<div dir="ltr"><div class="gmail_extra"><br><div class="gmail_quote">On Sun, Mar 9, 2014 at 8:10 PM, Joseph Bonneau <span dir="ltr"><<a href="mailto:jbonneau@gmail.com" target="_blank">jbonneau@gmail.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div dir="ltr"><div class="gmail_quote"><div>I'm interested in helping out as well if I can, glad to see there's some movement here! In particular I can help with data analysis/significance testing if that's something needed, though sounds like the sample size will be low.</div>
<div class="">

<div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">
<div></div><div>For the tests, I could imagine giving users pairs of fingerprints which are either identical or a close match, and have them choose same/different after X seconds, where X is tuned to produce a significant error rate.  I'd also try having one value on a screen, and the other in different formats that might be used for fingerprint exchange:  e.g. printed on the front of a business card, displayed on a separate screen, read aloud, written on a napkin, etc.</div>


</div></div></div></blockquote><div><br></div></div><div>I think I've made this point before but I think the main challenge is seeing how users perform not just in a quick check time wise, but one in which they have no reason to suspect an error, because most of the time most users don't think they're being attacked so they just check the beginning for a gross error then click through. If you tell users to check for errors, it may not represent very well how they'd do in practice. Perhaps the only way around this is to show users fingerprints which match in 99% of cases and see if they catch the 1% when they are mind-numbingly bored and their prior is low.</div>
</div></div></blockquote><div><br></div><div>There might be two different questions here:</div><div><br></div><div>1) How much effort do users spend comparing fingerprints?</div><div>2) For a given amount of effort, which fingerprint format works the best?</div>
<div><br></div><div>Question (2) seems testable in the lab.</div><div><br></div><div>Question (1) depends on the user and her context:  Does she believe herself to be a surveillance target?  Are these sensitive communications?  This seems a question for fieldwork.</div>
<div><br></div><div><br></div><div>Trevor </div></div><br></div></div>