Из Википедии, бесплатной энциклопедии
Перейти к навигации Перейти к поиску
Эта статья посвящена вычислительной технике. Чтобы узнать о других значениях, см. Sqrl .
Безопасный, быстрый и надежный вход
Логотип SQRL
Логотип SQRL
Автор (ы) оригиналаСтив Гибсон
Операционная системаКроссплатформенность
Доступно в56 языков
Список языков
Африкаанс, арабский, армянский, белорусский, болгарский, каталонский, китайский упрощенный, китайский традиционный, хорватский, чешский, датский, голландский, английский, английский, Канада, английский, Великобритания, эсперанто, эстонский, финский, французский, французский, Канада, французский , Квебек, немецкий, греческий, иврит, хинди, венгерский, исландский, индонезийский, ирландский, итальянский, японский, корейский, латышский, литовский, малаялам, норвежский букмал, норвежский нюнорск, персидский, польский, португальский, португальский, бразильский, румынский, русский , Сербский (кириллица), словацкий, словенский, испанский, суахили, Кения, суахили, Танзания, шведский, тагальский, тайский, турецкий, украинский, вьетнамский, валлийский [1]
Типбезопасный вход на сайт и аутентификация
ЛицензияОбщественное достояние [2]
Интернет сайтhttps://www.grc.com/sqrl/sqrl.htm

SQRL (произносится как «белка») [2] или « Безопасный, быстрый, надежный вход» (ранее - « Безопасный вход с QR- кодом» ) - это проект открытого стандарта для безопасного входа на веб- сайт и аутентификации . Программное обеспечение обычно использует ссылку схемы sqrl: //или, необязательно, QR-код , когда пользователь идентифицируется с помощью псевдонима с нулевым разглашением, а не предоставляет идентификатор пользователя и пароль . Считается, что этот метод невосприимчив к взлому пароля или утечке данных . Он перекладывает бремя безопасности от стороны , запрашивающой аутентификацию и ближе к операционной системе реализации того , что возможно на аппаратных средств , а также для пользователя. SQRL был предложен Стивом Гибсоном из Gibson Research Corporation в октябре 2013 года как способ упростить процесс аутентификации.без риска разглашения информации о сделке третьему лицу .

История [ править ]

Акроним SQRL был придуман Стив Гибсон и протокол составлен, обсуждены и проанализированы в глубину, сам по себе и сообществу интернет - безопасности энтузиастов наnews.grc.com Группы новостей и во время своего еженедельного подкаста , безопасности сейчас! 2 октября 2013 г. В течение двух дней после выхода этого подкаста в эфир W3C выразил заинтересованность в работе над стандартом. [3]

Разработчики Google Cloud Platform Ян Мэддокс и Кайл Москетто упомянули SQRL в своем документе «Современная защита паролей для разработчиков систем». [4]

В тезисе о SQRL было проанализировано и обнаружено, что «это кажется интересным подходом как с точки зрения предполагаемого взаимодействия с пользователем, так и с точки зрения лежащей в основе криптографии. SQRL в основном объединяет хорошо зарекомендовавшую себя криптографию новым способом». [5]

Преимущества [ править ]

Протокол является ответом на проблему фрагментации идентичности . Он улучшает такие протоколы, как OAuth и OpenID, поскольку не требует участия третьей стороны в посредничестве транзакции и не предоставляет серверу никаких секретов для защиты, таких как имя пользователя и пароль.

Кроме того, он предоставляет стандарт, который можно свободно использовать для упрощения процессов входа в систему, доступных для приложений диспетчера паролей . Что еще более важно, стандарт открыт, поэтому ни одна компания не может получить выгоду от владения технологией. Согласно веб-сайту Гибсона [2] такая надежная технология должна быть общедоступной, чтобы можно было проверить безопасность и криптографию, а не намеренно ограничивать ее по коммерческим или другим причинам.

Защита от фишинга [ править ]

SQRL имеет некоторые встроенные и преднамеренные средства защиты от фишинга [6], но в основном он предназначен для аутентификации, а не для защиты от фишинга, несмотря на наличие некоторых антифишинговых свойств. [7]

Пример использования [ править ]

Пример SQRL-URL / QR-кода, который можно щелкнуть, коснуться или отсканировать для аутентификации веб-сайта.

