SQRL или Secure, Quick, Reliable Login (произносится как «squirrel» /ˈskwɝl/) — это проект открытого стандарта для безопасного входа на веб-сайт и аутентификации. Программное обеспечение обычно использует QR-код, который обеспечивает проверку подлинности, где пользователь идентифицируется анонимно вместо того, чтобы предоставлять логин и пароль пользователя. Этот метод считается невосприимчивым к перебору паролей или утечки данных. SQRL предложил Стив Гибсон[англ.] и его компания Gibson Research Corporation в октябре 2013 года как способ упростить процесс проверки подлинности, без предоставления каких-либо сведений третьей стороне.
SQRL | |
---|---|
Тип | Защита входа на веб-сайт и аутентификация |
Автор | Стив Гибсон |
Разработчик | Стив Гибсон[вд] |
Операционная система | Кросс-платформенный |
Языки интерфейса | 56 языков |
Состояние | Активно |
Лицензия | Открытая |
Сайт | grc.com/sqrl/sqrl.htm |
Идея
правитьПротокол является ответом к задаче идентичности фрагментации. Он улучшает протоколы, такие как oAuth и OpenID, которые не требуют от третьей стороны выступать в роли посредника и не дают серверу третьей стороны никаких секретов защиты (имя пользователя или пароль). Кроме того, он обеспечивает стандарт, который может быть свободно использован для упрощения процесса входа в менеджер паролей, например LastPass. И, что ещё более важно, стандарт является открытым, поэтому ни одна компания не может извлечь выгоду из обладания этой технологией.
Пример использования
правитьДля протокола, используемого на сайте, необходимы две составляющие:
- Реализация, которая отображает QR-код или специально созданный URL-адрес согласно спецификации протокола, является частью веб-сервиса, к которому осуществляется аутентификация.
- Плагин для браузера или мобильного приложения, который может прочитать этот код в целях обеспечения безопасной аутентификации.
В SQRL клиент использует одностороннюю функцию и единый мастер-пароль пользователя для расшифровки секретного мастер-ключа. Ключ генерируется в сочетании с названием сайта (включая доменное имя и, по желанию, дополнительный суб-идентификатор[неизвестный термин] сайта: «example.com», «example.edu/chessclub») (суб-)сайт-специфическую пару публичный/приватный ключ. Он использует криптографический токен с закрытым ключом и дает общий ключ к сайту, так, что он может проверить зашифрованные данные.
Фишинг-защита
правитьSQRL имеет некоторые конструктивные особенности в виде преднамеренной фишинг-защиты,[1] но она в основном предназначена для проверки подлинности, а не как «антифишинг», несмотря на то, что имеет некоторые «антифишинг» свойства.[2]
История
правитьАббревиатуру SQRL придумал Стив Гибсон, а протокол составлен, обсуждён и проанализирован им самим и сообществом Интернет-безопасности энтузиастов на news.grc.com в группе новостей и во время его еженедельного подкаста, Security Now!, 2 октября 2013 года. В течение двух дней после выхода в эфир этого подкаста, консорциум W3C и Google выразили заинтересованность в работе над стандартом.[3]
Тезисы SQRL были проанализированы и обнаружили, что «это, кажется, интересный подход, как в плане предполагаемой работы пользователя, так и с точки зрения криптографии. В целом SQRL хорошо зарекомендовал себя в криптографии».[4]
Ряд доказательств принципиальной схемы реализации были сделаны для разнообразных платформ, в том числе и для сервера:
И для клиента:
Существуют различные серверы тестирования и отладки:
Правовые аспекты
правитьСтив Гибсон заявляет, что SQRL является «открытым и бесплатным, как это должно быть».[13] В то время как SQRL вызвал большое внимание к механизму аутентификации на основе QR-кода, предложенный протокол был запатентован ещё раньше и, как правило, не должен быть доступен для использования в свободном доступе.[14] Но Гибсон говорит: «Что эти ребята которые делают, как описано в патенте[15] в корне отличается от способов работы SQRL, так что не было бы никаких конфликтов между SQRL и их патентом. На первый взгляд, используемый 2D код для проверки подлинности вроде бы „похожие“… и внешне точно такие же решения. Но все детали очень важны, и способы работы SQRL полностью отличаются в деталях.»[16]
Примечания
править- ↑ Gibson, Steve (2014).
- ↑ «Details about phishing defenses and limitations» Архивная копия от 29 июня 2017 на Wayback Machine. grc.com. 2013-12-06.
- ↑ «Security Now! #425 SQRL Q&A #176 (Transcript)» Архивная копия от 19 января 2019 на Wayback Machine. 2013-10-09.
- ↑ «Security Analysis and Implementation of the SQRL Authentication Scheme» Архивная копия от 2 апреля 2015 на Wayback Machine.
- ↑ trianglman/sqrl · GitHub . Дата обращения: 19 декабря 2015. Архивировано 11 июня 2018 года.
- ↑ Secure QR Login | Drupal.org . Дата обращения: 19 декабря 2015. Архивировано 22 апреля 2016 года.
- ↑ 1 2 jestin/SqrlNet · GitHub . Дата обращения: 19 декабря 2015. Архивировано 27 июня 2018 года.
- ↑ geir54/android-sqrl · GitHub . Дата обращения: 19 декабря 2015. Архивировано 11 июня 2018 года.
- ↑ Архивированная копия . Дата обращения: 17 марта 2015. Архивировано 2 апреля 2015 года.
- ↑ Архивированная копия . Дата обращения: 19 декабря 2015. Архивировано 16 февраля 2015 года.
- ↑ TheBigS/SQRL · GitHub . Дата обращения: 19 декабря 2015. Архивировано из оригинала 17 марта 2015 года.
- ↑ bushxnyc/sqrl · GitHub . Дата обращения: 19 декабря 2015. Архивировано 11 июня 2018 года.
- ↑ «SQRL / Gibson Research» Архивная копия от 2 октября 2017 на Wayback Machine. grc.com.
- ↑ «SQRL is not really new» Архивная копия от 28 октября 2017 на Wayback Machine.
- ↑ Method and system for authenticating a user by means of a mobile device US 20100070759 A1 . Дата обращения: 19 декабря 2015. Архивировано 23 февраля 2017 года.
- ↑ «Secure Quick Reliable Login» Архивная копия от 29 июня 2017 на Wayback Machine. grc.com.
Ссылки
править- Grc.com
- Ghacks.net
- SQRL Illustrated Guide
- Techrepublic review: SQRL: A new method of authentication with QR codes
- «Authentication without Passwords Implementing SQRL» — Intel презентация Даниеля Холмлунда в 2014 «HTML5 с конференции разработчиков»
- www.sqrl.pl Google Play Store — тест реализации SQRL
В статье не хватает ссылок на источники (см. рекомендации по поиску). |