详细内容或原文请订阅后点击阅览
密钥就是一切:发现一种绕过高级身份验证技术的简单方法
加密密钥对于黑客的聪明才智来说是无能为力的。
来源:安全实验室新闻频道密钥就是一切:发现一种绕过高级身份验证技术的简单方法
加密密钥对于黑客的聪明才智来说是无能为力的。
最近,许多在线服务,例如银行、在线商店、社交网络和软件开发平台,已经开始使用 Passkey 技术来代替传统密码来保护帐户。
密钥Passkey 是一种基于设备上存储的加密密钥的身份验证技术。与常规密码不同,万能密钥提供最高级别的安全性,因为它们对于每个设备和帐户都是唯一的。它们很难被拾取或伪造,而且还可以防止网络钓鱼,因为它们与特定的网站或服务绑定。
然而,尽管 Passkey 技术具有诸多优势,但 eSentire 的研究员 Joe Stewart 表示,所有这些安全措施都无法防范可以轻松绕过 Passkey 身份验证的中间对手 (AitM) 攻击。
根据 eSentire AitM问题不在于密钥本身,而在于它们的实现以及身份验证回退的需要。如果您丢失密码或设备,许多网站都会提供不太安全的恢复帐户的方法。
反过来,在 AitM 攻击期间,攻击者可以利用这一点,例如,通过更改特定服务的授权屏幕的外观,以便用户根本无法选择通过 Passkey 进行身份验证。
实际上,这就是 AitM 攻击的工作原理:攻击者通过修改登录页面上的 HTML、CSS 和 JavaScript,将自己“插入”用户和他试图访问的合法网站之间。这使他们能够控制身份验证过程并删除任何有关密码的提及,只留下容易被拦截的不太安全的选项。
HTML CSS JavaScript Evilginx 魔法链接