游乐游手机版
首页/科技数码/文章详情

FIDO 认证机制遭破解,降级攻击漏洞恐成新威胁

时间:2025-12-15 20:27
Proofpoint研究团队近期发现了一种可绕过FIDO认证的新方法。专家们为此开发了降级攻击技术,并以微软Entra ID为例进行了测试验证。 FIDO(Fast Identity Online)

Proofpoint研究团队近期发现了一种可绕过FIDO认证的新方法。专家们为此开发了降级攻击技术,并以微软Entra ID为例进行了测试验证。

FIDO(Fast Identity Online)标准素以安全性和用户友好性著称,被广泛应用于无密码认证领域,并被视为防范钓鱼攻击的有效手段。然而,Proofpoint研究团队近期发现了一种可绕过FIDO认证的新方法。专家们为此开发了降级攻击技术,并以微软Entra ID为例进行了测试验证。

降级攻击技术原理

采用FIDO密钥保护的账户通常能抵御钓鱼攻击,但Proofpoint指出某些FIDO实施方案存在降级攻击漏洞。攻击者通过诱导用户采用安全性较低的认证方式实现入侵。

研究人员的突破点在于:并非所有网络浏览器都支持FIDO密钥(例如Windows系统下的Safari浏览器)。Proofpoint表示:"网络罪犯可改造中间人攻击(AiTM)框架,伪装成FIDO实现方案无法识别的用户代理,迫使用户转而采用低安全性的认证方式。"

为验证攻击可行性,Proofpoint专家在Evilginx中间人攻击框架中开发了"钓鱼套件"——这是一种用于伪造 界面、窃取登录数据和会话令牌的配置文件。该攻击之所以能够得逞,是因为配置FIDO认证的用户账户通常会将多因素认证(MFA)作为备用登录方案。

攻击实施流程

安全专家还原了完整的攻击链条:

攻击者通过电子邮件、短信或OAuth请求向目标发送钓鱼链接受害者点击恶意链接后,系统会返回认证错误并建议采用替代登录方式当用户通过伪造界面完成登录时,其凭证数据和会话Cookie即遭窃取攻击者可借此劫持会话,完全控制目标账户,进而实施数据窃取或横向渗透

新型威胁预警

尽管目前尚未发现该技术被实际用于网络犯罪,Proofpoint仍将此类降级攻击列为重大新兴威胁。专家警告称:"随着越来越多机构采用FIDO等'防钓鱼'认证方案,攻击者极可能将FIDO认证降级技术整合进其攻击链条。"

来源:https://www.51cto.com/article/823031.html
上一篇Intel推出锐炫Pro B50专业显卡,16GB显存、70W低功耗,国内定价2999元 下一篇苹果新专利曝光:智能调光太阳镜或成未来可穿戴设备新方向
本站内容用于信息整理与展示,如有侵权或内容问题请及时联系处理。

相关推荐

补充同频道和同主题内容,方便继续浏览更多相关内容。

同类最新

继续查看同栏目最近更新的文章。

更多
高刷显示器提升FPS游戏命中率,LG Display研究证实
科技数码 · 2026-07-12

高刷显示器提升FPS游戏命中率,LG Display研究证实

LGDisplay研究显示,31名玩家在60Hz至480Hz刷新率下测试第一人称射击游戏。对比60Hz,480HzOLED显示器命中率提升约38%,其中60Hz升至240Hz提升最为显著,再升至480Hz再增约10%,输入延迟减少超过10毫秒。

年确认不插入闰秒,距上次调整已10年
科技数码 · 2026-07-12

年确认不插入闰秒,距上次调整已10年

国际地球自转和参考系服务宣布2026年末不插入闰秒,距上次调整已隔十年。闰秒用于协调原子时与地球自转时,已调整27次均为正闰秒。因气候变化导致地球自转减速,首个负闰秒推迟至2029年,国际计量界计划2035年前废止闰秒机制。

红米Note 17 Pro首销活动送电池升级保五年免费换新
科技数码 · 2026-07-12

红米Note 17 Pro首销活动送电池升级保五年免费换新

REDMINote17Pro首发提供五年电池升级保障:前四年电池健康低于80%免费换新,第五年升级为更大容量电池。内置9000mAh电池,支持67W快充与22 5W反向充电,配备康宁大猩猩Victus2玻璃及四重防水认证,防护规格对标旗舰。

三星A18渲染图曝光 机身变厚或搭载6000mAh电池
科技数码 · 2026-07-12

三星A18渲染图曝光 机身变厚或搭载6000mAh电池

据悉,三星A18最新渲染图曝光,其机身厚度增至7 84毫米,较上一代增加0 34毫米,推测或为配备6000毫安时大容量电池。此外,外观延续水滴屏设计,后置三摄模组有微调,并且底部配备USB-C接口,还支持快速充电功能。

三星S26像素级防窥屏幕隐私保护再升级
科技数码 · 2026-07-12

三星S26像素级防窥屏幕隐私保护再升级

三星GalaxyS26系列搭载像素级隐私显示技术,从硬件层面控制OLED子像素发光方向,实现物理级防窥,正面观看画质无损,侧面超60°即模糊。该功能深度集成OneUI8 5,支持智能场景触发和多档位强度调节,与Knox安全平台形成防护体系,无需贴膜,不损画质。