Usability Comparison between U2F-based Security Keys, TOTP and Plain Passwords : A Structured Literature Review

Iriarte Murgiondo, Asier

January 2022

Multi-factor authentication is a term that was foreign until a few years ago. But in reality, it has been around for decades in the world of computer security. In theory, has the purpose to improve the security of user authentication by adding an extra layer of security to the process. Although password authentication has been shown to be an imperfect technique, it is still the most widely used today. That is why this research has been carried out, to shed light on the issue of why multi-factor authentication is not a fundamental pillar in security. For this, two promising protocols of the second authentication factor have been chosen, Time-based One-time Password (TOTP) and Universal 2nd Factor (U2F), and the usability of these methods has been compared together with password authentication usability as well. A Systematic Literature Review has been executed to answer the raised research question. Although the setup and login processes of the protocols are excessively slow, the results show that the U2F devices are overall more usable than TOTP, as they have a more “friendly” daily usage. But not enough data has been found on TOTP to be able to make a comparison with a solid basis. / La autenticación de múltiples factores es un término que era extraño hasta hace varios años. Pero en realidad, ha existido durante décadas en el mundo de la seguridad informática. En teoría, su objetivo es mejorar la seguridad del proceso de autenticación de usuarios, agregando una capa adicional de seguridad al proceso. Aunque se ha demostrado que la autenticación de contraseña es una técnica imperfecta, sigue siendo la más utilizada en la actualidad. Esta es la razón por la que se ha realizado esta investigación, para arrojar luz sobre el tema de por qué la autenticación de múltiples factores no es un pilar fundamental en la seguridad. Para ello, se han elegido dos protocolos prometedores del segundo factor de autentificación, como son, Time-based One-time Password (TOTP) y Universal 2nd Factor (U2F), y se ha comparado la usabilidad de estos métodos junto con usabilidad de la autenticación por contraseña. Se ha realizado una Revisión Sistemática de la Literatura (Systematic Literature Review) para dar respuesta a la pregunta de investigación planteada. Aunque los procesos de configuración e inicio de sesión de los protocolos son excesivamente lentos, los resultados muestran que los dispositivos U2F son en general mas usables ya que tienen un uso diario más “amigable”. Pero no se han encontrado suficientes datos sobre TOTP para poder hacer una comparación con una sólida base. / <p><strong>Laburpena</strong> [Summary/Abstract, Basque/baskiska]</p><p>Faktore-anitzeko autentifikazioa orain dela urte gutxi arte arrotza izan den terminoetako bat da. Baina, egia esan, hamarkada batzuk daramatza segurtasun informatikoaren munduan errotua. Teorian, erabiltzaileen autentifikazio-prozesuaren segurtasuna hobetzeko helburu du, prozesuari segurtasun-geruza berri bat gehituz. Pasahitz autentifikazio teknika inperfektua dela frogatu bada ere, gaur egun oraindik erabiliena da. Horregatik egin da ikerketa hau, faktore anitzeko autentifikazioa zergatik ez den segurtasunaren oinarrizko zutabea argitzeko. Horretarako, faktore-anitzeko autentifikazio barruan aurkitzen diren bi protokolo itxaropentsu aukeratu dira, hala nola, Time-based One-time Password (TOTP) eta Universal 2nd Factor (U2F), eta hauen erabilgarritasuna konparatu da pasahitz bidezko erabilgarritasunarekin batera. Planteatutako ikerketa galderari erantzuteko Literatura Ikerketa Sistematikoa (Systematic Literature Review) burutu da, protokolo bakoitzaren onurak/eragozpenak bilduz eta hauen arteko konparaketa bat eginez. Protokoloen konfigurazio eta saioa hasteko prosezuak motelegiak badira ere, emaitzek erakusten dute U2F gailuak orokorreak TOTP baino erabilgarriagoak direla, eguneroko erabilera “lagunartekoagoa” baitute. Baina ez da datu nahikorik aurkitu TOTP-en oinarri sendo batekin konparazio bat egin ahal izateko.</p><p><strong>HITZ-GAKOAK:</strong> autentifikazioa, faktore-anitzeko autentifikazioa, Universal 2nd Factor, U2F, Time-based One-time Password, TOTP, alderaketa, erabilgarritasuna</p>

authentication

multi-factor authentication

Universal 2nd Factor

U2F

Timebased One-time Password

TOTP

usability

comparison

autenticación

autenticación de múltiples factores

Universal 2nd Factor

U2F

Time-based One-time Password

TOTP

usabilidad

Computer Sciences

Datavetenskap (datalogi)

Política de privacidad en Internet: noción y tecnología

González, Héctor Raúl

January 2006

Este trabajo intenta encontrar sentido a la noción de intimidad analizando distintas definiciones; estudia algunas tecnologías que ponen en tensión esta noción. Desarrolla dos mecanismos que tienden a proteger la intimidad de las personas: la perspectiva de mayor legislación y la perspectiva enmarcada en el modelo que preconiza la autorregulación de las empresas utilizando la tecnología. Propone una guía que pueden asumir los padres y docentes para minimizar el riesgo de la intimidad de los niños; se aplica esta guía en el estudio de sitios Web en idioma español orientados a niños. Por último hay un breve estudio sobre los principios de privacidad en los sistemas elearning y el estudio de los requerimientos de privacidad entre los componentes de un modelo estándar.

