Eine neue Studie stellt Kriterien vor, wie sich der 2FA-Prozess auf Websites aus Nutzerperspektive vergleichen lässt. Die Untersuchung von 85 Top-Ranked Websites zeigt, dass es keine Konsistenz in der Benutzerführung gibt, obwohl genau dies ein zentraler Grundsatz im Webdesign ist. Damit läuft dies dem ‚Jakob’s Law of Internet User Experience‘ zuwider, demzufolge neue Sicherheitsstandards nur angenommen werden, wenn sie an bestehende Nutzererfahrungen anschließen.
Der Mensch ist ein Gewohnheitstier: Je mehr sich Prozesse und Alltagshandlungen gleichen, umso einfacher erscheint die Umsetzung. Dies gilt auch für das Agieren im Internet. „Wir sind daran gewöhnt, dass sich im Online-Shopping der Warenkorb meistens oben rechts auf der Website befindet“, erzählt CISPA-Faculty Dr. Sven Bugiel. Diese Erfahrungswerte ermöglichen es, dass Nutzer:innen schnell und problemlos zwischen Websites verschiedener Anbieter:innen wechseln können. Die von Bugiel geschilderte Beobachtung ist eine wichtige Heuristik aus dem Bereich der User Experience, zu Deutsch Nutzererfahrung, die auch unter “Jakob’s Law of Internet User Experience” bekannt geworden ist. Während die Nutzererfahrung beim Passwort-gestützten Login als weitgehend konsistent gilt, gibt es bisher keine Forschung darüber, wie dies für den Prozess der Zwei-Faktor-Authentifizierung (2FA) aussieht. „Studien, die sich mit einzelnen Faktoren der 2FA beschäftigt haben, gibt es schon sehr viele“, erklärt der CISPA-Forscher. „Wir haben uns deswegen die Frage gestellt, wie der Gesamtfluss der Zwei-Faktor-Authentifizierung aussieht.“
Die Zwei-Faktor-Authentifizierung
Aber was genau, macht die Zwei-Faktor-Authentifizierung so interessant? „2FA ist eine der Techniken, die beim Sichern von Nutzer-Accounts immer wichtiger wird“, erklärt Bugiel. „Da sichere und einzigartige Passwörter zu erstellen eine sehr schwierige Aufgabe ist, bietet 2FA die Möglichkeit, eine zweite Sicherheitsbarriere aufzubauen.“ Nutzer:innen identifizieren sich dann beim Login auf einer Website nicht nur mit einem Passwort, sondern zusätzlich mit einem weiteren Faktor. Für die zweite Authentifizierungsebene gibt es viele verschiedene Ansätze. So kann etwa ein Einmal-Code per SMS versendet oder per App generiert werden, aber auch Hardware-Zusätze, die zum Beispiel den Fingerabdruck scannen, sind eine Option. Jede dieser Verfahren kommt mit ihren eigenen Herausforderungen. „Ein einheitlicher 2FA-Standard hat sich bisher nicht durchgesetzt“, so Bugiel.
Das Studiendesign der CISPA-Forscher
Um den Prozess der Zwei-Faktor-Authentifizierung auf Websites zu vergleichen, haben Bugiel und seine Kollegin ihrer Studie das schon erwähnte ‚Jakob‘s Law of Internet User Experience’ zu Grunde gelegt. „Um zu wissen, welche Websites überhaupt die 2FA verwenden, haben wir das 2FA-Directory genutzt“, erzählt Bugiel. „Das ist ein community-geführtes Datenset von Websites, die 2FA in irgendeiner Form unterstützen. Dort sind circa 3000 Websites gelistet“. Um die Anzahl der zu untersuchenden Websites sinnvoll zu reduzieren, haben Bugiel und seine Kollegin auf das Tranco-Datenset zurückgegriffen, ein wissenschaftliches Datenset, das Websites rankt. „Aus den bei 2FA gelisteten Websites haben wir dann die bei Tranco weit oben gelisteten Websites rausgefiltert“, so der CISPA-Forscher weiter. „Damit hatten wir Websites in unserem Sample, die wahrscheinlich die meisten Menschen auch kennen.“ Darunter waren Websites wie google.com, amazon.com oder icloud.com, die einer Mehrzahl der Nutzer:innen bekannt sein dürften.
Vergleichsfaktoren für die 2FA-Nutzererfahrung
In einem zweiten Schritt entwickelten die CISPA-Forscher Vergleichsfaktoren, um damit die Websites miteinander vergleichen zu können. „Dazu haben wir die 85 Websites mit zwei Forschenden manuell untersucht und den Prozess auf Video aufgezeichnet. Wir wollten zum Beispiel wissen, an welcher Stelle wir zum ersten Mal auf die 2FA hingewiesen werden, wo die 2FA-Settings liegen und wie das Login und das Logout funktionieren.“ Aus dem gesammelten Datenmaterial identifizierten Bugiel und seine Kollegin insgesamt 22 Vergleichsfaktoren, die sie den fünf Oberkategorien Entdeckung, Einführung, Setup, Nutzung und Deaktivierung der Zwei-Faktor-Authentifizierung zuordneten. Zu den Vergleichsfaktoren für die Entdeckung zählten sie etwa wie die Website auf die Option der 2FA hinweist, ob die Nutzung zwingend vorgegeben ist und ob die Benennung einheitlichen Standards unterliegt. In die Kategorie Setup fielen Vergleichsfaktoren wie eine Bestätigung des Setups Prozesses, oder ob das Angebot einer Recovery Option besteht.
Ergebnis zeigt keine Konsistenz der Nutzungserfahrung
„Wenn man sich die User-Journey auf diesen Top-Ranked Websites anschaut, ist die Kernaussage, dass es keine einheitliche Strategie gibt, die alle Websites oder auch nur die Mehrzahl der Websites umsetzen“, erklärt Bugiel. „Stattdessen gibt es diverse Strategien, die von Gruppen von Websites umgesetzt werden. Das sind Cluster von Nutzungsstrategien, die wir in der Analyse definiert haben. Dies bedeutet, dass es keine wirkliche Konsistenz bei diesen 2FA-User-Journeys gibt.“ In Bezug auf Jakob‘s Law heißt das, dass damit ein Risiko besteht, dass Benutzer:innen aus diesen Gründen 2FA nicht aktivieren oder die Website nicht nutzen. „Unser Kernbeitrag war zu zeigen, dass es diese Inkonsistenzen überhaupt gibt“, so Bugiel weiter. „Damit öffnen sich dann diverse neue Forschungsfragen. Denn unsere Untersuchung erlaubt uns nur, zu sagen, ob die Nutzerfahrung auf verschiedenen Websites sich ähnelt oder unterscheidet. Aber damit ist noch keine Aussage darüber verbunden, ob dies mehr oder weniger nutzerfreundlich ist.“ Sich diese Unterschiede genauer anzuschauen und gezielt mit Benutzer:innen zu untersuchen, wäre der nächste Schritt. Man dar
Quelle: CISPA Helmholtz Center for Information Security
