摘要。凭证妥协很难检测到,很难缓解。为了解决这个问题,我们提出了Larch,这是一个具有强大安全性和隐私属性的负责任身份验证框架。Larch保护用户隐私,同时确保Larch Log Server正确记录所有身份验证。具体来说,损害用户设备的攻击者不能在日志中创建证据,并且日志无法了解用户对用户进行认证的哪个Web服务(依赖方)。为了启用快速采用,Larch与支持FIDO2,TOTP和基于密码的登录的依赖方向后兼容。此外,Larch不会降低用户已经期望的安全性和隐私性:日志服务器无法代表用户进行身份验证,而Larch不允许依靠当事方跨帐户链接用户。我们为FIDO2,TOTP和基于密码的登录实现落叶松。给出了一个带有四个核心的客户端和一个带有八个内核的日志服务器,用落叶松的身份验证为150ms的FIDO2,用于TOTP的91ms,密码为74ms(不包括预处理的预处理,这需要1.23 s for totp)。
主要关键词