SQRL

Материал из Википедии — свободной энциклопедии
Перейти к навигации Перейти к поиску
SQRL
Логотип программы SQRL
Тип Защита входа на веб-сайт и аутентификация
Автор Стив Гибсон
Разработчик Steve Gibson[d]
Операционная система Кросс-платформенный
Языки интерфейса 56 языков
Состояние Активно
Лицензия Открытая
Сайт grc.com/sqrl/sqrl.htm

SQRL или Secure, Quick, Reliable Login (произносится как «squirrel» /ˈskwɝl/) — это проект открытого стандарта для безопасного входа на веб-сайт и аутентификации. Программное обеспечение обычно использует QR-код, который обеспечивает проверку подлинности, где пользователь идентифицируется анонимно вместо того, чтобы предоставлять логин и пароль пользователя. Этот метод считается невосприимчивым к перебору паролей или утечки данных. SQRL предложил Стив Гибсон[en] и его компания Gibson Research Corporation в октябре 2013 года как способ упростить процесс проверки подлинности, без предоставления каких-либо сведений третьей стороне.

Идея[править | править код]

Протокол является ответом к задаче идентичности фрагментации. Он улучшает протоколы, такие как oAuth и OpenID, которые не требуют от третьей стороны выступать в роли посредника и не дают серверу третьей стороны никаких секретов защиты (имя пользователя или пароль). Кроме того, он обеспечивает стандарт, который может быть свободно использован для упрощения процесса входа в менеджер паролей, например LastPass. И, что ещё более важно, стандарт является открытым, поэтому ни одна компания не может извлечь выгоду из обладания этой технологией.

Пример использования[править | править код]

Пример QR-кода, который создан для SQRL, может быть отсканирован или проверен на сайте на подлинность.

Для протокола, используемого на сайте, необходимы две составляющие:

В SQRL клиент использует одностороннюю функцию и единый мастер-пароль пользователя для расшифровки секретного мастер-ключа. Ключ генерируется в сочетании с названием сайта (включая доменное имя и, по желанию, дополнительный суб-идентификатор[неизвестный термин] сайта: «example.com», «example.edu/chessclub») (суб-)сайт-специфическую пару публичный/приватный ключ. Он использует криптографический токен с закрытым ключом и дает общий ключ к сайту, так, что он может проверить зашифрованные данные.

Фишинг-защита[править | править код]

SQRL имеет некоторые конструктивные особенности в виде преднамеренной фишинг-защиты,[1] но она в основном предназначена для проверки подлинности, а не как «антифишинг», несмотря на то, что имеет некоторые «антифишинг» свойства.[2]

История[править | править код]

Аббревиатуру SQRL придумал Стив Гибсон, а протокол составлен, обсуждён и проанализирован им самим и сообществом Интернет-безопасности энтузиастов на news.grc.com в группе новостей и во время его еженедельного подкаста, Security Now!, 2 октября 2013 года. В течение двух дней после выхода в эфир этого подкаста, консорциум W3C и Google выразили заинтересованность в работе над стандартом.[3]

Тезисы SQRL были проанализированы и обнаружили, что «это, кажется, интересный подход, как в плане предполагаемой работы пользователя, так и с точки зрения криптографии. В целом SQRL хорошо зарекомендовал себя в криптографии».[4]

Ряд доказательств принципиальной схемы реализации были сделаны для разнообразных платформ, в том числе и для сервера:

И для клиента:

Существуют различные серверы тестирования и отладки:

Правовые аспекты[править | править код]

Стив Гибсон заявляет, что SQRL является «открытым и бесплатным, как это должно быть».[13] В то время как SQRL вызвал большое внимание к механизму аутентификации на основе QR-кода, предложенный протокол был запатентован ещё раньше и, как правило, не должен быть доступен для использования в свободном доступе.[14] Но Гибсон говорит: «Что эти ребята которые делают, как описано в патенте[15] в корне отличается от способов работы SQRL, так что не было бы никаких конфликтов между SQRL и их патентом. На первый взгляд, используемый 2D код для проверки подлинности вроде бы „похожие“… и внешне точно такие же решения. Но все детали очень важны, и способы работы SQRL полностью отличаются в деталях.»[16]

Примечания[править | править код]

Ссылки[править | править код]