User Perceptions of Security Risks in Multiple Authentications
Total Page:16
File Type:pdf, Size:1020Kb
User Perceptions of Security Risks in Multiple Authentications by Hervé Saint-Louis A thesis submitted in conformity with the requirements for the degree of degree of Doctor of Philosophy Faculty of Information University of Toronto © Copyright by Hervé Saint-Louis 2018 User Perceptions of Security Risks in Multiple Authentications Hervé Saint-Louis Doctor of Philosophy Faculty of Information University of Toronto 2018 Abstract Authentication is an everyday practice in the information economy. When people use Facebook, Google, or Twitter to log in a third-party app they perform tertiary authentications. Authentication is often the only protection users have for personal information held by platforms and third parties. This personal information and the metadata produced by people has an exchange value for platform operators. This dissertation explores people's perceptions of security and confidentiality as they perform tertiary authentications and how platform operators benefit from data generated in the process. The research design consisted of a 20-participants experiment and a policy analysis reviewing privacy and security policies of Facebook, Google, and Twitter answered these questions. What is the extent of the interplay between security and usability for platform operators that are commodifying from users' personal data through tertiary authentication; how are people managing and controlling their security and confidentiality as they perform tertiary authentications and what are the implications of those actions for users’ perception of identity and privacy, and; which conditions and variables create a perception of false security in users performing tertiary authentications, and what factors of tertiary authentication affect users’ sense of security? Through diagrammatic representations of their mental models and a questionnaire, the experiment measured how the test and control groups rated the value of their personal information after reviewing platform policies and how they managed their data when offered the chance to adjust their security and privacy settings before performing tertiary authentications. Results show that while participants tried to secure their data, they were not as aware of commodification processes. Guided by the transactional token framework used to theorize the ii process of commodification of people's personal information when performing authentication, the policy analysis explains how platform operators commodify users’ data. This framework is a dialectic model that analyzes at once authentication and the monetization of attention while focusing on tertiary authentication. It unearths strategies used by platforms operators to collect users’ information through their interaction with gamified security and privacy settings. It is argued that tertiary authentication which protects users’ personal information sacrifices security for usability’s sake. Security becomes a feature which people unknowingly interact with to provide more data to platform operators. iii Acknowledgments Remerciement à ma mère, Marie-Andréa Pierre qui prie pour moi chaque jour. Ce que femme veut, Dieu veut (des fois). Remerciement de Monsieur Picôt (Picoton) à mon feu père, Jean- Gérard Saint-Louis. Je remercie les membres de mon comité de thèse doctorale, les Professeurs Rhonda McEwen, Brett Caraway, et Cosmin Munteanu. Professeure McEwen, je vous remercie de m’avoir choisie comme votre premier doctorant. Ce fut un honneur. Je vous remercie de ne pas avoir eu peur de mon profil éclectique et de toujours été ma première ambassadrice. Vous m’avez tellement appris de chose et avez tenu votre promesse de faire de moi un chercheur hors pairs. J’ai beaucoup à apprendre mais je serai toujours reconnaissant de tout ce que vous avez fait et continuez de faire pour moi. Merci. Professeur Caraway, vous m’avez promis un jour de m’amener à la ligne d’arrivée. Nous y sommes! L’exemple de votre profonde réflexion théoriques et votre support moral m’ont donné tellement de confidence et la volonté d’atteindre mon propre dessein. Merci. Professeur Munteanu, vous avez prouvé maintes fois pourquoi j’étais l’étudiant et vous le mentor. Je n’ai aucune honte de dire que je demeure humble devant la vivacité de votre esprit et l’énergie que vous dédiez à votre travail et celui de tous vos étudiants. Merci. À mes assistants de recherche, Abigail Baker-Bigauska, et Jameel De Leon, je vous dis merci. Abby, merci pour le dévouement que tu as portée à cette entreprise et pour l'exactitude de tes interventions. Jameel, je te remercie de l'énergie et de la curiosité que tu as eue. Ton enthousiasme a été très inspirant. Chère Professeure Jacquelyn Burkell, je vous remercie de m’avoir donné un