*
 
AfterDawn: IT-alan uutiset

SQRL - Viivakoodi, joka poistaa käyttäjänimet ja salasanat maailmasta, jo ensi vuonna?

Kirjoittaja Petteri Pyyny (Google+) @ 6.12.2013 16:16 Kommentteja (5)

SQRL - Viivakoodi, joka poistaa käyttäjänimet ja salasanat maailmasta, jo ensi vuonna? SQRL (Secure, Quick, Reliable Login) on lokakuussa esitelty käyttäjien todennusmekanismi, joka on niin yksinkertainen toteuttaa, että siitä uumoillaan vuoden 2014 suurta mullistusta verkkopalveluiden sisäänkirjautumisessa.
SQRL:n ideana on poistaa kokonaan tarve verkkopalveluiden käyttäjätunnuksille ja salasanoille. Nykyiset salasanojen hallinnointiratkaisut, kuten LastPass ja KeePass2 ovat keskitetyn master-salasanan taakse rakennettuja salasanapankkeja -- mutta siltikin luovat kaikkiin käytettyihin verkkopalveluihin edelleen sekä käyttäjätunnukset että salasanat.

SQRL pohjautuu ajatukseen julkisten ja yksityisten avainten vaihtamisesta ja sen toteutuksessa on pyritty äärimmäiseen yksinkertaisuuteen. Käytännössä verkkopalveluihin sisäänkirjautuminen tapahtuisi seuraavasti:

SQRL-sisäänkirjautuminen

SQRL:ää tukeva verkkosivu näyttää tavallisen sisäänkirjautumiskaavakkeensa vieressä olevaa, 256-bittisellä salauksella muodostettua sivuston domain-nimestä ja sattumanvaraisesta suolasta koostuvaa QR-koodia. QR-koodin klikkaaminen avaa SQRL-sovelluksen, joka kertoo käyttäjälle domainin, johon kirjautumista pyydetään. Käyttäjä hyväksyy domainin ja tämän jälkeen SQRL-sovellus lähettää verkkopalvelulle takaisin käyttäjän omaan master-avaimeen ja verkkopalvelun tunnisteeseen pohjautuvan, sivustokohtaisen yksityisavaimen ja lähettää sen salattuna takaisin palvelulle.

Sekä Google että www-standardeja kehittävä W3C ovat ilmaisseet mielenkiintonsa SQRL:ää kohtaan. Sen eittämättömänä etuna voidaan pitää sitä, että verkkopalvelu ei saa koskaan käyttäjän salasanaa tai salasanaan rinnastettavaa tietoa (esim. sormenjälkeä) haltuunsa, joten turvallisuus keskittyy käyttäjän omaan SQRL-sovellukseen ja sen master-salasanaan.

Myös tapaukset, joissa SQRL-sovelluksen sisältävä laite - kannettava tai kännykkä - varastetaan, on huomioitu, toteuttamalla Identity Lock-mekanismin, jolla master-avain voidaan vaihtaa tuntemalla käyttäjän (vain tässä tapauksessa käytettävä) Identity Unlock -avaimen.

SQRL:n kuvin havainnollistettu toimintatapa esitellään täällä.

Edellinen Seuraava  

5 kommenttia

17.12.2013 13:20

Ihan hyvä juttu, kunhan joku vielä keksii sinun kirjautumisen arvoisen palvelun.


Helpottaa varmasti..

Viestiä on muokattu sen lähettämisen jälkeen. Viestiä on muokattu viimeksi 7.12.2013 @ 13:20

Hey guys, I am back! Lets get this started!
Find me on the: http://freedome.f-secure.com/vip database .

28.12.2013 17:30

"Poistaa käyttäjänimet ja salasanat maailmasta" Ei periaatteessa kyllä pidä paikkaansa, sillä mikäli oikein käsitin, tuo ohjelma vaatii itsessään salasanan.


AMD FX-6300 @4,4GHz/Asus M5A99X EVO R2.0/Ram: 10GB DDR3 /Magicool DIY watercooling /Asus GTX650 Direct CU 1GB /Silverstone 500W Strider plus modular /Creative Sound Blaster X-Fi Xtreme Audio 7.1 SB1040 /Intel 330 120Gb SSD + SG Barracuda 7200.10 250Gb + SG Momentus 5400.6 500Gb + WD 5400RPM 250Gb /Fractal Design ARC XL /Samsung 940BF & Syncmaster TA350 & Eizo Flexscan S1910/Samsung Bluray Combo SATA 12X /Razer Lycosa /Razer Carcharias & Creative Desktop theater 5.1 DTT2500 Digital /Razer Naga /Win 8.1 Pro 64

38.12.2013 20:19

Mitenkä on tilanne jos joku saa käsiinsä jonkun toisen tietokonella olevat yksityiset avaimet joilla sivusto aukeaa. Sillähän sitten aukaisee kaikki sivustot joissa noita avaimia on käytetty.

48.12.2013 23:08

Lainaus, alkuperäisen viestin kirjoitti Lumikki:
Mitenkä on tilanne jos joku saa käsiinsä jonkun toisen tietokonella olevat yksityiset avaimet joilla sivusto aukeaa. Sillähän sitten aukaisee kaikki sivustot joissa noita avaimia on käytetty.
Ei tuo juuri eroa siitä, että pääsee käsiksi sähköpostitiliin. Tällöinkin voi resetoida käytännössä kaikkien palveluiden salasanat.

510.12.2013 10:28

Lainaus, alkuperäisen viestin kirjoitti Lumikki:
Mitenkä on tilanne jos joku saa käsiinsä jonkun toisen tietokonella olevat yksityiset avaimet joilla sivusto aukeaa. Sillähän sitten aukaisee kaikki sivustot joissa noita avaimia on käytetty.
Pääpointti onkin se, että verkkosivuille ei lähetetä enää salasanoja lainkaan, jolloin tietoturva keskittyy käyttäjän omille laitteille/omaan sovellukseen. Tällöin vältytään näiltä "korkattiin Adoben saitti ja saatiin N miljoonaa tunnusta"-ongelmilta, kun yksinkertaisesti sivuilla ei ole enää järkevässä muodossa olevaa dataa käyttäjistä.

Tämän uutisen kommentointi ei ole enää mahdollista.

Uutisarkisto