QRL

SQRL nebo Secure, Quick, Reliable Login (vyslovováno jako „veverka“ /ˈskwɝl/ ) je otevřený standardní návrh pro bezpečné přihlašování a ověřování webových stránek . Software obvykle používá QR kód , který poskytuje autentizaci, kdy je uživatel identifikován anonymně, namísto poskytnutí uživatelského jména a hesla. Tato metoda je považována za imunní vůči heslům hrubou silou nebo únikům dat. SQRL navrhl Steve Gibson a jeho Gibson Research Corporation v říjnu 2013 jako způsob, jak zefektivnit proces ověřování bez poskytnutí jakýchkoli podrobností třetí straně.

Nápad

Protokol je odpovědí na problém fragmentace identity . Vylepšuje protokoly jako oAuth a OpenID , které nevyžadují, aby třetí strana jednala jako prostředník, a neposkytují serveru třetí strany žádná bezpečnostní tajemství (uživatelské jméno nebo heslo). Kromě toho poskytuje standard, který lze volně použít ke zjednodušení procesu přihlašování do správce hesel, jako je LastPass . A co je důležitější, standard je otevřený, takže žádná společnost nemůže mít z vlastnictví této technologie prospěch.

Příklad použití

Protokol používaný na webu vyžaduje dvě součásti:

• Implementace, která zobrazuje QR kód nebo speciálně vytvořenou adresu URL podle specifikace protokolu, je součástí webové služby , proti které se ověřuje.
• Plugin prohlížeče nebo mobilní aplikace , který dokáže přečíst tento kód za účelem zajištění bezpečného ověření.

V SQRL klient používá jednosměrnou funkci a jediné hlavní heslo uživatele k dešifrování tajného hlavního klíče. Klíč je generován v kombinaci s názvem webu (včetně názvu domény a volitelně dalšího dílčího identifikátoru[ neznámý termín ] site: "example.com", "example.edu/chessclub") (pod)site-specifický veřejný/soukromý pár klíčů. Používá kryptografický token se soukromým klíčem a dává veřejný klíč webu, aby mohl ověřit zašifrovaná data.

Ochrana proti phishingu

SQRL má některé konstrukční prvky v podobě záměrné ochrany proti phishingu , [1] ale je primárně určen pro autentizaci a ne jako „anti-phishing“, přestože má některé „anti-phishingové“ vlastnosti. [2]

Historie

Zkratku SQRL vymyslel Steve Gibson a protokol píše, diskutuje a analyzuje on sám a komunita nadšenců pro internetovou bezpečnost na diskusní skupině news.grc.com a během svého týdenního podcastu Security Now ! , 2. října 2013. Během dvou dnů od odvysílání podcastu W3C a Google projevily zájem o práci na standardu. [3]

Abstrakt SQRL byl analyzován a bylo zjištěno, že „toto se zdá být zajímavým přístupem, jak z hlediska zamýšlené uživatelské zkušenosti, tak z hlediska kryptografie. Celkově si SQRL v kryptografii vedl dobře.“ [čtyři]

Byla provedena řada implementačních důkazů pro různé platformy, včetně serveru:

• PHP [5]
• Drupal [6]
• C# .NET [7]

A pro klienta:

• Android [8] [9] [10]
• C# .NET [7]
• Java [11]
• Python [12]

Existují různé testovací a ladicí servery:

• https://www.grc.com/sqrl/demo.htm
• https://www.grc.com/sqrl/diag.htm
• https://web.archive.org/web/20150402131033/https://sqrl-test.paragon-es.de/
• https://web.archive.org/web/20150316131413/http://sw.squaltech.com:8080/

Právní aspekty

Steve Gibson uvádí, že SQRL je „otevřené a bezplatné, jak má být“. [13] Zatímco SQRL vyvolalo velkou pozornost autentizačnímu mechanismu založenému na QR kódu, navrhovaný protokol byl patentován ještě dříve a obecně by neměl být zpřístupněn pro použití ve veřejné doméně. [14] Ale Gibson říká: „To, co tito lidé dělají, jak je popsáno v patentu [15], se zásadně liší od toho, jak funguje SQRL, takže by mezi SQRL a jejich patentem nebyl žádný konflikt. Použitý 2D autentizační kód se na první pohled zdá být „podobný“ ... a navenek naprosto stejná řešení. Ale všechny detaily jsou velmi důležité a způsob, jakým SQRL funguje, je v detailech úplně jiný.“ [16]

Poznámky

1. ↑ Gibson, Steve (2014).
2. ↑ „Podrobnosti o obraně a omezeních proti phishingu“ Archivováno 29. června 2017 na Wayback Machine . grc.com . 2013-12-06 .
3. ↑ Zabezpečení hned! #425 SQRL Q&A #176 (Transcript)" Archivováno 19. ledna 2019 na Wayback Machine . 2013-10-09 .
4. ↑ „Analýza zabezpečení a implementace autentizačního schématu SQRL“ Archivováno 2. dubna 2015 na Wayback Machine .
5. ↑ trianglman/sqrl GitHub . Získáno 19. prosince 2015. Archivováno z originálu 11. června 2018. (neurčitý)
6. ↑ Zabezpečené přihlášení pomocí QR | Drupal.org . Datum přístupu: 19. prosince 2015. Archivováno z originálu 22. dubna 2016. (neurčitý)
7. ↑ 1 2 jestin/SqrlNet GitHub . Datum přístupu: 19. prosince 2015. Archivováno z originálu 27. června 2018. (neurčitý)
8. ↑ geir54/android-sqrl GitHub . Získáno 19. prosince 2015. Archivováno z originálu 11. června 2018. (neurčitý)
9. ↑ Archivovaná kopie (odkaz není dostupný) . Získáno 17. března 2015. Archivováno z originálu dne 2. dubna 2015. (neurčitý) 
10. ↑ Archivovaná kopie . Datum přístupu: 19. prosince 2015. Archivováno z originálu 16. února 2015. (neurčitý)
11. ↑ TheBigS/SQRL GitHub (downlink) . Datum přístupu: 19. prosince 2015. Archivováno z originálu 17. března 2015. (neurčitý) 
12. ↑ bushxnyc/sqrl GitHub . Získáno 19. prosince 2015. Archivováno z originálu 11. června 2018. (neurčitý)
13. ↑ „SQRL/Gibson Research“ Archivováno 2. října 2017 na Wayback Machine . grc.com .
14. ↑ „SQRL není ve skutečnosti novinka“ Archivováno 28. října 2017 na Wayback Machine .
15. ↑ Způsob a systém autentizace uživatele pomocí mobilního zařízení US 20100070759 A1 . Datum přístupu: 19. prosince 2015. Archivováno z originálu 23. února 2017. (neurčitý)
16. ↑ „Zabezpečené rychlé a spolehlivé přihlášení“ Archivováno 29. června 2017 na Wayback Machine . grc.com .

Odkazy

• grc.com
• Ghacks.net
• Ilustrovaný průvodce SQL
• Recenze Techrepublic: SQRL: Nová metoda ověřování pomocí QR kódů
• „Autentizace bez hesel implementující SQRL“  – prezentace společnosti Intel od Daniela Holmlunda v roce 2014 „ HTML5 z konference vývojářů“
• www.sqrl.pl Obchod Google Play – test implementace SQRL