SQRL: kolejny sprytny (?) pomysł na logowanie bez haseł

SQRL: kolejny sprytny (?) pomysł na logowanie bez haseł05.12.2013 13:11

Jeśli się chcesz dziś zalogować do witryny internetowej, tozazwyczaj musisz wprowadzić swoją nazwę użytkownika (login) orazhasło. I choć temu systemowi uwierzytelniania już od lat wytyka sięliczne słabości, to w praktyce nic się nie zmienia – pomimorozmaitych eksperymentów z alternatywnymi systemami sprzętowychuwierzytelnień, pomimo rosnącej popularności mechanizmówbiometrycznych, większość internautów każdego dnia wielokrotnie hasławprowadza. Kilka miesięcy temu na forach poświęconych standardominternetowym zaczęto jednak rozważać nowy mechanizm uwierzytelniania,wyglądający całkiem obiecująco. SQRL, które wzbudzić miałozainteresowanie ludzi z Google'a i Konsorcjum WWW, wykorzystujepopularne w mobilnych aplikacjach kody QR do anonimowegouwierzytelnienia, w teorii uodparniając proces ten na siłowe ataki ichroniąc przed konsekwencjami wycieku danych.Fragmentacja tożsamości to stała przypadłość Internetu naszychczasów. Korzystamy z dziesiątek serwisów, którym ufamy w różnymstopniu, logujemy się do nich za pomocą różnych haseł i loginów.Lokalne menedżery haseł (czy to wbudowane w przeglądarkę, czy jakoniezależne aplikacje) mogą częściowo pomóc w zarządzaniu tymbałaganem, ale i one nie są bez wad. Stosowanie uniwersalnychmechanizmów logowania, w których tożsamość poświadczana jest przezstronę trzecią (np. Facebook Connect) też nie każdemu się podoba.Problem tkwi nie tylko w tym, że trzeba korzystać z pośredników:wsadzenie wszystkich haseł do jednego koszyka czyni konsekwencjeewentualnego wykradzenia cyfrowej tożsamości naprawdę poważnymi.Nie tylko jednak fragmentacja nam dolega. Hasła w ogóle są dośćproblematyczne. Oczywiście to wygodny mechanizm, który nie wymaga odużytkownika stosowania niczego, czego by nie miał przy sobie, któryjest bardzo łatwy do wdrożenia w każdym popularnym językuprogramowania, i który można (przy odpowiednich staraniach) dobrzezabezpieczyć. Jednak prawda jest taka, że większość użytkownikówkorzysta z haseł mizernejjakości, zaś większość aplikacji przechowuje hasła w bardzokiepski sposób – często w otwartym tekście, albo zaszyfrowanejakimś słabym szyfrem.W październiku Steve Gibson zaprezentowałw trakcie podcastu SecurityNow! ciekawy pomysł na rozwiązanie problemu uwierzytelniania.Szkic otwartego standardu o nazwie SQRL (Secure, Quick, ReliableLogin) pozwala użytkownikowi na anonimowe uwierzytelnienie się wserwisie czy aplikacji, zamiast podawać login i hasło. W wypadkulogowania do witryny internetowej, SQRL wymaga dwóch komponentów:usługi webowej, która generuje kod QR lub specjalnie przygotowanyadres URL, oraz aplikacji mobilnej lub wtyczki dla przeglądarki,która odczytuje ten kod, uwierzytelniając użytkownika.[img=sqrl]Po odczytaniu kodu klient SQRL wykorzystuje funkcję skrótu igłówne (dla tego systemu jedyne) hasło użytkownika, aby odszyfrowaćklucz główny. Następnie wykorzystując nazwę witryny (jej domenę)generuje specyficzną dla niej parę kluczy prywatny/publiczny. Tokenyzawierające szczegóły transakcji podpisuje kluczem prywatnym, a kluczpubliczny przekazuje witrynie, by mogła sprawdzić dane logującegosię. W ten sposób nie ma tu żadnego ujawniania danych, które mogłybybyć wykorzystane do ataku na inne witryny – w najlepszym razienapastnik uzyskiwałby klucz publiczny, pozwalający mu napotwierdzenie logowań do zaatakowanej witryny. Z kolei sam kluczklienta SQRL nie jest w żaden sposób dostępny witrynom korzystającymz tego systemu logowania.[img=authentication]W ten sposób otrzymujemy mechanizm, który nie potrzebujeklawiatury (uodparniając na ataki z wykorzystaniem keyloggerów),uniemożliwia powiązanie użytkowników pomiędzy witrynami (dany logindziała tylko dla danej witryny) i chroni tożsamość użytkownika przedwłaścicielem witryny (użytkownicy są identyfikowani 256-bitowymkluczem). Nie ma tu też żadnych pośredników, z których pomocymusielibyśmy korzystać – nawet jeśli byliby to pośrednicy takgodni zaufania, jak np. Mozilla.Oczywiście niejeden z naszych Czytelników zauważył już potencjalneproblemy z SQRL-em. Po pierwsze, jeśli dojdzie w jakiś sposób doprzejęcia klucza głównego, użytkownik nie będzie już mógł w żadensposób odzyskać swojej tożsamości, weryfikując ją innym kanałem. Niema tu przecież możliwości zamówienia resetu hasła na konto e-mailowe.Po drugie, wykorzystanie smartfona jako magazynu przechowującegoklucz główny czyni z telefonów jeszcze atrakcyjniejszy obiekt,zarówno dla ulicznych złodziei, jak i twórców złośliwegooprogramowania dla urządzeń mobilnych. Pojawia się też cała klasaataków bazujących na inżynierii społecznej – np. phishingu, wktórym podrobione witryny wyświetlają prawdziwe kody QR przejęte zwitryn oryginalnych, co może zmylić ofiary, które widząc w SQRLwłaściwą nazwę domeny, nie pomyślą, że zostały oszukane. System tennie zapewnia też ochrony przed atakami typu man-in-the-middle, ale zdrugiej strony, który inny system uwierzytelnień przed nimi chroni?Na koniec drobna, ale istotna uwaga. Pomysłodawca SQRL-a niecieszy się, delikatnie mówiąc, dobrąopinią. Trzeba jednak pamiętać, że wiele krytyki kierowanej wjego stronę to wynik tego, że podpadł społeczności whitehatów i jestuważany za kompletnego outsidera. Zainteresowanie ze strony Google iW3C może jednak doprowadzić do przekucia tego pomysłu w działającątechnologię, albo przynajmniej zainspirować kogoś do stworzenialepszych metod logowania.Jeśli jesteście zainteresowani bliższym zapoznaniem się z SQRL, towprowadzenie dla końcowych użytkowników znaleźć można na stroniewww.sqrl.pl, zaś techniczneszczegóły pod adresem www.grc.com/sqrl/sqrl.htm.

Źródło artykułu:www.dobreprogramy.pl
© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na