Interested Article - SQRL

SQRL или Secure, Quick, Reliable Login (произносится как «squirrel» /ˈskwɝl/ ) — это проект открытого стандарта для безопасного входа на веб-сайт и аутентификации . Программное обеспечение обычно использует QR-код , который обеспечивает проверку подлинности, где пользователь идентифицируется анонимно вместо того, чтобы предоставлять логин и пароль пользователя. Этот метод считается невосприимчивым к перебору паролей или утечки данных. SQRL предложил и его компания Gibson Research Corporation в октябре 2013 года как способ упростить процесс проверки подлинности, без предоставления каких-либо сведений третьей стороне.

Идея

Протокол является ответом к задаче идентичности фрагментации . Он улучшает протоколы, такие как oAuth и OpenID , которые не требуют от третьей стороны выступать в роли посредника и не дают серверу третьей стороны никаких секретов защиты (имя пользователя или пароль). Кроме того, он обеспечивает стандарт, который может быть свободно использован для упрощения процесса входа в менеджер паролей , например LastPass . И, что ещё более важно, стандарт является открытым, поэтому ни одна компания не может извлечь выгоду из обладания этой технологией.

Пример использования

Пример QR-кода, который создан для SQRL, может быть отсканирован или проверен на сайте на подлинность.

Для протокола, используемого на сайте, необходимы две составляющие:

В SQRL клиент использует одностороннюю функцию и единый мастер-пароль пользователя для расшифровки секретного мастер-ключа. Ключ генерируется в сочетании с названием сайта (включая доменное имя и, по желанию, дополнительный суб-идентификатор [ неизвестный термин ] сайта: «example.com», «example.edu/chessclub») (суб-)сайт-специфическую пару публичный/приватный ключ. Он использует криптографический токен с закрытым ключом и дает общий ключ к сайту, так, что он может проверить зашифрованные данные.

Фишинг-защита

SQRL имеет некоторые конструктивные особенности в виде преднамеренной фишинг -защиты, но она в основном предназначена для проверки подлинности, а не как «антифишинг», несмотря на то, что имеет некоторые «антифишинг» свойства.

История

Аббревиатуру SQRL придумал Стив Гибсон, а протокол составлен, обсуждён и проанализирован им самим и сообществом Интернет-безопасности энтузиастов на news.grc.com в группе новостей и во время его еженедельного подкаста , Security Now! , 2 октября 2013 года. В течение двух дней после выхода в эфир этого подкаста, консорциум W3C и Google выразили заинтересованность в работе над стандартом.

Тезисы SQRL были проанализированы и обнаружили, что «это, кажется, интересный подход, как в плане предполагаемой работы пользователя, так и с точки зрения криптографии. В целом SQRL хорошо зарекомендовал себя в криптографии».

Ряд доказательств принципиальной схемы реализации были сделаны для разнообразных платформ, в том числе и для сервера:

  • PHP
  • Drupal
  • C# .NET

И для клиента:

  • Android
  • C# .NET
  • Java
  • Python

Существуют различные серверы тестирования и отладки:

Правовые аспекты

Стив Гибсон заявляет, что SQRL является «открытым и бесплатным, как это должно быть». В то время как SQRL вызвал большое внимание к механизму аутентификации на основе QR-кода, предложенный протокол был запатентован ещё раньше и, как правило, не должен быть доступен для использования в свободном доступе. Но Гибсон говорит: «Что эти ребята которые делают, как описано в патенте в корне отличается от способов работы SQRL, так что не было бы никаких конфликтов между SQRL и их патентом. На первый взгляд, используемый 2D код для проверки подлинности вроде бы „похожие“… и внешне точно такие же решения. Но все детали очень важны, и способы работы SQRL полностью отличаются в деталях.»

Примечания

  1. Gibson, Steve (2014).
  2. от 29 июня 2017 на Wayback Machine . grc.com . 2013-12-06 .
  3. от 19 января 2019 на Wayback Machine . 2013-10-09 .
  4. от 2 апреля 2015 на Wayback Machine .
  5. . Дата обращения: 19 декабря 2015. 11 июня 2018 года.
  6. . Дата обращения: 19 декабря 2015. 22 апреля 2016 года.
  7. . Дата обращения: 19 декабря 2015. 27 июня 2018 года.
  8. . Дата обращения: 19 декабря 2015. 11 июня 2018 года.
  9. . Дата обращения: 17 марта 2015. 2 апреля 2015 года.
  10. . Дата обращения: 19 декабря 2015. 16 февраля 2015 года.
  11. . Дата обращения: 19 декабря 2015. Архивировано из 17 марта 2015 года.
  12. . Дата обращения: 19 декабря 2015. 11 июня 2018 года.
  13. от 2 октября 2017 на Wayback Machine . grc.com .
  14. от 28 октября 2017 на Wayback Machine .
  15. . Дата обращения: 19 декабря 2015. 23 февраля 2017 года.
  16. от 29 июня 2017 на Wayback Machine . grc.com .

Ссылки

  • Intel презентация Даниеля Холмлунда в 2014 « HTML5 с конференции разработчиков»
  • Google Play Store — тест реализации SQRL
Источник —

Same as SQRL