From Password to Passwordless: Exploring User Experience Obstacles to the Adoption of FIDO2 Authentication

Abstract

Fast Identity Online (FIDO) Alliance har utviklet standarder for å redusere avhengigheten av passordbasert autentisering. FIDO2 er en passordløs autentiseringsstandard som tilbyr autentisering mot nettbaserte tjenester. Dette forskningsprosjektet identifiserer hindringene for utbredt bruk av FIDO2 med fokus på brukervennlighet og brukeroppfatninger. Tidligere studier tyder på at FIDO2 er sikrere og mer brukervennlig sammenlignet med passordbaserte autentiseringsmetoder. Til tross for dette har utbredelsen av FIDO2 vært treg, selv om store selskaper som Apple, Google og Microsoft nylig annonserte at de er i gang med å støtte FIDO2 autentisering.

For å utforske hindringene ble det gjennomført en brukervennlighetstest og oppfølgingsintervjuer med ti deltakere. Deltakerne utførte oppgaver knyttet til oppsett og pålogging ved bruk av passordløs autentisering. Disse oppgavene ble gjennomført på to nettbaserte tjenester, nemlig Microsoft og eBay, som begge tilbyr FIDO2 som en-faktor autentisering. De to passordløse metodene som ble brukt i studien var fingeravtrykk og sikkerhetsnøkkel.

Resultater avslørte at bare to av ti deltakere var bevisst over muligheten for passordløs autentisering på nettbaserte tjenester. Alle deltakerne uttrykte at de var villige til å gå over til passordløs autentisering, men uttrykte bekymringer for den manuelle endringen i sikkerhetsinnstillinger, og håpet på en mer sømløs overgang. Våre resultater identifiserte mangelen på kunnskap om passordløse autentiseringsalternativer som den viktigste hindringen for utbredt bruk av FIDO2.

The Fast Identity Online (FIDO) Alliance has developed standards to reduce reliance on password-based authentication. FIDO2 is a passwordless authentication standard that allows authentication to online services. This research identifies the obstacles to the widespread adoption of FIDO2, focusing on usability and user perceptions. Previous studies indicate FIDO2 as more secure and user-friendly than traditional password-based methods. Despite this, the adoption has been slow, although major companies like Apple, Google, and Microsoft recently announced their support for FIDO2 authentication.

To explore the obstacles, a usability test and follow-up interviews were conducted with ten participants. The participants performed tasks related to setup and sign-in using passwordless authentication. These tasks were performed on two online services, namely Microsoft and eBay, which both offer FIDO2 as single-factor authentication. The two passwordless authentication methods used for setup and sign-in were fingerprint and security key.

Findings revealed that only two out of ten participants were aware of passwordless authentication on the web. All participants expressed willingness to adopt passwordless authentication but expressed concerns about manually changing security settings and sought a more seamless transition. Our results identify the lack of awareness regarding passwordless authentication as the most significant obstacle to the widespread adoption of FIDO2.