Для использования протокола на веб-сайте необходимы два компонента: реализация , которая является частью веб-службы, для которой выполняется аутентификация, которая отображает QR-код или специально созданный URL-адрес в соответствии со спецификациями протокола, и подключаемый модуль браузера или мобильное приложение , которое может считывать этот код для обеспечения безопасной аутентификации.

Клиент SQRL использует односторонние функции и единый главный пароль пользователя для расшифровки секретного главного ключа, из которого он генерирует - в сочетании с доменным именем сайта и, необязательно, дополнительным идентификатором подсайта: например,example.com, или же example.edu/chessclub- пара открытых / закрытых ключей (под) сайта . Он подписывает токены транзакции закрытым ключом и передает открытый ключ сайту, чтобы он мог проверить зашифрованные данные.

Не существует « общих секретов », которые можно было бы раскрыть при взломе сайта, чтобы разрешить атаки на учетные записи на других сайтах. Единственное, что может получить успешный злоумышленник, открытый ключ, будет ограничиваться проверкой подписей, которые используются только на том же сайте. Даже если пользователь разблокирует главный ключ с помощью одного пароля, он никогда не покидает клиента SQRL; отдельные сайты не получают от процесса SQRL никакой информации, которая могла бы использоваться на любом другом сайте.

Реализации SQRL [ править ]

Был сделан ряд проверочных реализаций для различных платформ, в том числе для сервера ( PHP , [8] Drupal , [9] и C # .NET [10] [11] ) и для клиента ( Android , [ 12] [13] [14] C # .Net , [10] Java , [15] и Python [16] ). Также доступны различные серверные сайты для тестирования и отладки. [17] [18]

Правовые аспекты [ править ]

Стив Гибсон заявляет, что SQRL является «открытым и бесплатным, каким оно должно быть», и что решение «не обременено патентами». [2] После того, как SQRL привлекла большое внимание к механизмам аутентификации на основе QR-кода, блоггер Майкл Бейтер заявил, что предлагаемый протокол был запатентован ранее и поэтому не доступен для бесплатного использования. [19] [необходим неосновной источник ] Данный патент (срок действия которого не истекает до 2030 года) был подан и предоставлен испанской компании GMV Soluciones Globales Internet SA (подразделение мадридской технологической и аэрокосмической корпорации GMV Innovating Solutions ) в период с 2008 по 2012 год патентными ведомствами США, Европейского Союза, Испании и Португалии.[20] Гибсон ответил: «То, что эти ребята делают, как описано в этом патенте, полностью отличается от того, как работает SQRL, поэтому не будет конфликта между SQRL и их патентом. На первый взгляд кажется, что все, что использует 2D-код для аутентификации» похожи ... и на первый взгляд все такие решения таковы. Но детали имеют значение, и то, как работает SQRL, полностью отличается в деталях ". [21]

См. Также [ править ]

  • BrowserID
  • Центральная служба аутентификации
  • Информационная карта
  • Легкая идентификация
  • OAuth
  • OpenID Connect
  • Единая точка входа
  • WebID
  • ФИДО Альянс

Ссылки [ править ]

