Web Authentication using Public Key Cryptography
Description
Full text not available
Abstract
Autentisering er et stadig viktigere område ettersom flere tjenester krever kontoer for å benytte deres digitale løsninger. Dermed blir egenskapene til autentiseringløsninger som brukervennlighet og sikkerhet også viktigere. Et nytt autentiseringsrammeverk, FIDO2, ønsker å forbedre autentiseringsløsninger ved å fjerne passord og gjøre de mer motstandsdyktige mot phishing-angrep.
Denne masteroppgaven undersøker hvordan FIDO2 rammeverket presterer sammenlignet med passord-basert autentisering for Feide. Dette ble gjort ved å først etablere ulike brukergrupper og deres behov. Deretter ble autentiseringsløsningene, FIDO2 med USB sikkerhetsnøkler, multi-device FIDO credentials og passord-basert autentisering, evaluert på hvordan de presterer på følgende områder: sikkerhet, personvern, brukervennlighet og kostnadseffektivitet. Autentiseringsløsningene ble så sammenlignet med hverandre, før de ble sammenlignet med behovene til brukergruppene for å identifisere den optimale løsningen for hver gruppe.
Den utførte analysen viser at FIDO2 sine autentiseringsløsninger svarer godt på behovene til Feide sine brukergrupper. FIDO2 med USB sikkerhetsnøkler dekker behovene til administrator-brukergruppen, men på grunn av høy kostnad per bruker, er lite aktuell for større brukergrupper som studenter. For de større brukergruppene, studenter og forskere, er multi-device FIDO credentials en mer aktuell løsning ettersom den fyller samme nisje som passord-basert autentisering med multifaktor autentisering i dag med fordelene til FIDO2 rammeverket. Den siste brukerrgruppen, grunnskoleelever, er i en spesiell posisjon ettersom brukervennligheten til FIDO2 er svært fordelaktig for gruppen, men gruppens dårlige tilgang på enheter kan gjøre det umulig å benytte løsningen. Authentication grows more important as more services require accounts for their digital solutions, but with the requirement of authentication solutions comes the demand for good user experience and security. A new authentication framework, FIDO2, seeks to improve these aspects by being phishing-resistant and passwordless.
This thesis examines how the FIDO2 framework compares to password-based authentication in the context of Feide, the Norwegian education sector's identity solution. This was done by first establishing user groups within Feide and their needs. Afterward, the authentication solutions, FIDO2 with USB security keys, multi-device FIDO credentials and password-based authentication, were evaluated based on their performance regarding security, user experience, privacy, and cost-effectiveness. The authentication solutions were then compared against each other before a comparison between the needs of the user groups were compared to what the authentication solutions provide.
The analysis indicates that the FIDO2 authentication solutions are suitable for multiple Feide user groups. FIDO2 with USB security keys provide a strong authentication solution to secure high-value users such as administrators, but due to its high cost per user, is not cost-effective for larger user groups. For larger user groups, such as researchers and students, multi-device FIDO credentials covers the same niche as password-based authentication with multifactor authentication currently does, but with improved user experience and phishing resistance. The final user group, pupils, needs the most user-friendly alternative possible. This means that they optimally would use multi-device FIDO credentials, but due to limitations in the user group, providing devices capable of using multi-device FIDO credentials might be unfeasible.