Американский программист Стив Гибсон (Steve Gibson) создал высоконадёжный способ авторизации на сайтах – вместо логина и пароля он предлагает использовать QR-коды.
Разработчик назвал свой новый способ авторизации на сайтах SQRL (Secure QR Login). Произносится как “squirrel” (“белка”, англ.).
Стандарт работает следующим образом: сайт показывает QR-код, посетитель запускает специальное приложение SQRL на своем мобильном телефоне, и наводит камеру на QR-код.
Приложение показывает URL, зашифрованный в коде. Проверив название сайта, пользователь разрешает авторизацию одним нажатием кнопки “Log in”.
Таким образом, человек авторизуется в системе, не указывая имя и пароль – эти поля вовсе можно оставлять пустыми, или даже упразднить.
Метод авторизации при помощи QR может прийти на смену стандартному входу с паролем
Программист отмечает, что, несмотря на кажущуюся простоту, данный способ аутентификации гораздо безопаснее, чем обычный ввод имени пользователя и пароля.
По каналам связи передается не пароль, а хэш, сгенерированный на основе пароля пользователя и уникального одноразового кода, полученного из QR.
Данный способ аутентификации предотвращает и перехват пароля, и атаку повторного воспроизведения, поскольку коды одноразовые. Впрочем, критики отмечают, что далеко не у всех сегодня есть смартфоны, чтоб установить приложение.