Web Authentication using Third-Parties in Untrusted Environments

With the increasing personalization of the Web, many websites allow users to create their own personal accounts. This has resulted in Web users often having many accounts on different websites, to which they need to authenticate in order to gain access. Unfortunately, there are several security problems connected to the use and re-use of passwords, the most prevalent authentication method currently in use, including eavesdropping and replay attacks. Several alternative methods have been proposed to address these shortcomings, including the use of hardware authentication devices. However, these more secure authentication methods are often not adapted for mobile Web users who use different devices in different places and in untrusted environments, such as public Wi-Fi networks, to access their accounts. We have designed a method for comparing, evaluating and designing authentication solutions suitable for mobile users and untrusted environments. Our method leverages the fact that mobile users often bring their own cell phones, and also takes into account different levels of security adapted for different services on the Web. Another important trend in the authentication landscape is that an increasing number of websites use third-party authentication. This is a solution where users have an account on a single system, the identity provider, and this one account can then be used with multiple other websites. In addition to requiring fewer passwords, these services can also in some cases implement authentication with higher security than passwords can provide. How websites select their third-party identity providers has privacy and security implications for end users. To better understand the security and privacy risks with these services, we present a data collection methodology that we have used to identify and capture third-party authentication usage on the Web. We have also characterized the third-party authentication landscape based on our collected data, outlining which types of third-parties are used by which types of sites, and how usage differs across the world. Using a combination of large-scale crawling, longitudinal manual testing, and in-depth login tests, our characterization and analysis has also allowed us to discover interesting structural properties of the landscape, differences in the cross-site relationships, and how the use of third-party authentication is changing over time. Finally, we have also outlined what information is shared between websites in third-party authentication, defined risk classes based on shared data, and profiled privacy leakage risks associated with websites and their identity providers sharing data with each other. Our findings show how websites can strengthen the privacy of their users based on how these websites select and combine their third-parties and the data they allow to be shared. Populärvetenskaplig sammanfattning Allt fler människor tillbringar stora delar av sina liv p̊a Internet för att arbeta, uträtta myndighetsärenden, sköta sin ekonomi och umg̊as med vänner. Ofta när vi talar om Internet i dagligt tal menar vi World Wide Web (WWW), webben, som best̊ar av en mängd mer eller mindre sammanlänkade webbsidor där Google och Facebook är n̊agra av de mest populära. Fr̊an att ha best̊att till största delen av statisk information har webben nu utvecklats till att blir mer personlig. Många webbsidor l̊ater sina användare registrera ett personligt konto för att kunna skapa sig en personlig profil med eget inneh̊all p̊a webbsidan, samt anpassa webbsidan utifr̊an sina önskem̊al. Personliga konton är centrala för sociala nätverk som Facebook, men används även av exempelvis nyhetssidor p̊a vilka användaren kan logga in för att kommentera och dela nyhetsartiklar. Att webben blir mer personlig har ocks̊a lett till att många användare har ett flertal konton p̊a olika webbsidor att h̊alla reda p̊a. För att logga in p̊a sitt personliga konto måste användaren autentiseras, det vill säga, bevisa att hon/han är den rättmätiga ägaren av kontot. Detta g̊ar ofta till s̊a att användaren skriver in sitt användarnamn och ett lösenord. Förutom att det är besvärligt för användaren att minnas sina lösenord till alla olika konton, finns det många säkerhetsproblem med att använda lösenord för autentisering p̊a webben. Trots det är användandet av lösenord den vanligaste formen av webbautentisering p̊a grund av sin enkelhet. Säkrare alternativ till lösenord existerar, till exempel används eng̊angskoder och s̊a kallade bankdosor till mer säkerhetskritiska tjänster p̊a webben, men dessa lösningar är sällan enkla nog för att kunna användas dagligen till mindre kritiska tjänster. Dessa säkrare lösningar kräver även ofta att användaren har n̊agon ytterligare utrustning, t.ex. en bankdosa, tillgänglig vid varje inloggning. Lösningarna är heller inte anpassade till att dagens användare är mobila och förflyttar sig mellan olika platser, använder oskyddade och op̊alitliga tr̊adlösa nätverk och även loggar in p̊a webbsidor fr̊an olika datorer, mobiltelefoner och surfplattor. Lösningar för autentisering som passar mobila användare i dessa op̊alitliga miljöer behöver vara lika enkla som lösenord, men säkrare, och inte kräva n̊agon extrautrustning som användaren inte normalt bär med sig. Vi har skapat en metod för att jämföra, utvärdera och designa autentiseringslösningar som passar för mobila användare i otillförlitliga miljöer. Vi har fokuserat p̊a lösningar där en mobiltelefon används i autentiseringen, t.ex. för att lagra eng̊angslösenord, eftersom användare idag ofta bär med sig sin telefon. Vi tar ocks̊a hänsyn till att olika tjänster p̊a webben kan behöva olika niv̊aer av säkerhet. Ett populärt alternativ till att användaren loggar in p̊a varje enskild webbsida är att istället använda tredjepartsautentisering. D̊a kan användaren logga in p̊a flera olika webbsidor genom att autentisera sig mot en s̊a kallad third-party identity provider (IDP), en tredjepartstjänst som tillhandah̊aller användarens identitet. Genom att använda en IDP behöver användaren logga in mer sällan och p̊a färre platser. Därför kan mer komplicerade lösenord eller säkrare metoder för autentisering användas. P̊a de webbsidor som l̊ater användaren logga in med en IDP kan användaren ofta välja vilken IDP de vill logga in med bland olika alternativ. Vi har undersökt vilka olika IDPer som finns och vilka kombinationer av dessa som användare kan välja mellan. Denna kartläggning har vi gjort genom att designa verktyg som automatiskt undersöker ett stort antal webbsidor. Vi har även gjort fallstudier och manuella studier över flera års tid, för att se hur olika webbsidor väljer och kombinerar de IDPer som deras användare erbjuds att logga in med. Vid inloggning med IDP delas ofta information mellan IDPn och webbsidan som användaren vill logga in p̊a. Denna information kan best̊a av personuppgifter, personliga bilder och information som tillhör användarens vänner. Vi har därför även kartlagt hur denna information kan spridas mellan IDPer och de sidor som använder dem. S̊adan informationsspridning kan leda till att användares privata information faller i fel händer och i slutänden till allvarliga problem som identitetsstöld. Sammanfattningsvis presenterar vi bidrag för hur webbautentisering kan designas för att passa mobila användare i otillförlitliga miljöer. Vi har ocks̊a undersökt hur trejdepartsautentisering används p̊a webben, vilka typer av webbsidor som använder s̊adan autentisering, vilken information dessa sidor delar och hur detta p̊averkar användares säkerhet och privatliv.