*
 
AfterDawn: IT-alan uutiset

SQRL - Viivakoodi, joka poistaa käyttäjänimet ja salasanat maailmasta, jo ensi vuonna?

Kirjoittaja Petteri Pyyny (Google+) @ 6.12.2013 16:16 Kommentteja (5)

SQRL - Viivakoodi, joka poistaa käyttäjänimet ja salasanat maailmasta, jo ensi vuonna? SQRL (Secure, Quick, Reliable Login) on lokakuussa esitelty käyttäjien todennusmekanismi, joka on niin yksinkertainen toteuttaa, että siitä uumoillaan vuoden 2014 suurta mullistusta verkkopalveluiden sisäänkirjautumisessa.
SQRL:n ideana on poistaa kokonaan tarve verkkopalveluiden käyttäjätunnuksille ja salasanoille. Nykyiset salasanojen hallinnointiratkaisut, kuten LastPass ja KeePass2 ovat keskitetyn master-salasanan taakse rakennettuja salasanapankkeja -- mutta siltikin luovat kaikkiin käytettyihin verkkopalveluihin edelleen sekä käyttäjätunnukset että salasanat.

SQRL pohjautuu ajatukseen julkisten ja yksityisten avainten vaihtamisesta ja sen toteutuksessa on pyritty äärimmäiseen yksinkertaisuuteen. Käytännössä verkkopalveluihin sisäänkirjautuminen tapahtuisi seuraavasti:

SQRL-sisäänkirjautuminen

SQRL:ää tukeva verkkosivu näyttää tavallisen sisäänkirjautumiskaavakkeensa vieressä olevaa, 256-bittisellä salauksella muodostettua sivuston domain-nimestä ja sattumanvaraisesta suolasta koostuvaa QR-koodia. QR-koodin klikkaaminen avaa SQRL-sovelluksen, joka kertoo käyttäjälle domainin, johon kirjautumista pyydetään. Käyttäjä hyväksyy domainin ja tämän jälkeen SQRL-sovellus lähettää verkkopalvelulle takaisin käyttäjän omaan master-avaimeen ja verkkopalvelun tunnisteeseen pohjautuvan, sivustokohtaisen yksityisavaimen ja lähettää sen salattuna takaisin palvelulle.

Sekä Google että www-standardeja kehittävä W3C ovat ilmaisseet mielenkiintonsa SQRL:ää kohtaan. Sen eittämättömänä etuna voidaan pitää sitä, että verkkopalvelu ei saa koskaan käyttäjän salasanaa tai salasanaan rinnastettavaa tietoa (esim. sormenjälkeä) haltuunsa, joten turvallisuus keskittyy käyttäjän omaan SQRL-sovellukseen ja sen master-salasanaan.

Myös tapaukset, joissa SQRL-sovelluksen sisältävä laite - kannettava tai kännykkä - varastetaan, on huomioitu, toteuttamalla Identity Lock-mekanismin, jolla master-avain voidaan vaihtaa tuntemalla käyttäjän (vain tässä tapauksessa käytettävä) Identity Unlock -avaimen.

SQRL:n kuvin havainnollistettu toimintatapa esitellään täällä.

Edellinen Seuraava  

5 kommenttia

17.12.2013 13:20

Ihan hyvä juttu, kunhan joku vielä keksii sinun kirjautumisen arvoisen palvelun.


Helpottaa varmasti..

Viestiä on muokattu sen lähettämisen jälkeen. Viestiä on muokattu viimeksi 7.12.2013 @ 13:20

Hey guys, I am back! Lets get this started!
Find me on the: http://freedome.f-secure.com/vip database .

28.12.2013 17:30

"Poistaa käyttäjänimet ja salasanat maailmasta" Ei periaatteessa kyllä pidä paikkaansa, sillä mikäli oikein käsitin, tuo ohjelma vaatii itsessään salasanan.


AMD FX-6300 @4,4GHz/Asus M5A99X EVO R2.0/Ram: 10GB DDR3 /Magicool DIY watercooling /Asus GTX650 Direct CU 1GB /Silverstone 500W Strider plus modular /Creative Sound Blaster X-Fi Xtreme Audio 7.1 SB1040 /Intel 330 120Gb SSD + SG Barracuda 7200.10 250Gb + SG Momentus 5400.6 500Gb + WD 5400RPM 250Gb /Fractal Design ARC XL /Samsung 940BF & Syncmaster TA350 & Eizo Flexscan S1910/Samsung Bluray Combo SATA 12X /Razer Lycosa /Razer Carcharias & Creative Desktop theater 5.1 DTT2500 Digital /Razer Naga /Win 8.1 Pro 64

38.12.2013 20:19

Mitenkä on tilanne jos joku saa käsiinsä jonkun toisen tietokonella olevat yksityiset avaimet joilla sivusto aukeaa. Sillähän sitten aukaisee kaikki sivustot joissa noita avaimia on käytetty.

