2013). "I Think, Therefore, I Am: Usability and Security of Authentication Using Brainwaves". Financial Cryptography and Data Security. Lecture Notes in Computer Science. Vol. 7862. Springer Berlin Heidelberg. pp. 1–16. CiteSeerX 10.1.1.359.9402. doi:10.1007/978-3-642-41320-9_1. ISBN 978-3-642-41319-3. ISSN 0302-9743.
- Paul T. McCabe (2002). "Usability and User Authentication: Pectoral Password vs PIN". Contemporary Ergonomics, 2003. CRC Press. ISBN 9780203455869.
