2018/05/27

Secure Quick Reliable Login (SQRL) que ser alternativa a usernames e passwords

E se em vez de escrevermos um nome e password para entrar num site bastasse clicar num código QR ou tirar-lhe uma foto com o smartphone? É isso que propõe o SQRL como alternativa aos sistemas existente e prometendo maior segurança.

O mundo digital moderno está repleto da necessidade de se fazer o login em grande parte dos sites que se visitam, o que implica preencher campos como o nome de utilizador e password, ou que mesmo usando-se um gestor de ficheiros, obrigará a manter a password desse mesmo gestor. Nalguns casos, temos sistemas "sem password" que nos enviam um link de utilização única para o email... Mas este SQRL (Secure Quick Reliable Login) vai ainda mais longe querendo dispensar por completo as passwords (e gestores de passwords) e até a autenticação 2-factor.

A sequência de utilização indicada é a seguinte: chegamos a um site que use este sistema SQRL e vemos um código QR, no qual poderemos clicar (se estivermos a usar o smartphone), ou apontar a câmara do smartphone para ele (se estivermos a usar um PC). Isso irá lançar a app SQRL, que apresentará o nome do site que está a pedir o login; e após a verificação do utilizador, basta dizer que permite fazer a autenticação.

O sistema recorre a métodos criptográficos para garantir a identidade de cada utilizador de forma segura, sem nunca precisar ou pedir que seja criada uma password ou email; com a vantagem adicional de que automaticamente cada utilizador terá uma identificação diferente em todos os sites que usem o SQRL, impossibilitando qualquer tentativa de cruzamento de informação - e, uma vez que o utilizador nem sequer toca no teclado, este sistema é também imune a keyloggers.

Parece-me que é um sistema com vantagens suficientes para merecer ser explorado, mesmo que não venha a ser uma alternativa total ao sistema de usarname e password; e que seria uma excelente forma para evitar registos em coisas mais "corriqueiras", como no acesso a fóruns, para fazer comentários num site, etc.

1 comentário:

  1. Para o cliente/ utilizador é realmente só clicar numa imagem ou com um programa no seu smartphone/ hardware dedicado que tenha acesso à câmara ver o código QR e conforme a aplicação mete o dedo, ou olha para a câmara, ou mete um PIN, ou mete um padrão (cada programa utilizará o que achar melhor) e a pessoa está autenticada no serviço online. Se bem que imagino isto a ser expandido para portas, cofres e coisas do género já que têm potencial para isso, e desde que seja bem aplicado será seguro.

    Como o servidor só guarda uma chave pública de curva elíptica se o pior acontecer e alguém tiver acesso à mesma, desde que o mecanismo de segurança permaneça intacto e não mudem directamente na base de dados a conta das pessoas continuará segura... até ao dia em que a tecnologia eventualmente seja ultrapassável... o que poderá acontecer lá para o ano de 2040 se a tecnologia de computação quântica não entrar em pleno funcionamento antes.

    Se a pessoa tiver mais que uma conta no mesmo web site é só escrever algo que diferencie essa conta das outras no mesmo web site, num campo apropriado do programa (ou este pode lembrar-se e a pessoa escolher da lista) antes de meter o código e entra na outra conta sem qualquer problema.

    O sistema funciona com uma chave elíptica Ed25519 que é considerada segura actualmente (~128 bits) e não contêm as vulnerabilidades de outras curvas elípticas... pelo que deve resistir por mais tempo a ataques.

    Se alguém furtar a chave privada da pessoa, o verdadeiro dono da chave pode anular o acesso às contas com a mesma e substituí-la, sem que, em princípio (se a infecção for posterior à criação da chave), quem furtou a chave possa fazer o mesmo, pois necessita de um código com 24 dígitos que só é exibido uma vez e que o programa faz questão que a pessoa demonstre que o têm, pois têm de o escrever no programa depois de lhe ser exibido para provar que guardou o mesmo... e só esse código permite trocar a chave por uma nova.

    O SQRL têm como objectivo, como foi escrito e bem, substituir o campo "utilizador" e "senha" ou seja é uma tecnologia que permite identificar a pessoa ("utilizador") e autenticar que é mesmo a pessoa ("senha").
    O FIDO U2F só permite autenticar a pessoa ("senha")... por isso têm de obter a identidade de outra maneira, pelo menos uma delas, não sei se saiu alguma nova versão entretanto nem como funciona... mas mesmo que exista uma nova que também autentique têm o problema de utilizar uma chave de curva elíptica não considerada pelos especializados na área de segurança informática como segura.

    Ao contrário do que poderão ler o SQRL não é incompatível com segundo-factor de autenticação (baseado no tempo RFC 6238, sms para o telemóvel (péssima ideia), enviar e-mail, FIDO U2F, etc.) é COMPATÍVEL! Podem utilizar ambas... e na verdade devem, porque nunca se deve confiar numa só tecnologia por muito boa que seja se tiver possibilidade de adicionar mais uma camada.
    Segurança por camadas resulta em um maior nível de segurança e todos devem adoptar tal onde lhes for possível... pelo menos naqueles serviços mais importantes (banco, correio electrónico, web sites de compra, web sites de pagamentos, ...).


    Para ser imune a keyloggers e outros programas malignos só se for utilizado num dispositivo dedicado para o efeito... uma espécie de TREZOR, KeepKey, ledger, ou BitLox, mas adaptado para SQRL (ou seja com câmara e alguma forma de transmitir os dados por Wi-Fi ou GPRS/ 3G/ 4G/ 5G)... aparentemente pelo menos a Yubico já demonstrou interesse há bastante tempo e quando o SQRL for lançado oficialmente devem passado pouco tempo lançar algo também dedicado ao SQRL (e que talvez até suporte o FIDO)... mas como não vi nada no web site não posso sequer dizer se será apropriado ou não... mas a Yubico costuma ter bons produtos e corrigir uma ou outra falha rapidamente.

    ResponderEliminar

[pub]