48.12.2013 23:08

Lainaus, alkuperäisen viestin kirjoitti Lumikki:
Mitenkä on tilanne jos joku saa käsiinsä jonkun toisen tietokonella olevat yksityiset avaimet joilla sivusto aukeaa. Sillähän sitten aukaisee kaikki sivustot joissa noita avaimia on käytetty.
Ei tuo juuri eroa siitä, että pääsee käsiksi sähköpostitiliin. Tällöinkin voi resetoida käytännössä kaikkien palveluiden salasanat.

510.12.2013 10:28

Lainaus, alkuperäisen viestin kirjoitti Lumikki:
Mitenkä on tilanne jos joku saa käsiinsä jonkun toisen tietokonella olevat yksityiset avaimet joilla sivusto aukeaa. Sillähän sitten aukaisee kaikki sivustot joissa noita avaimia on käytetty.
Pääpointti onkin se, että verkkosivuille ei lähetetä enää salasanoja lainkaan, jolloin tietoturva keskittyy käyttäjän omille laitteille/omaan sovellukseen. Tällöin vältytään näiltä "korkattiin Adoben saitti ja saatiin N miljoonaa tunnusta"-ongelmilta, kun yksinkertaisesti sivuilla ei ole enää järkevässä muodossa olevaa dataa käyttäjistä.

Tämän uutisen kommentointi ei ole enää mahdollista.

Tuoreimmat uutiset

Itsestään ajavista autoista älykaupunkiin – Nvidian uusi Metropolis-alusta kerää uusia asiakkaita Itsestään ajavista autoista älykaupunkiin – Nvidian uusi Metropolis-alusta kerää uusia asiakkaita (26.9.2017 11:57)
Nvidia on ratsastanut tekoälyteknologioiden kehityksen kärjessä jo useamman vuoden ajan. Näkyvin esimerkki tekoälyn ja koneoppimisen saavutuksista on autojen itsenäinen ajaminen, mutta liikenteestä ....
Snapchatiin taas uusia kikkoja – Tällaisia kuvia saat uusilla taivasfilttereillä Snapchatiin taas uusia kikkoja – Tällaisia kuvia saat uusilla taivasfilttereillä (26.9.2017 10:45)
Laajennetun todellisuuden mahdollisuuksia ehkä kaikkein rohkeimmin ja kattavimmin on lähtenyt kokeilemaan Snap, jonka Snapchat-sovelluksella otettuja kuvia on voinut ehostaa erilaisilla kasvofilttereille ....
Apple aloitti seurannan – Kerää selaustietoja Safarin käyttäjistä Apple aloitti seurannan – Kerää selaustietoja Safarin käyttäjistä (26.9.2017 10:14)
Apple on lisännyt Safari-selaimeensa uusia tietoturvaominaisuuksia, jotka suojaavat käyttäjiä mainostajien tiedonkeruulta. Samaan aikaan Apple on itse alkanut kerätä tietoa käyttäjien selaamisesta. ....
WhatsAppin toiminta estettiin – Kiina hyökkäsi pikaviestipalvelua vastaan WhatsAppin toiminta estettiin – Kiina hyökkäsi pikaviestipalvelua vastaan (26.9.2017 09:56)
Kiina on estänyt WhatsApp-pikaviestimen toiminnan maassa, kertoo The New York Times. Estotoimenpiteiden arvellaan liittyvän tavalla tai toisella kuukauden päästä järjestettäviin Kiinan kommunistisen ....
Nyt ne on julkaistu – Intelin 8. sukupolven Core-työpöytäsuorittimet tulevat saataville Nyt ne on julkaistu – Intelin 8. sukupolven Core-työpöytäsuorittimet tulevat saataville (25.9.2017 15:02)
Intel on vihdoin esitellyt työpöytäkäyttöön tarkoitetut kahdeksannen sukupolven Core-suorittimet. Piirijätti esitteli ensimmäiset 8. sukupolven piirit jo elokuun lopulla, mutta tuolloin oli ....

Uutisarkisto