Clever Geek Handbook

SecureLogin-パスワードを忘れます

6月上旬、Sakurityの従業員であるEgor Homakovは、パスワード認証の代わりとなる、彼が作成したSecureLoginテクノロジーに関する投稿を書きました。 Yegorはおそらく優れたロシア語を話し、書いているという事実にもかかわらず、ロシア語版を見つけることができず、元の記事を翻訳することにしました。 カットの下で結果を見つけることができます。







本日、 SecureLogin Authentication Protocol 1.0を誇らしげに紹介します。これは、過去3年間取り組んでいます。







デモはどうですか? 簡単!







いいえ、これはパスワードマネージャーではありません。 はい、これは、オタクだけでなく、パスワードを置き換えるための別の試みです。







ちなみに、私は非ネイティブのアプリケーションと実装を誇りに思っています-これは作業のほんの一部であり、その量は数千行のコードを超えません。











セキュリティスペシャリストとして、 最もバランスのとれたプロトコルを開発できたことを誇りに思います







このバランスは3つの原則に基づいています。







分権化



サードパーティは、どこからでもアカウントにログインできません。SMSコードをマージする電話サービスプロバイダー、パスワードをリセットするメールサービスプロバイダー 、access_tokenをだれにも発行しないFacebook Connect / Google OAuthなどです。政府やハッカーのいずれにも、上記のサービスを通じて何らかの形でこれを行うことはありません。 アカウントのリクエストを認証できるのは個人のデバイスのみです。







一見したところ、AuthyやDuoなどのより魅力的な「2FA as a service」プロバイダーは、ユーザーに代わってリクエストを確認する中央集中型サービスであるため、end-2-end-decentralizedの定義に含まれません 。 概して、これは「メール内のリンクによる確認」メカニズムの代替実装です。







現在、 TOTP (Google Authenticatorなど) または U2FなどのUSBキーを使用して、真に安全な認証を実現できます。







どちらのアプローチも手動操作が必要なので、ほとんど誰も使用しません。







彼らと働くことは非常に不便です。 最初のケースでは、バックアップコードを紙に書く必要があり(これは私がやったことはありません)、2番目のオプションは広くサポートされていません。 したがって、それらの浸透レベルは非常に小さいです。







SecureLoginが基づいている第2の原則について話をする時が来ました。







便利さ





デスクトップおよびモバイルアプリケーションのユーザーデモ







これはFacebook Connectと非常によく似ています(Facebookサーバーへの依存を除く)。ログインボタンをクリックして、アプリケーションを開き、リクエストを確認するだけです。







ハードウェアキー、ワンタイムパスワード、電子メールやSMSの待機、携帯電話のポケットからの取り出し、QRコードのスキャンなどに煩わされません。







認証は可能な限り単純です。







スケーリング



この原則に準拠するために、SecureLoginは決定論的に作成され、ソフトウェアベースで実装されます明日の朝 、彼は40億に奉仕する用意があり、これを防ぐことができる単一障害点はありません。







バックアップは存在しないため、バックアップについて心配する必要はありません。プライベートキーは、独自のマスターパスワードに基づいて生成されます。 SecureLoginサーバーは本番データベースが存在しないため、本番データベースを台無しにすることはできません。 システムはオフラインで動作します。







ハードウェアは必要ありません 。 アプリケーションはiOS、Android、macOS、Windows、Linux用に作成されておりいつでもWebクライアントを使用できます。







プロトコルは完全に無料で 、すべてのクライアントのコードは公開されています。 システムを使用するために何かを支払う必要はありません。







プロトコルAPIは非常に単純であるため、SDKライブラリは必要ありません。クライアントでは20行のJSコード、サーバーでは50行です。







オープンソースプロジェクトのアイデアを探している場合は、お気に入りのCMSにSecureLoginプラグインを実装することを検討してください 。 Slackに参加するために私にメールしてください。







ところで、 SecureLoginの先駆者は無料のセキュリティ監査を受けることができます







ご質問は?



Twitterでお答えします! しかし、最初に、 FAQで答えを探してください - 質問の 90%はお互いに繰り返します。







SecureLoginはすべての境界ケースをカバーする最も安全なソリューション (ただし、バージョン2.0ではDoublesign機能が計画されています)、または最も快適なソリューション (ここではFacebook Connectがここを上回る可能性は低い-あまりにも便利です)として考えられていません。 全体のポイントはバランスが取れています。







参照:







  1. オリジナル: SecureLogin-パスワードを忘れる
  2. UPD: SecureLoginのドラフトRFC仕様


More articles:


All Articles