Ciencias Informáticas

Educación

Informática

Aplicación informática

Internet

The Electronic Contracting of Financial Services: Characteristics and Main Legal Implications / La Contratación Electrónica de Servicios Financieros: Características y Principales Implicancias Legales

Yuta González, Maria del Carmen

10 April 2018

The first part of the article seeks to highlight the importance that increasingly electronic trading experience in the field of financial services, and as a result of that the new expressions that arise in providing financial transactions through a conceptual distinction of services and financial channels. In this context, new challenges for the industry players requiring them continuing specialization and innovation in product design, in order to satisfy the current demands ofconsumers who have configured one profile increasingly informed, sophisticated technology in making their consumption decisions.In the second part of the article, I will describe the local regulation which applies to electronic contracting in comparison with the regulation that applies to the traditional contracting which use printed information and oral presentations. This section identifies also the main regulatory implications for the consumer and the industry, with reference of compared experiences that may be interesting to comment on the formulation of considerations if applicable. / En la primera parte del artículo se propone destacar la importancia que crecientemente experimenta la contratación electrónica en el ámbito de los servicios financieros, y como consecuencia de ello, las nuevas expresiones que surgen en la prestación de operaciones financieras pasando por una distinciónconceptual de servicios y canales financieros. En este contexto, se configuran nuevos retos para los actores de la industria de este tipo de servicios que les exige continua especialización e innovación en el diseño de productos, de modo que éstos estén en grado de satisfacer las exigencias actuales de consumidores que cuentan con un perfil cada vez más informado, sofisticado y tecnológico en la adopción de sus decisiones de consumo.En la segunda parte del artículo se describirá el tratamiento regulatorio local aplicable a la contratación electrónica de servicios financieros, destacando aquellos aspectos regulatorios que la distinguen respecto de la contratación tradicional, esto es, la contratación presencial por medios escritos. En esta sección se identificará a su vez las principales implicancias regulatoriasde cara al consumidor y a la industria, tomando como referencia experiencias regulatorias a nivel comparado que puedan resultar interesantes de comentar en la formulación de consideraciones a que hubiera lugar.

Electronic Banking

Electronic Contracting

Services Of Electronic Channels

Financial Systems

Authentic Factors

Digital Signature

Microforms

Financial Services

Banca Electrónica

Contratación Electrónica

Canales Electrónicos De Servicios

Empresas Del Sistema Financiero

Factores De Autenticación

Firma Digital

Microformas

Servicios Financieros

Servicio para la generación de firma digital y autenticación electrónica usando los certificados digitales contenidos en el DNI electrónico

Vega Caspa, Jessica Carmen, Portugal Vargas, Paulo Cesar

12 June 2021

El presente proyecto de tesis “SERVICIO PARA LA GENERACIÓN DE FIRMA DIGITAL Y AUTENTICACIÓN ELECTRÓNICA USANDO LOS CERTIFICADOS DIGITALES CONTENIDOS EN EL DNI ELECTRÓNICO” busca el desarrollo de un servicio que permita la generación de firma digital de los documentos PDF para que tengan el mismo valor legal que una firma manuscrita, así como también la autenticación electrónica para el ingreso a las aplicaciones web. Este servicio permitirá usar los certificados digitales contenidos en el DNI electrónico del Perú cumpliendo la normativa legal vigente y se podrá integrar de manera fácil, rápida y sencilla a cualquier aplicación web existente o nueva. Para realizar lo antes mencionado, se implementará un servicio para la generación de firma digital, tomando como base lo establecido en la guía de acreditación de aplicaciones de software del INDECOPI, que detalla los requerimientos funcionales que debe de cumplir una aplicación de software de clave pública, el cual interactúa con el DNI electrónico. Parte de estos requerimientos serán también implementados en el servicio de autenticación electrónica, de esta manera se va a asegurar que el servicio cumpla con los requerimientos necesarios para realizar las operaciones de firma digital y autenticación electrónica haciendo uso de los certificados digitales contenidos en el DNI electrónico. La implementación de la solución propuesta contará con el desarrollo de aplicaciones de PC que se ejecutarán en las computadoras, además el desarrollo de aplicaciones web que se conectarán a estas aplicaciones de PC y también se contará con una aplicación web de mantenimiento que gestionará la autorización del uso del servicio. / This thesis project "SERVICE OF GENERATION OF DIGITAL SIGNATURE AND ELECTRONIC AUTHENTICATION USING THE DIGITAL CERTIFICATES CONTAINED IN THE ELECTRONIC DNI” searches the development of a service that allows the generation of digital signature of the PDF documents, so that they have the same legal value as a handwritten signature as well as electronic authentication to enter to web applications. This service will allow the use of the digital certificates contained in the electronic DNI of the Peru complying with current legal regulations and might be integrated easily, quickly, and simply to any existing or new web application. To do the before mentioned, it will be implemented a service for the generation of digital signature, based on what is established in the guide of accreditation of software applications of INDECOPI, which details the functional requirements that must comply with a public key software application, which interacts with the electronic DNI. Part of these requirements will also be implemented in the service of electronic authentication. This way, it will be ensured that the service complies with the necessary requirements to perform the operations of digital signature and electronic authentication by using digital certificates contained in the electronic DNI. The implementation of the proposed solution will include the development of PC applications that will run on computers. Furthermore, the development of web applications that will connect to these PC applications, and there will also be a web application of maintenance that will manage the authorization of the use of the service. / Tesis

Firma digital

Autenticación electrónica

DNI electrónico

Certificado digital

Cero papel

Transformación digital

Digital signature

Electronic authentication

Electronic DNI

Digital certificate

Zero paper

Digital transformation