  1. ^ "Переводы SQRL" . CrowdIn.com . Проверено 16 июля 2015 года .
  2. ^ а б в г Гибсон, Стив (2020). «Безопасный быстрый и надежный вход: высоконадежная, всеобъемлющая, простая в использовании замена имен пользователей, паролей, напоминаний, аутентификаторов одноразового кода ... и всего остального» . GRC.com . Гибсон Исследовательская Корпорация . Проверено 7 марта 2021 года .Открытые и бесплатные, какими они должны быть: все методы и технологии компонентов, используемые в этом решении, хорошо известны, хорошо протестированы, хорошо изучены, не обременены патентами и существуют в общественном достоянии. ... Публикацией каждой детали я настоящим освобождаю и отказываюсь от каких-либо прав собственности на любые новые идеи, разработанные и представленные здесь. Таким образом, эта работа становится общественным достоянием.
  3. Гибсон, Стив (9 октября 2013 г.). «SQRL Q&A № 176 (стенограмма)» . Безопасность сейчас ! . Гибсон Исследовательская Корпорация . Проверено 16 октября 2013 г. - через GRC.com.
  4. ^ Мэддокс, Ян; Москетто, Кайл (2019). «Современная защита паролей для разработчиков систем» (PDF) . Cloud.Google.com . Google . Проверено 7 марта 2021 года .
  5. ^ Babioch Кароль (15 мая 2014). Киттель, Томас (ред.). Анализ безопасности и реализация схемы аутентификации SQRL (BSc). Информационная безопасность, факультет информатики, Технический университет Мюнхена . Архивировано из оригинала 5 марта 2016 года . Проверено 18 марта 2015 года .Аннотация на английском языке; Полный текст оригинальной немецкой статьи «Sicherheitsanalyse und Implementierung des Authentifikationsverfahrens SQRL», похоже, недоступен.
  6. ^ Гибсон, Стив (2014). «Революция входа на веб-сайт и аутентификации с помощью SQRL» . Саммит по безопасности DigiCert . Проверено 7 марта 2021 г. - через Vimeo.
  7. Гибсон, Стив (6 декабря 201 г.). «Как SQRL может предотвратить фишинговые атаки» . GRC.com . Гибсон Исследовательская Корпорация . Проверено 7 марта 2021 года .
  8. ^ "trianglman / sqrl" . 9 января 2021 г. - через GitHub.
  9. ^ "Безопасный вход по QR" . Drupal.org . 4 октября 2013 г.
  10. ^ a b "jestin / SqrlNet" . 9 апреля 2020 г. - через GitHub.
  11. ^ "TechLiam / SQRL-For-Dot-Net-Standard" . 1 ноября 2020 г. - через GitHub.
  12. ^ "geir54 / android-sqrl" . 25 января 2021 г. - через GitHub.
  13. Рианна Сильвестр, Пол (25 декабря 2014 г.). «Реализации SQRL на Android, и это работает!» . Технический разговор Пола . Архивировано из оригинального 2 -го апреля 2015 года . Проверено 17 марта 2015 года .
  14. ^ https://play.google.com/store/apps/details?id=net.vrallev.android.sqrl [ мертвая ссылка ]
  15. ^ "TheBigS / SQRL · GitHub" . Заархивировано с оригинала на требует ( помощь ) .|archive-url=|archive-date=
  16. ^ "bushxnyc / sqrl" . 2 сентября 2020 г. - через GitHub.
  17. ^ "Демонстрация безопасного быстрого и надежного входа в систему GRC | SQRL" . www.grc.com .
  18. ^ "GRC | SQRL Безопасная быстрая и надежная диагностика входа в систему" . www.grc.com .
  19. ^ Beiter, Майкл (4 октября 2013). "SQRL Стива Гибсона на самом деле не нова" . Проверено 12 мая 2014 года .
  20. ^ Патент США 8261089B2 , Леон Кобос, Хуан Хесус и Селис де ла Ос, Педро, «Метод и система для аутентификации пользователя с помощью мобильного устройства», опубликованном 4 сентября 2012, назначен GMV Soluciones Globales Internet SA 
  21. ^ Гибсон, Стив (2020). «Другая работа, связанная с входом по QR-коду» . GRC.com . Гибсон Исследовательская Корпорация . Проверено 22 сентября 2015 года .

Внешние ссылки [ править ]

  • Домашняя страница SQRL на GRC.com
  • Бринкманн, Мартин (9 октября 2013 г.). «Как SQRL может улучшить процесс входа на веб-сайт и аутентификации» . GHacks.net . Проверено 7 марта 2021 года .
  • Ламберт, Патрик (2013). «SQRL: новый метод аутентификации с помощью QR-кодов» . Tech Republic . Проверено 7 марта 2021 года .
  • Холмлунд, Дэниел (3 января 2014 г.). «Аутентификация без паролей, реализующая SQRL» . Конференция разработчиков HTML5 2014 . Международная ассоциация разработчиков игр Силиконовой долины . Проверено 8 марта 2021 г. - через YouTube.