| QRL | |
|---|---|
| Tyyppi | Verkkosivuston sisäänkirjautumisen suojaus ja todennus |
| Tekijä | Steve Gibson |
| Kehittäjä | Steve Gibson |
| Käyttöjärjestelmä | Poikkitaso |
| Käyttöliittymäkielet | 56 kieltä |
| Osavaltio | Aktiivisesti |
| Lisenssi | avata |
| Verkkosivusto | grc.com/sqrl/sqrl.htm |
SQRL tai Secure, Quick, Reliable Login (lausutaan "squirrel" /ˈskwɝl/ ) on avoin standardiluonnos turvalliselle verkkosivustolle kirjautumiseen ja todentamiseen . Ohjelmisto käyttää yleensä QR-koodia , joka tarjoaa todennuksen, jossa käyttäjä tunnistetaan anonyymisti sen sijaan, että antaisi käyttäjän kirjautumistunnuksen ja salasanan. Tätä menetelmää pidetään immuunina brute -force salasanoille tai tietovuodoille. Steve Gibson ja hänen yrityksensä Gibson Research Corporation ehdottivat SQRL:ää lokakuussa 2013 tapana yksinkertaistaa todennusprosessia antamatta mitään tietoja kolmannelle osapuolelle.
Protokolla on vastaus pirstoutumisen identiteettiongelmaan . Se parantaa protokollia, kuten oAuth ja OpenID , jotka eivät vaadi kolmatta osapuolta toimimaan välittäjänä eivätkä anna kolmannen osapuolen palvelimelle mitään turvallisuussalaisuuksia (käyttäjätunnusta tai salasanaa). Lisäksi se tarjoaa standardin, jota voidaan käyttää vapaasti yksinkertaistamaan sisäänkirjautumista salasananhallintaohjelmaan, kuten LastPass . Ja mikä tärkeintä, standardi on avoin, joten mikään yritys ei voi hyötyä tämän tekniikan omistamisesta.
Sivustolla käytetty protokolla vaatii kaksi osaa:
SQL:ssä asiakas käyttää yksisuuntaista toimintoa ja käyttäjän yhtä pääsalasanaa salauksen purkamiseen. Avain luodaan yhdessä sivuston nimen kanssa (mukaan lukien verkkotunnus ja valinnaisesti ylimääräinen alitunniste[ tuntematon termi ] sivusto: "example.com", "example.edu/chessclub") (ali)sivustokohtainen julkinen/yksityinen avainpari. Se käyttää salaustunnusta yksityisellä avaimella ja antaa julkisen avaimen sivustolle, jotta se voi tarkistaa salatut tiedot.
SQL:llä on joitain suunnitteluominaisuuksia, kuten tahallinen tietojenkalasteluturva , [1] mutta se on ensisijaisesti tarkoitettu todentamiseen eikä "tietojenkalastelun torjuntaan", vaikka sillä on joitain "tietojenkalastelun vastaisia" ominaisuuksia. [2]
Lyhenteen SQRL loi Steve Gibson, ja protokollan kirjoittavat, keskustelevat ja analysoivat hän itse ja Internet-tietoturvasta kiinnostuneiden yhteisö news.grc.com- uutisryhmässä ja hänen viikoittaisessa podcastissaan Security Now! , 2. lokakuuta 2013. Kahden päivän kuluessa podcastin esittämisestä W3C ja Google ilmaisivat kiinnostuksensa standardin kehittämiseen. [3]
SQRL-tiivistelmä analysoitiin ja havaittiin, että "tämä näyttää olevan mielenkiintoinen lähestymistapa sekä käyttökokemuksen että kryptografian kannalta. Kaiken kaikkiaan SQL on menestynyt hyvin kryptografiassa." [neljä]
Useita toteutustodistuksia on tehty useille alustoille, mukaan lukien palvelin:
Ja asiakkaalle:
Testaus- ja virheenkorjauspalvelimia on useita:
Steve Gibson toteaa, että SQRL on "avoin ja ilmainen niin kuin sen pitäisi olla". [13] Vaikka SQRL herätti paljon huomiota QR-koodipohjaiseen todennusmekanismiin, ehdotettu protokolla patentoitiin jo aikaisemmin, eikä sitä yleensä pitäisi antaa julkiseen käyttöön. [14] Mutta Gibson sanoo: "Se, mitä nämä kaverit tekevät patentissa [15] kuvatulla tavalla, eroaa olennaisesti SQRL:n toiminnasta, joten SQRL:n ja heidän patenttinsa välillä ei olisi ristiriitaa. Ensi silmäyksellä käytetty 2D-tunnistuskoodi näyttää olevan "samanlainen" ... ja ulkoisesti täsmälleen samat ratkaisut. Mutta kaikki yksityiskohdat ovat erittäin tärkeitä, ja tapa, jolla SQRL toimii, on yksityiskohdissa täysin erilainen." [16]