AfterDawn: IT-alan uutiset

SQRL - Viivakoodi, joka poistaa käyttäjänimet ja salasanat maailmasta, jo ensi vuonna?

Kirjoittaja Petteri Pyyny (Google+) @ 6.12.2013 16:16 Kommentteja (5)

SQRL - Viivakoodi, joka poistaa käyttäjänimet ja salasanat maailmasta, jo ensi vuonna? SQRL (Secure, Quick, Reliable Login) on lokakuussa esitelty käyttäjien todennusmekanismi, joka on niin yksinkertainen toteuttaa, että siitä uumoillaan vuoden 2014 suurta mullistusta verkkopalveluiden sisäänkirjautumisessa.
SQRL:n ideana on poistaa kokonaan tarve verkkopalveluiden käyttäjätunnuksille ja salasanoille. Nykyiset salasanojen hallinnointiratkaisut, kuten LastPass ja KeePass2 ovat keskitetyn master-salasanan taakse rakennettuja salasanapankkeja -- mutta siltikin luovat kaikkiin käytettyihin verkkopalveluihin edelleen sekä käyttäjätunnukset että salasanat.

SQRL pohjautuu ajatukseen julkisten ja yksityisten avainten vaihtamisesta ja sen toteutuksessa on pyritty äärimmäiseen yksinkertaisuuteen. Käytännössä verkkopalveluihin sisäänkirjautuminen tapahtuisi seuraavasti:

SQRL-sisäänkirjautuminen

SQRL:ää tukeva verkkosivu näyttää tavallisen sisäänkirjautumiskaavakkeensa vieressä olevaa, 256-bittisellä salauksella muodostettua sivuston domain-nimestä ja sattumanvaraisesta suolasta koostuvaa QR-koodia. QR-koodin klikkaaminen avaa SQRL-sovelluksen, joka kertoo käyttäjälle domainin, johon kirjautumista pyydetään. Käyttäjä hyväksyy domainin ja tämän jälkeen SQRL-sovellus lähettää verkkopalvelulle takaisin käyttäjän omaan master-avaimeen ja verkkopalvelun tunnisteeseen pohjautuvan, sivustokohtaisen yksityisavaimen ja lähettää sen salattuna takaisin palvelulle.

Sekä Google että www-standardeja kehittävä W3C ovat ilmaisseet mielenkiintonsa SQRL:ää kohtaan. Sen eittämättömänä etuna voidaan pitää sitä, että verkkopalvelu ei saa koskaan käyttäjän salasanaa tai salasanaan rinnastettavaa tietoa (esim. sormenjälkeä) haltuunsa, joten turvallisuus keskittyy käyttäjän omaan SQRL-sovellukseen ja sen master-salasanaan.

Myös tapaukset, joissa SQRL-sovelluksen sisältävä laite - kannettava tai kännykkä - varastetaan, on huomioitu, toteuttamalla Identity Lock-mekanismin, jolla master-avain voidaan vaihtaa tuntemalla käyttäjän (vain tässä tapauksessa käytettävä) Identity Unlock -avaimen.

SQRL:n kuvin havainnollistettu toimintatapa esitellään täällä.

Edellinen Seuraava  

5 kommenttia

17.12.2013 13:20

Ihan hyvä juttu, kunhan joku vielä keksii sinun kirjautumisen arvoisen palvelun.


Helpottaa varmasti..

Viestiä on muokattu sen lähettämisen jälkeen. Viestiä on muokattu viimeksi 7.12.2013 @ 13:20

Hey guys, I am back! Lets get this started!
Find me on the: http://freedome.f-secure.com/vip database .

28.12.2013 17:30

"Poistaa käyttäjänimet ja salasanat maailmasta" Ei periaatteessa kyllä pidä paikkaansa, sillä mikäli oikein käsitin, tuo ohjelma vaatii itsessään salasanan.


AMD FX-6300 @4,4GHz/Asus M5A99X EVO R2.0/Ram: 10GB DDR3 /Magicool DIY watercooling /Asus GTX650 Direct CU 1GB /Silverstone 500W Strider plus modular /Creative Sound Blaster X-Fi Xtreme Audio 7.1 SB1040 /Intel 330 120Gb SSD + SG Barracuda 7200.10 250Gb + SG Momentus 5400.6 500Gb + WD 5400RPM 250Gb /Fractal Design ARC XL /Samsung 940BF & Syncmaster TA350 & Eizo Flexscan S1910/Samsung Bluray Combo SATA 12X /Razer Lycosa /Razer Carcharias & Creative Desktop theater 5.1 DTT2500 Digital /Razer Naga /Win 8.1 Pro 64

38.12.2013 20:19

Mitenkä on tilanne jos joku saa käsiinsä jonkun toisen tietokonella olevat yksityiset avaimet joilla sivusto aukeaa. Sillähän sitten aukaisee kaikki sivustot joissa noita avaimia on käytetty.

