SQRL или Secure, Quick, Reliable Login (произносится как «squirrel» /ˈskwɝl/ ) — это проект открытого стандарта для безопасного входа на веб-сайт и аутентификации . Программное обеспечение обычно использует QR-код , который обеспечивает проверку подлинности, где пользователь идентифицируется анонимно вместо того, чтобы предоставлять логин и пароль пользователя. Этот метод считается невосприимчивым к перебору паролей или утечки данных. SQRL предложил и его компания Gibson Research Corporation в октябре 2013 года как способ упростить процесс проверки подлинности, без предоставления каких-либо сведений третьей стороне.

Идея

Протокол является ответом к задаче идентичности фрагментации . Он улучшает протоколы, такие как oAuth и OpenID , которые не требуют от третьей стороны выступать в роли посредника и не дают серверу третьей стороны никаких секретов защиты (имя пользователя или пароль). Кроме того, он обеспечивает стандарт, который может быть свободно использован для упрощения процесса входа в менеджер паролей , например LastPass . И, что ещё более важно, стандарт является открытым, поэтому ни одна компания не может извлечь выгоду из обладания этой технологией.

Пример использования

Для протокола, используемого на сайте, необходимы две составляющие:

• Реализация, которая отображает QR-код или специально созданный URL-адрес согласно спецификации протокола, является частью веб-сервиса , к которому осуществляется аутентификация.
• Плагин для браузера или мобильного приложения , который может прочитать этот код в целях обеспечения безопасной аутентификации.

В SQRL клиент использует одностороннюю функцию и единый мастер-пароль пользователя для расшифровки секретного мастер-ключа. Ключ генерируется в сочетании с названием сайта (включая доменное имя и, по желанию, дополнительный суб-идентификатор ^{[ неизвестный термин ]} сайта: «example.com», «example.edu/chessclub») (суб-)сайт-специфическую пару публичный/приватный ключ. Он использует криптографический токен с закрытым ключом и дает общий ключ к сайту, так, что он может проверить зашифрованные данные.

Фишинг-защита

SQRL имеет некоторые конструктивные особенности в виде преднамеренной фишинг -защиты, но она в основном предназначена для проверки подлинности, а не как «антифишинг», несмотря на то, что имеет некоторые «антифишинг» свойства.

История

Аббревиатуру SQRL придумал Стив Гибсон, а протокол составлен, обсуждён и проанализирован им самим и сообществом Интернет-безопасности энтузиастов на news.grc.com в группе новостей и во время его еженедельного подкаста , Security Now! , 2 октября 2013 года. В течение двух дней после выхода в эфир этого подкаста, консорциум W3C и Google выразили заинтересованность в работе над стандартом.

Тезисы SQRL были проанализированы и обнаружили, что «это, кажется, интересный подход, как в плане предполагаемой работы пользователя, так и с точки зрения криптографии. В целом SQRL хорошо зарекомендовал себя в криптографии».

Ряд доказательств принципиальной схемы реализации были сделаны для разнообразных платформ, в том числе и для сервера:

• PHP
• Drupal
• C# .NET

И для клиента:

• Android
• C# .NET
• Java
• Python

Существуют различные серверы тестирования и отладки:

Правовые аспекты

Стив Гибсон заявляет, что SQRL является «открытым и бесплатным, как это должно быть». В то время как SQRL вызвал большое внимание к механизму аутентификации на основе QR-кода, предложенный протокол был запатентован ещё раньше и, как правило, не должен быть доступен для использования в свободном доступе. Но Гибсон говорит: «Что эти ребята которые делают, как описано в патенте в корне отличается от способов работы SQRL, так что не было бы никаких конфликтов между SQRL и их патентом. На первый взгляд, используемый 2D код для проверки подлинности вроде бы „похожие“… и внешне точно такие же решения. Но все детали очень важны, и способы работы SQRL полностью отличаются в деталях.»

Примечания

Ссылки

• — Intel презентация Даниеля Холмлунда в 2014 « HTML5 с конференции разработчиков»
• Google Play Store — тест реализации SQRL