SQRL

Эта статья посвящена теме вычислений. Для других целей см. раздел Sqrl .

SQRL (произносится как "белка") [3] или безопасный, быстрый, надежный вход (ранее Безопасный QR-вход) - это проект открытого стандарта для безопасного входа и аутентификации на веб-сайте . Программное обеспечение обычно использует ссылку схемы sqrl: / / или необязательно QR-код, где пользователь идентифицирует себя с помощью псевдонимного доказательства нулевого знания, а не предоставляет идентификатор пользователя и пароль . Этот метод считается непроницаемым для грубой силы атаки пароля или нарушения данных . Это смещает бремя обеспечения безопасности от стороны, запрашивающей аутентификацию, и приближает к операционной системе реализацию того, что возможно на аппаратные средства, а также для пользователя. SQRL был предложен Стивом Гибсоном из Gibson Research Corporation в октябре 2013 года как способ упростить процесс аутентификации без риска раскрытия информации о сделке третьей стороне .

История[править]

Аббревиатура SQRL была придумана Стивом Гибсоном, а протокол был разработан, обсужден и подробно проанализирован им самим и сообществом энтузиастов интернет-безопасности на news.grc.com группы новостей и во время его еженедельного подкаста , безопасность сейчас!, 2 октября 2013 года. В течение двух дней после выхода в эфир этого подкаста, Как W3C, так и Google выразили заинтересованность в работе над стандартом.

Диссертация по SQRL проанализирована и обнаружила, что "это, по-видимому, интересный подход, как с точки зрения предполагаемого пользовательского опыта, так и лежащей в его основе криптографии. SQRL в основном сочетает хорошо зарекомендовавшую себя криптографию новым способом."

Преимущества[править]

Протокол является ответом на проблему фрагментации идентичности . Он улучшает работу таких протоколов, как OAuth и OpenID, не требуя от третьей стороны брокера транзакции и не предоставляя серверу никаких секретов для защиты, таких как имя пользователя и пароль.

Кроме того, он предоставляет стандарт, который может быть свободно использован для упрощения процессов входа, доступных для приложений диспетчера паролей. Что еще более важно, стандарт открыт, поэтому ни одна компания не может извлечь выгоду из владения технологией. Согласно веб-сайту Гибсона, такая надежная технология должна быть в общественном достоянии, чтобы безопасность и криптография могли быть проверены, а не преднамеренно ограничены по коммерческим или другим причинам.

Защита от фишинга[править]

SQRL имеет некоторые присущие дизайну и преднамеренные фишинговые защиты , но он в основном предназначен для аутентификации, а не для борьбы с фишингом, несмотря на наличие некоторых антифишинговых свойств.

Пример использования case[править]

Для протокола, который будет использоваться на сайте, два компонента: док - реализации, которая является частью веб-сервиса для осуществления проверки подлинности, в котором отображается QR-код, или специально созданный URL-адрес согласно спецификации протокола, а также плагин для браузера или мобильного приложения, который может прочитать этот код, чтобы обеспечить безопасную проверку подлинности.

В SQRL клиент использует "в одну сторону" функции и единый мастер-пароль для расшифровки секретного мастер-ключа, который он производит в сочетании с название сайта (включая доменное имя и, по желанию, дополнительный суб-идентификатор сайта: "example.com", "example.edu/chessclub") а (суб)сайт-специфические общественные/частные ключевые пары. Он подписывает токены транзакций с закрытым ключом и дает открытый ключ сайту, чтобы он мог проверить зашифрованные данные.

Там нет никаких "общих секретов", которые могут быть раскрыты в результате взлома сайта, чтобы разрешить атаки на учетные записи на других сайтах. Единственное, что может получить успешный злоумышленник-открытый ключ, - это проверка подписей, которые используются только на одном и том же сайте. Несмотря на то, что пользователь разблокирует главный ключ с помощью одного пароля, он никогда не покидает клиент SQRL; отдельные сайты не получают от процесса SQRL никакой информации, которая могла бы использоваться на любом другом сайте.

Реализации SQRL[править]

Ряд доказательств -- принципиальной схемы реализации были сделаны для разнообразных платформ, в том числе и для сервера (на PHP, Друпал, на C# .Сеть) и для клиента (Андроид, в C# .Чистый, на Java, питон). Существуют также различные сервера-закончить тест и отладка существующих сайтов.

SQRL в настоящее время используется Wickr для функции единого входа (SSO) Wickr Pro.

Правовые аспекты[править]

Стив Гибсон утверждает, что SQRL "открыт и свободен, как и должно быть", и что решение "не обременено патентами". в то время как SQRL привлек большое внимание к механизмам аутентификации на основе QR-кода, предлагаемый протокол, как говорят, был запатентован ранее и обычно не доступен для бесплатного использования. но Гибсон говорит: "то, что эти ребята делают, как описано в этом патенте это полностью отличается от способа работы SQRL, поэтому не было бы никакого конфликта между SQRL и их патентом. Внешне все, что использует 2D-код для аутентификации, кажется "похожим"... и внешне все такие решения есть. Но детали имеют значение, и то, как работает SQRL, совершенно отличается в деталях."

Смотрите также[править]

• BrowserID
• Центральная Служба Аутентификации
• Информационная карта
• Облегченная Идентичность
• OAuth
• OpenID Connect
• Единый вход
• WebID
• FIDO Alliance

Пруф[править]

youtu.be/WHFaiUc7Qwk

• .techrepublic.com/blog/it-security/sqrl-a-new-method-of-authentication-with-qr-codes/
• .ghacks.net/2013/10/09/sqrl-may-improve-website-login-authentication-process/
• .grc.com/sqrl/sqrl.htm