机构名称:
¥ 4.0
如果Web服务如此安全,以至于它甚至不知道(并且不想知道)其用户的身份和联系信息,那么如果用户忘记了密码,它仍然可以提供帐户恢复吗?本文是作者为设计加密协议的工作的结晶,以供帐户恢复,以供著名的安全匹配系统使用:基于Web的服务,允许性行为不端的幸存者意识到与同一犯罪者伤害的其他幸存者。在这样的系统中,即使针对服务提供商本身,也必须保护帐户持有人的列表。在这项工作中,我们设计了一个帐户恢复系统,从表面上看,该系统似乎遵循典型的工作流程:用户在其电子邮件地址中类型,收到一个包含一次性链接的电子邮件,并回答一些安全问题。幕后,我们恢复系统的定义功能是,服务提供商可以在不知道或能够学习的情况下执行基于电子邮件的帐户验证,即用户的电子邮件地址列表。我们的施工对大多数组件都使用标准化的加密,并且已在安全匹配系统中部署在生产中。作为迈向我们主要结构的基础,我们签署了一种可能具有独立关注的新密码原始原始原始:一种可以具有完全私密的输入或部分公开输入的遗漏的伪随机函数,并且可以达到相同的输出。此原始性允许我们对帐户恢复尝试执行在线费率限制,而无需对新帐户的创建施加限制。我们提供了该原始性的开源实现,并提供了评估结果,表明端到端的交互时间在完全私人的输入模式下需要8.4-60.4 ms,在部分公开输入模式下需要3.1-41.2 ms。
保护隐私的Web服务的安全帐户恢复
主要关键词
相关文件推荐
