Vlákno názorů k článku Postřehy z bezpečnosti: PayPal chce, aby člověk byl heslem od Ondřej Novák - Stačí mít mobilní telefon a čtečku QR. Pápá...

Stačí mít mobilní telefon a čtečku QR. Pápá hesla. Implementace snadná, služba je zdarma, zdrojáky soon

https://qrlogin.novacisko.cz

Nepotřebuješ speciální apku
každá sajta má jiný klíč (jednotlive sajty nesdílejí stejný klíč, takže není možné sledovat dotyčného)
používá to OAuth
je to postaveno na bitcoinjs, takže veškerá cryptografie je dokonale odtestovaná, nejde o vymýšlení kola (dokonce i identita je vlastne bitcoinová adresa, jen tam neproudí žádné bitcoiny)

Ne, používám bitcoinjs. Ten používá Secp256k1. Ale to je šumák. Jiné je to v tom, že SQRL počítá s nativní apkou. Z hlediska uživatelského zážitku je to překážka. Moje řešení prostě vystačí s běžnou QR čtečkou a standardním browserem. Na straně služby pak stačí implementovat OAuth 2.0, který se používá na Facebook a Google+, který většinou běžně všichni implementují. Servica také nemusí být závislá na jednom serveru. Až dočištím zdrojáky, dám to na github, tak si bude možné nainstalovat vlastní server na své infruktuře. Pro uživatele se nic nemění, ten nepozní, kde konkrétně to běží, nemusí si zakládat účet u žádné další třeti strany.

Nezkoumal jsem dopodrobna SQRL, ale přišlo mi to jako moc komplikované. A navíc se to zatím nikde nepoužívá. Mým cílem bylo přinést lepší uživatelský zážitek. Pořad je to 1000x bezpečnější než heslo.

A aby se clovek mohl prihlasit na sluzbu pouze v mobilu (bez notebooku nebo desktopu), tak s sebou bude nosit soustavu zrcadel? Nebo je to resene nejak lip? :)

A tim uz se skoro dostavame k nativni appce, protoze nevim, koho by bavilo porad neco screenshotovat =)

Naštěstí to není třeba, na mobilu stačí klepnout na ten QR kód a použijí se klíče přímo v prohlížeči, které tam beztak byly uloženy při scanování - za předpokladu, že tedy používáte tentýž prohlížeč.

Služba by měla být doplňková a navíc by měla umožňovat aby si člověk s účtem spároval libovolné množství klíčů, třeba v každým prohlížeči jiný.

Ok, to zni rozumne :) A je nejaky duvod, proc by to nemelo fungovat i na desktopu?

Funguje to i na desktopu, ale jaksi to postrádá smysl. Hlavním benefitem je, že klíč máte u sebe, a přihlásíte se s ním i třeba v internetové kavárně, navíc i do stránky, která nemá https, protože se přenáší jednorázový token.

Jinak zdrojáky zatím neoficiálně zde:

https://github.com/ondra-novak/qrlogin

neoficiálně proto, že jestě nejsou všechny buildscripty, doplním v nejbližší době.

z hlediska integrace se to tváří jako OAuth 2.0. Enpointy jsou /auth - autorizační portál, /token - token exchange, /ident - vrací identitu, to co chceme získat. Je to popsané i na té stránce https://qrlogin.novacisko.cz

záloha klíčů je trochu problém v tom, že je těžké je dostat bezpečně z prohlížeče. Možná nějakým způsobem to v JŠ zašifrovat, nevím... Mám tam udělané uložení do souborů v mobilu ale moc dobře to nefunguje ve všech prohlizecich