Тип | Захист входу на вебсайт і автентифікація |
---|---|
Автор | Стів Гібсон |
Розробник | Steve Gibsond |
Операційна система | Крос-платформний |
Доступні мови | 56 мов |
Стан розробки | Активний |
Ліцензія | Відкрита |
Вебсайт | grc.com/sqrl/sqrl.htm |
SQRL або Secure, Quick, Reliable Login (вимовляється з англійської як «білка» / skwɝl / ) — це проект відкритого стандарту для безпечного входу на вебсайти і автентифікації. Програмне забезпечення зазвичай використовує QR-код, який забезпечує перевірку автентичності, де користувач ідентифікується анонімно замість того, щоб надавати логін і пароль користувача. Цей метод вважається несприйнятливим до перебору паролів або витоку даних. SQRL запропонував Стів Гібсон і його компанія Gibson Research Corporation в жовтні 2013 року як спосіб спростити процес перевірки автентичності, без надання будь-яких відомостей третій стороні.
Протокол є відповіддю на задачу ідентичності фрагментації. Він покращує протоколи, такі як oAuth і OpenID, які не вимагають від третьої сторони виступати в ролі посередника і не надають серверу третьої сторони ніяких секретів захисту (ім'я користувача або пароль). Крім того, він забезпечує стандарт, який може бути вільно використаний для спрощення входу в менеджер паролів, наприклад LastPass[en]. І, що ще більш важливо, стандарт є відкритим, тому жодна компанія не може мати вигоди з володіння цією технологією.
Для протоколу, що використовується на сайті, необхідні дві складові:
У SQRL клієнт використовує односторонню функцію і єдиний майстер-пароль користувача для розшифрування секретного майстер-ключа. Ключ генерується в поєднанні з назвою сайту (включаючи доменне ім'я і, за бажанням, додатковий суб-ідентифікатор сайту: «example.com», «example.edu/chessclub») (суб) сайт-специфічну пару відкритий/приватний ключ. Він використовує криптографічний токен з закритим ключем і дає загальний ключ до сайту, так, що він може перевірити зашифровані дані.
SQRL має деякі конструктивні особливості у вигляді навмисного фішинг-захисту[1], але вона в основному призначена для перевірки автентичності, а не як «антифішинг», незважаючи на те, що має деякі «антифішинг» властивості.[2]
Абревіатуру SQRL придумав Стів Гібсон, а протокол складений, обговорений та проаналізований ним самим і спільнотою ентузіастів Інтернет-безпеки на news.grc.com в групі новин і під час його щотижневого подкасту, Security Now![en], 2 жовтня 2013 року. Протягом двох днів після виходу в ефір цього подкасту, консорціум W3C і Google висловили зацікавленість в роботі над стандартом.[3]
Тези SQRL були проаналізовані і було виявлено, що «це, здається, цікавий підхід, як в плані передбачуваної роботи користувача, так і з точки зору криптографії. В цілому SQRL добре зарекомендував себе в криптографії».[4]
Ряд доказів принципової схеми реалізації був зроблений для різноманітних платформ, в тому числі і для сервера:
І для клієнта:
Існують різні сервери тестування і налагодження:
Стів Гібсон заявляє, що SQRL є «відкритим і безкоштовним, як це повинно бути».[13] У той час як SQRL викликав велику увагу до механізму автентифікації на основі QR-коду, запропонований протокол був запатентований ще раніше і, як правило, не повинен бути доступний для використання у вільному доступі.[14] Але Гібсон говорить: «Що ці хлопці, які роблять, як описано в патенті[15] в корені відрізняється від способів роботи SQRL, так що не було б ніяких конфліктів між SQRL і їх патентом. На перший погляд, використовувані 2D коди для перевірки справжності начебто „схожі“ … і зовні точно такі ж рішення. Але всі деталі дуже важливі, і способи роботи SQRL повністю відрізняються в деталях.»[16]