exemple de ténacité et de rigueur. Professeure Leslie Shade, je fais ma dance à la Snoopy grâce à vous! Très cher Professeur Thomas Keenan, comme mon superviseur de maîtrise, vous n'avez jamais abandonné votre support et intérêt pour toutes mes démarches. Merci. Cher Professeur Olivier St-Cyr, je vous remercie de m'avoir enseigné tant sur les statistiques, sur les théories des facteurs humains, que sur les interactions hommes-machines. iv Il est important pour moi de souligner que sans l'encouragement et l'acharnement incroyable du Docteur Stéphane Guevremont, je ne me serais jamais inscrit à la maîtrise et ensuite au doctorat. Merci de toujours avoir cru en mon potentiel. Comme nos ancêtres africains nous le rappellent, il faut un village pour former un enfant. Puisque que comme Marshall McLuhan l'a annoncé, nous vivons dans un village global, il nous faut de bons mentors pour former les professionnels de l'économie de l'information. Pour moi, ces mentors furent Luc Martin, ing., feu Pierre Antonini et feu Leanne Sanders. Je remercie mes collègues Sandra Danilovic et Jack Jamieson. Et à ma famille. Je remercie mon oncle Fritz Pierre, le premier chercheur de ma famille dont je n'ai pu citer dans ma recherche mais que je tiens à souligner ici. Ton livre (Pierre, Ayad and Jemai 1985), aussi rare qu'il soit, sur les services de santé gynécologique en Haïti est à l'Université de Toronto et je l’ai lu. J'aimerais remercier mes sœurs Gaby, Igi, et Tatale. Ensuite, il y a Dédé qui pose tant de questions. Je remercie mes amis qui m'ont aidé à poursuivre cette recherche. Merci Dayo, Alwish, Corina, et Spencer. Finalement, ma formation n'aurait été complète sans l'apport ponctuel, de la Professeure Lynne Howarth, du Professeur Seamus Ross, du Professeur Matthew Ratto, de la Doyenne Wendy Duff, de la Professeure Jenna Hartel, de la Faculté de l’information, de la Professeure Tracey Bowen de l’Institut des communications, de la culture, de l’information et de la technologie, de la Professeure Dominique Scheffel-Dunand de l’Université York, du Professeur Robert Huebert, du Docteur Patrick Feng, du Professeur Terry Terriff de l'Université de Calgary, du Professeur Peter Hoffmann, et du feu Professeur Robert Vogel de l'Université McGill qui m'avait promis que je serais un jour très familier avec toute cette littérature. Cette thèse est dédiée aux enfants que j'aurai, si Dieu le veut. v Résumé L’authentification est une pratique quotidienne dans l’économie de l’information. Lorsque les utilisateurs utilisent Facebook, Google ou Twitter pour se connecter à une application tierce, ils effectuent des authentifications tertiaires. L’authentification est souvent la seule protection à la disposition des utilisateurs pour transmettre des informations personnelles détenues par les plates-formes et les tiers. Ces informations personnelles et les métadonnées produites par les personnes ont une valeur d’échange pour les opérateurs de plates-formes. Cette thèse explore les perceptions des gens en matière de sécurité et de confidentialité lorsqu’ils effectuent des authentifications tertiaires et la façon dont les opérateurs de plates-formes bénéficient des données générées durant le processus. Une expérience avec 20 participants et une analyse portant sur les politiques de confidentialité et de sécurité de Facebook, Google et Twitter ont répondu à ces questions. Dans quelle mesure existe-t-il un compromis entre la sécurité et la convivialité des opérateurs de plates-formes qui profitent des utilisateurs grâce à une authentification tertiaire. Comment les personnes effectuent- elles des authentifications tertiaires lorsqu’elles gèrent et contrôlent leur sécurité et leur confidentialité? Quelles sont les implications de ces actions sur la perception l’identité et de la vie privée des utilisateurs? Quelles conditions et variables créent une perception de fausse sécurité chez les utilisateurs effectuant des authentifications tertiaires, et, quels sont les facteurs d’authentification tertiaire qui affectent le sentiment de sécurité des utilisateurs? Grâce à des représentations schématiques de leurs modèles mentaux et d’un questionnaire, l’expérience mesure comment les groupes de test et de contrôle ont évalué la valeur de leurs informations personnelles après avoir examiné les politiques de la plate-forme et comment ils ont géré leurs données lorsqu’ils ont la possibilité d’ajuster leurs paramètres de sécurité et de confidentialité avant d’effectuer des authentifications tertiaires. L’expérience prouve que bien que les participants qui essaient de sécuriser leurs données, n’étaient pas autant conscients des processus de marchandisation. Guidé par le modèle de crédit transactionnel utilisé pour théoriser le processus de marchandisation des informations personnelles des personnes lors de l’authentification,