| SQL | |
|---|---|
| Tip de | Protecție și autentificare pentru autentificare pe site |
| Autor | Steve Gibson |
| Dezvoltator | Steve Gibson |
| Sistem de operare | Platformă transversală |
| Limbi de interfață | 56 de limbi |
| Stat | Activ |
| Licență | deschis |
| Site-ul web | grc.com/sqrl/sqrl.htm |
SQRL sau Secure, Quick, Reliable Login (pronunțat „veveriță” /ˈskwɝl/ ) este o versiune standard deschisă pentru autentificarea și autentificarea securizată a site-ului web . Software-ul folosește de obicei un cod QR , care oferă autentificare în cazul în care utilizatorul este identificat anonim, în loc să furnizeze numele de utilizator și parola. Această metodă este considerată imună la parolele cu forță brută sau la scurgerile de date. SQRL propus de Steve Gibson și Gibson Research Corporation, în octombrie 2013, ca o modalitate de a simplifica procesul de autentificare fără a furniza detalii unei terțe părți.
Protocolul este răspunsul la problema identității fragmentării . Îmbunătățește protocoale precum oAuth și OpenID care nu necesită ca o terță parte să acționeze ca intermediar și nu oferă serverului terț niciun secret de securitate (nume de utilizator sau parolă). În plus, oferă un standard care poate fi utilizat în mod liber pentru a simplifica procesul de conectare la un manager de parole precum LastPass . Și, mai important, standardul este deschis, așa că nicio companie nu poate beneficia de pe urma deținerii acestei tehnologii.
Protocolul utilizat pe site necesită două componente:
În SQRL, clientul folosește o funcție unidirecțională și parola principală unică a utilizatorului pentru a decripta cheia principală secretă. Cheia este generată în combinație cu numele site-ului (inclusiv numele domeniului și, opțional, un sub-identificator suplimentar[ termen necunoscut ] site: „example.com”, „example.edu/chessclub”) pereche de chei publică/privată (sub)specifică pentru site. Folosește un token criptografic cu o cheie privată și oferă cheia publică site-ului, astfel încât acesta să poată verifica datele criptate.
SQRL are unele caracteristici de design sub formă de protecție intenționată împotriva phishingului , [1] dar este destinat în primul rând autentificării și nu ca „anti-phishing”, în ciuda faptului că are unele proprietăți „anti-phishing”. [2]
Acronimul SQRL a fost inventat de Steve Gibson, iar protocolul este scris, discutat și analizat de el însuși și de comunitatea pasionaților de securitate pe Internet pe grupul de știri news.grc.com și în timpul podcastului său săptămânal , Security Now! , 2 octombrie 2013. În două zile de la difuzarea podcastului, W3C și Google și -au exprimat interesul de a lucra la un standard. [3]
Rezumatul SQRL a fost analizat și a constatat că „aceasta pare a fi o abordare interesantă, atât în ceea ce privește experiența dorită a utilizatorului, cât și criptografia. În general, SQRL a funcționat bine în criptografie.” [patru]
Au fost făcute o serie de dovezi de implementare pentru o varietate de platforme, inclusiv pentru server:
Iar pentru client:
Există diverse servere de testare și depanare:
Steve Gibson afirmă că SQRL este „deschis și gratuit așa cum ar trebui să fie”. [13] În timp ce SQRL a generat multă atenție pentru mecanismul de autentificare bazat pe coduri QR, protocolul propus a fost brevetat chiar mai devreme și, în general, nu ar trebui să fie pus la dispoziție pentru utilizare în domeniul public. [14] Dar Gibson spune: „Ceea ce fac acești tipi așa cum este descris în brevet [15] este fundamental diferit de modul în care funcționează SQRL, așa că nu ar exista niciun conflict între SQRL și brevetul lor. La prima vedere, codul de autentificare 2D folosit pare a fi „similar”... și în exterior exact aceleași soluții. Dar toate detaliile sunt foarte importante, iar modul în care funcționează SQRL este complet diferit în detalii.” [16]