详细内容或原文请订阅后点击阅览

您的Passkey可能容易受到攻击,包括您在内的每个人都必须行动

2025年9月20日 02:00 33 Comments
X Twitter Instagram Mail

当点击攻击设法劫持了Passkey身份验证仪式时,密码管理人员真的要责备吗? ZDNET的调查揭示了一个更复杂的答案。

来源:ZDNet | 机器人新闻
Vertigo3D/Istock/Getty Images Plus通过Getty Images

关注ZDNET:将我们添加为Google上的首选来源。

关注ZDNET: 将我们添加为首选源 在Google上。

ZDNET的钥匙外卖

    一名研究人员开发了一种劫持Passkey身份验证的利用。该利用取决于预先存在的条件的非平凡组合。 Passkeys和协议都没有被证明是脆弱的。
  • 一名研究人员开发了一种劫持Passkey身份验证的利用。
  • 利用取决于预先存在条件的非平凡组合。
  • Passkeys和协议都没有被证明是脆弱的。

    • 在今年在拉斯维加斯举行的DEF CON会议上,白帽安全研究员MarekTóth展示了威胁参与者如何使用ClickJack攻击秘密触发并劫持基于Passkey的身份验证仪式。

    MarekTóth

    在大局中,这是一个故事,讲述了如何将密码管理器诱骗到泄露登录信息中 - 传统凭据,例如用户ID和密码,或与Passkeys相关的类似凭据的伪像,以威胁参与者。

    密码经理

    另外:10个Passkey生存技巧:现在为您的无密码未来​​做准备

    10 Passkey生存技巧:为现在的无密码未来​​做准备

    密码管理人员是否要怪?发现漏洞的研究人员Tóth暗示了他们是,但是答案更为复杂。

    完全锁定任何自动化过程都是层级安全性的结果。在数字安全很重要的大多数用例中,几乎没有一个银色的子弹可以远离黑客。根据结合完成工作流程的技术层(例如,登录网站),控制每个层的各方都共享了该过程安全性的责任。

    Passkeys背后的大想法

    黑色帽子 def con

    另外:Passkeys的工作方式:您不可避免的无密码未来​​的完整指南

    写很多有关Passkey的 来自
    密码管理 劫持 验证的 首选 Getty Passkey 参与者 管理器 管理人员 管理人 Images 登录 相关的 脆弱的 根据 th 没有 过程 背后的 身份验证 研究人员 ZDNET Passkeys 先存在 研究员 现在的 利用 威胁 密码 工作方式 重要的 自动化 安全性