SQRL

SQRL або Secure, Quick, Reliable Login (вимовляється з англійської як «білка» / skwɝl / ) — це проект відкритого стандарту для безпечного входу на вебсайти і автентифікації. Програмне забезпечення зазвичай використовує QR-код, який забезпечує перевірку автентичності, де користувач ідентифікується анонімно замість того, щоб надавати логін і пароль користувача. Цей метод вважається несприйнятливим до перебору паролів або витоку даних. SQRL запропонував Стів Гібсон і його компанія Gibson Research Corporation в жовтні 2013 року як спосіб спростити процес перевірки автентичності, без надання будь-яких відомостей третій стороні.

Secure, Quick, Reliable Login
Офіційний SQRL логотип
Тип Захист входу на вебсайт і автентифікація
Автор(и) Стів Гібсон
Розробник Steve Gibsond
Операційна система Крос-платформний
Доступні мови 56 мов
Стан розробки Активний
Ліцензія Відкрита
Вебсайт grc.com/sqrl/sqrl.htm

Ідея

Протокол є відповіддю на задачу ідентичності фрагментації. Він покращує протоколи, такі як oAuth і OpenID, які не вимагають від третьої сторони виступати в ролі посередника і не надають серверу третьої сторони ніяких секретів захисту (ім'я користувача або пароль). Крім того, він забезпечує стандарт, який може бути вільно використаний для спрощення входу в менеджер паролів, наприклад LastPass. І, що ще більш важливо, стандарт є відкритим, тому жодна компанія не може мати вигоди з володіння цією технологією.

Приклад використання

Приклад QR-коду, який створений для SQRL, може бути відсканований або перевірений на сайті на справжність.

Для протоколу, що використовується на сайті, необхідні дві складові:

У SQRL клієнт використовує односторонню функцію і єдиний майстер-пароль користувача для розшифрування секретного майстер-ключа. Ключ генерується в поєднанні з назвою сайту (включаючи доменне ім'я і, за бажанням, додатковий суб-ідентифікатор сайту: «example.com», «example.edu/chessclub») (суб) сайт-специфічну пару відкритий/приватний ключ. Він використовує криптографічний токен з закритим ключем і дає загальний ключ до сайту, так, що він може перевірити зашифровані дані.

Фішинг-захист

SQRL має деякі конструктивні особливості у вигляді навмисного фішинг-захисту[1], але вона в основному призначена для перевірки автентичності, а не як «антифішинг», незважаючи на те, що має деякі «антифішинг» властивості.[2]

Історія

Абревіатуру SQRL придумав Стів Гібсон, а протокол складений, обговорений та проаналізований ним самим і спільнотою ентузіастів Інтернет-безпеки на news.grc.com в групі новин і під час його щотижневого подкасту, Security Now!, 2 жовтня 2013 року. Протягом двох днів після виходу в ефір цього подкасту, консорціум W3C і Google висловили зацікавленість в роботі над стандартом.[3]

Тези SQRL були проаналізовані і було виявлено, що «це, здається, цікавий підхід, як в плані передбачуваної роботи користувача, так і з точки зору криптографії. В цілому SQRL добре зарекомендував себе в криптографії».[4]

Ряд доказів принципової схеми реалізації був зроблений для різноманітних платформ, в тому числі і для сервера:

І для клієнта:

Існують різні сервери тестування і налагодження:

Правові аспекти

Стів Гібсон заявляє, що SQRL є «відкритим і безкоштовним, як це повинно бути».[13] У той час як SQRL викликав велику увагу до механізму автентифікації на основі QR-коду, запропонований протокол був запатентований ще раніше і, як правило, не повинен бути доступний для використання у вільному доступі.[14] Але Гібсон говорить: «Що ці хлопці, які роблять, як описано в патенті[15] в корені відрізняється від способів роботи SQRL, так що не було б ніяких конфліктів між SQRL і їх патентом. На перший погляд, використовувані 2D коди для перевірки справжності начебто „схожі“ … і зовні точно такі ж рішення. Але всі деталі дуже важливі, і способи роботи SQRL повністю відрізняються в деталях.»[16]

Див. також

Примітки

  1. Gibson, Steve (2014).
  2. «Details about phishing defenses and limitations». grc.com. 2013-12-06.
  3. Security Now! #425 SQRL Q&A #176 (Transcript). 9 жовтня 2013. Процитовано 16 жовтня 2013.
  4. Security Analysis and Implementation of the SQRL Authentication Scheme. Архів оригіналу за 2 квітня 2015. Процитовано 18 березня 2015.
  5. trianglman / sqrl · GitHub
  6. Secure QR Login | Drupal.org
  7. jestin / SqrlNet · GitHub
  8. geir54 / android-sqrl · GitHub
  9. https: // www. paulstechtalk.com/2014/12/sqrl-implementations-on-android-and-it-works/
  10. https://play.google.com/store/apps/details?id=net.vrallev .android.sqrl
  11. TheBigS / SQRL · GitHub. Архів оригіналу за 17 березня 2015. Процитовано 27 жовтня 2017.
  12. bushxnyc / sqrl · GitHub
  13. «SQRL / Gibson Research». grc.com.
  14. «SQRL is not really new».
  15. Method and system for authenticating a user by means of a mobile device US 20100070759 A1
  16. Secure Quick Reliable Login ". Grc.com.

Джерела

Посилання

This article is issued from Wikipedia. The text is licensed under Creative Commons - Attribution - Sharealike. Additional terms may apply for the media files.