Перейти до вмісту

SQRL

Матеріал з Вікіпедії — вільної енциклопедії.
Secure, Quick, Reliable Login
Офіційний SQRL логотип
ТипЗахист входу на вебсайт і автентифікація
АвторСтів Гібсон
РозробникSteve Gibsond Редагувати інформацію у Вікіданих
Операційна системаКрос-платформний
Доступні мови56 мов
Стан розробкиАктивний
ЛіцензіяВідкрита
Вебсайтgrc.com/sqrl/sqrl.htm

SQRL або Secure, Quick, Reliable Login (вимовляється з англійської як «білка» / skwɝl / ) — це проект відкритого стандарту для безпечного входу на вебсайти і автентифікації. Програмне забезпечення зазвичай використовує QR-код, який забезпечує перевірку автентичності, де користувач ідентифікується анонімно замість того, щоб надавати логін і пароль користувача. Цей метод вважається несприйнятливим до перебору паролів або витоку даних. SQRL запропонував Стів Гібсон і його компанія Gibson Research Corporation в жовтні 2013 року як спосіб спростити процес перевірки автентичності, без надання будь-яких відомостей третій стороні.

Ідея

[ред. | ред. код]

Протокол є відповіддю на задачу ідентичності фрагментації. Він покращує протоколи, такі як oAuth і OpenID, які не вимагають від третьої сторони виступати в ролі посередника і не надають серверу третьої сторони ніяких секретів захисту (ім'я користувача або пароль). Крім того, він забезпечує стандарт, який може бути вільно використаний для спрощення входу в менеджер паролів, наприклад LastPass[en]. І, що ще більш важливо, стандарт є відкритим, тому жодна компанія не може мати вигоди з володіння цією технологією.

Приклад використання

[ред. | ред. код]
Приклад QR-коду, який створений для SQRL, може бути відсканований або перевірений на сайті на справжність.

Для протоколу, що використовується на сайті, необхідні дві складові:

У SQRL клієнт використовує односторонню функцію і єдиний майстер-пароль користувача для розшифрування секретного майстер-ключа. Ключ генерується в поєднанні з назвою сайту (включаючи доменне ім'я і, за бажанням, додатковий суб-ідентифікатор сайту: «example.com», «example.edu/chessclub») (суб) сайт-специфічну пару відкритий/приватний ключ. Він використовує криптографічний токен з закритим ключем і дає загальний ключ до сайту, так, що він може перевірити зашифровані дані.

Фішинг-захист

[ред. | ред. код]

SQRL має деякі конструктивні особливості у вигляді навмисного фішинг-захисту[1], але вона в основному призначена для перевірки автентичності, а не як «антифішинг», незважаючи на те, що має деякі «антифішинг» властивості.[2]

Історія

[ред. | ред. код]

Абревіатуру SQRL придумав Стів Гібсон, а протокол складений, обговорений та проаналізований ним самим і спільнотою ентузіастів Інтернет-безпеки на news.grc.com в групі новин і під час його щотижневого подкасту, Security Now![en], 2 жовтня 2013 року. Протягом двох днів після виходу в ефір цього подкасту, консорціум W3C і Google висловили зацікавленість в роботі над стандартом.[3]

Тези SQRL були проаналізовані і було виявлено, що «це, здається, цікавий підхід, як в плані передбачуваної роботи користувача, так і з точки зору криптографії. В цілому SQRL добре зарекомендував себе в криптографії».[4]

Ряд доказів принципової схеми реалізації був зроблений для різноманітних платформ, в тому числі і для сервера:

І для клієнта:

Існують різні сервери тестування і налагодження:

Правові аспекти

[ред. | ред. код]

Стів Гібсон заявляє, що SQRL є «відкритим і безкоштовним, як це повинно бути».[13] У той час як SQRL викликав велику увагу до механізму автентифікації на основі QR-коду, запропонований протокол був запатентований ще раніше і, як правило, не повинен бути доступний для використання у вільному доступі.[14] Але Гібсон говорить: «Що ці хлопці, які роблять, як описано в патенті[15] в корені відрізняється від способів роботи SQRL, так що не було б ніяких конфліктів між SQRL і їх патентом. На перший погляд, використовувані 2D коди для перевірки справжності начебто „схожі“ … і зовні точно такі ж рішення. Але всі деталі дуже важливі, і способи роботи SQRL повністю відрізняються в деталях.»[16]

Див. також

[ред. | ред. код]

Примітки

[ред. | ред. код]
  1. Gibson, Steve (2014).
  2. «Details about phishing defenses and limitations» [Архівовано 29 червня 2017 у Wayback Machine.]. grc.com. 2013-12-06.
  3. Security Now! #425 SQRL Q&A #176 (Transcript). 9 жовтня 2013. Архів оригіналу за 19 січня 2019. Процитовано 16 жовтня 2013.
  4. Security Analysis and Implementation of the SQRL Authentication Scheme. Архів оригіналу за 2 квітня 2015. Процитовано 18 березня 2015. [Архівовано 2015-04-02 у Wayback Machine.]
  5. trianglman / sqrl · GitHub. Архів оригіналу за 11 червня 2018. Процитовано 27 жовтня 2017.
  6. Secure QR Login | Drupal.org. Архів оригіналу за 22 квітня 2016. Процитовано 27 жовтня 2017.
  7. а б jestin / SqrlNet · GitHub. Архів оригіналу за 27 червня 2018. Процитовано 27 жовтня 2017.
  8. geir54 / android-sqrl · GitHub. Архів оригіналу за 11 червня 2018. Процитовано 27 жовтня 2017.
  9. https: // www. paulstechtalk.com/2014/12/sqrl-implementations-on-android-and-it-works/
  10. https://play.google.com/store/apps/details?id=net.vrallev .android.sqrl
  11. TheBigS / SQRL · GitHub. Архів оригіналу за 17 березня 2015. Процитовано 27 жовтня 2017.
  12. bushxnyc / sqrl · GitHub. Архів оригіналу за 11 червня 2018. Процитовано 27 жовтня 2017.
  13. «SQRL / Gibson Research» [Архівовано 2 жовтня 2017 у Wayback Machine.]. grc.com.
  14. «SQRL is not really new» [Архівовано 28 жовтня 2017 у Wayback Machine.].
  15. Method and system for authenticating a user by means of a mobile device US 20100070759 A1. Архів оригіналу за 23 лютого 2017. Процитовано 27 жовтня 2017.
  16. Secure Quick Reliable Login " [Архівовано 29 червня 2017 у Wayback Machine.]. Grc.com.

Джерела

[ред. | ред. код]

Посилання

[ред. | ред. код]
Отримано з https://uk.wikipedia.org/w/index.php?title=SQRL&oldid=44025960