48.12.2013 23:08

Lainaus, alkuperäisen viestin kirjoitti Lumikki:
Mitenkä on tilanne jos joku saa käsiinsä jonkun toisen tietokonella olevat yksityiset avaimet joilla sivusto aukeaa. Sillähän sitten aukaisee kaikki sivustot joissa noita avaimia on käytetty.
Ei tuo juuri eroa siitä, että pääsee käsiksi sähköpostitiliin. Tällöinkin voi resetoida käytännössä kaikkien palveluiden salasanat.

510.12.2013 10:28

Lainaus, alkuperäisen viestin kirjoitti Lumikki:
Mitenkä on tilanne jos joku saa käsiinsä jonkun toisen tietokonella olevat yksityiset avaimet joilla sivusto aukeaa. Sillähän sitten aukaisee kaikki sivustot joissa noita avaimia on käytetty.
Pääpointti onkin se, että verkkosivuille ei lähetetä enää salasanoja lainkaan, jolloin tietoturva keskittyy käyttäjän omille laitteille/omaan sovellukseen. Tällöin vältytään näiltä "korkattiin Adoben saitti ja saatiin N miljoonaa tunnusta"-ongelmilta, kun yksinkertaisesti sivuilla ei ole enää järkevässä muodossa olevaa dataa käyttäjistä.

Tämän uutisen kommentointi ei ole enää mahdollista.

Tuoreimmat uutiset

Spotify muutti välimuistin tyhjentämistä – Ei pakota poistamaan ladattuja musiikkikappaleita Spotify muutti välimuistin tyhjentämistä – Ei pakota poistamaan ladattuja musiikkikappaleita (18.7.2018 06:48)
Spotify on tehnyt Android- ja iOS-sovelluksiinsa viimeisten viikkojen aikana pienen muutoksen, mutta se helpottaa monen kuuntelijan elämää ratkaisevasti. Ainakin arjessa on yksi ensimmäisen ....
Virtuaalilasit ottavat harppauksen eteenpäin – Vain yksi johto riittää Virtuaalilasit ottavat harppauksen eteenpäin – Vain yksi johto riittää (18.7.2018 06:30)
Seuraavien sukupolvien VR-lasien käyttömukavuus voi olla täysin toista luokkaa kuin nykyään, sillä VirtualLink-konsortio on esitellyt uuden USB-C-liitäntään pohjautuvan standardin, joka mahdollistaa ....
OnePlus 6:n kamera saa kehuja – Tarkennus on tarkka ja nopea OnePlus 6:n kamera saa kehuja – Tarkennus on tarkka ja nopea (17.7.2018 18:11)
Elisalla ja Telialla huippumyynteihin yltänyt OnePlus 6 saa suitsutusta valokuvaukseen erikoistuneelta DxO Labsilta. Puhelimen kamera saavutti DxOMark-testissä komeat 96 pistettä. OnePlussan ....
Samsung lupaa lisää suorituskykyä ja enemmän akkukestoa – Esitteli LPDDR5-muistin Samsung lupaa lisää suorituskykyä ja enemmän akkukestoa – Esitteli LPDDR5-muistin (17.7.2018 17:30)
Samsung on esitellyt ensimmäisen kahdeksan gigabitin LPDDR5-muistipiirin. Yhtiön mukaan entistä nopeampi mobiililaitteisiin tarkoitettu muistipiiri soveltuu erityisen hyvin tekoälyteknologian ....
Netflix järkytti sijoittajia – Tilaajamäärät jäivät pahasti ennusteista Netflix järkytti sijoittajia – Tilaajamäärät jäivät pahasti ennusteista (17.7.2018 06:56)
Netflix joutui aiheuttamaan pettymyksen sijoittajille julkaisemalla kasvuluvut, jotka jäivät kuitenkin odotuksista. Osavuosituloksen julkistuksen jälkeen Netflixin kurssi putosi jälkihuutokaupassa ....

Uutisarkisto