SQRL - Viivakoodi, joka poistaa käyttäjänimet ja salasanat maailmasta, jo ensi vuonna?

Petteri Pyyny

6. December, 2013 16:16 5 kommenttia

SQRL (Secure, Quick, Reliable Login) on lokakuussa esitelty käyttäjien todennusmekanismi, joka on niin yksinkertainen toteuttaa, että siitä uumoillaan vuoden 2014 suurta mullistusta verkkopalveluiden sisäänkirjautumisessa.

SQRL:n ideana on poistaa kokonaan tarve verkkopalveluiden käyttäjätunnuksille ja salasanoille. Nykyiset salasanojen hallinnointiratkaisut, kuten LastPass ja KeePass2 ovat keskitetyn master-salasanan taakse rakennettuja salasanapankkeja -- mutta siltikin luovat kaikkiin käytettyihin verkkopalveluihin edelleen sekä käyttäjätunnukset että salasanat.

SQRL pohjautuu ajatukseen julkisten ja yksityisten avainten vaihtamisesta ja sen toteutuksessa on pyritty äärimmäiseen yksinkertaisuuteen. Käytännössä verkkopalveluihin sisäänkirjautuminen tapahtuisi seuraavasti:

SQRL-sisäänkirjautuminen

SQRL:ää tukeva verkkosivu näyttää tavallisen sisäänkirjautumiskaavakkeensa vieressä olevaa, 256-bittisellä salauksella muodostettua sivuston domain-nimestä ja sattumanvaraisesta suolasta koostuvaa QR-koodia. QR-koodin klikkaaminen avaa SQRL-sovelluksen, joka kertoo käyttäjälle domainin, johon kirjautumista pyydetään. Käyttäjä hyväksyy domainin ja tämän jälkeen SQRL-sovellus lähettää verkkopalvelulle takaisin käyttäjän omaan master-avaimeen ja verkkopalvelun tunnisteeseen pohjautuvan, sivustokohtaisen yksityisavaimen ja lähettää sen salattuna takaisin palvelulle.

Sekä Google että www-standardeja kehittävä W3C ovat ilmaisseet mielenkiintonsa SQRL:ää kohtaan. Sen eittämättömänä etuna voidaan pitää sitä, että verkkopalvelu ei saa koskaan käyttäjän salasanaa tai salasanaan rinnastettavaa tietoa (esim. sormenjälkeä) haltuunsa, joten turvallisuus keskittyy käyttäjän omaan SQRL-sovellukseen ja sen master-salasanaan.

Myös tapaukset, joissa SQRL-sovelluksen sisältävä laite - kannettava tai kännykkä - varastetaan, on huomioitu, toteuttamalla Identity Lock-mekanismin, jolla master-avain voidaan vaihtaa tuntemalla käyttäjän (vain tässä tapauksessa käytettävä) Identity Unlock -avaimen.

SQRL:n kuvin havainnollistettu toimintatapa esitellään täällä.

5 KOMMENTTIA

RingLeaderTM7. December, 2013 13:201/5

Ihan hyvä juttu, kunhan joku vielä keksii sinun kirjautumisen arvoisen palvelun.

Helpottaa varmasti..

Boss938. December, 2013 17:302/5

"Poistaa käyttäjänimet ja salasanat maailmasta" Ei periaatteessa kyllä pidä paikkaansa, sillä mikäli oikein käsitin, tuo ohjelma vaatii itsessään salasanan.

Lumikki8. December, 2013 20:193/5

Mitenkä on tilanne jos joku saa käsiinsä jonkun toisen tietokonella olevat yksityiset avaimet joilla sivusto aukeaa. Sillähän sitten aukaisee kaikki sivustot joissa noita avaimia on käytetty.

Grina8. December, 2013 23:084/5

Lainaus, alkuperäisen viestin kirjoitti Lumikki:
Mitenkä on tilanne jos joku saa käsiinsä jonkun toisen tietokonella olevat yksityiset avaimet joilla sivusto aukeaa. Sillähän sitten aukaisee kaikki sivustot joissa noita avaimia on käytetty.

Ei tuo juuri eroa siitä, että pääsee käsiksi sähköpostitiliin. Tällöinkin voi resetoida käytännössä kaikkien palveluiden salasanat.

dRD10. December, 2013 10:285/5

Lainaus, alkuperäisen viestin kirjoitti Lumikki:
Mitenkä on tilanne jos joku saa käsiinsä jonkun toisen tietokonella olevat yksityiset avaimet joilla sivusto aukeaa. Sillähän sitten aukaisee kaikki sivustot joissa noita avaimia on käytetty.

Pääpointti onkin se, että verkkosivuille ei lähetetä enää salasanoja lainkaan, jolloin tietoturva keskittyy käyttäjän omille laitteille/omaan sovellukseen. Tällöin vältytään näiltä "korkattiin Adoben saitti ja saatiin N miljoonaa tunnusta"-ongelmilta, kun yksinkertaisesti sivuilla ei ole enää järkevässä muodossa olevaa dataa käyttäjistä.

5 KOMMENTTIA

TÄMÄN UUTISEN KOMMENTOINTI ON PÄÄTTYNYT