最近Esentire的博客文章討論了確保Passkeys並防止身份驗證方法的新策略進行修復攻擊,這是網絡犯罪分子繞過安全措施的一種技術。這些攻擊涉及操縱身份驗證過程。
身份驗證方法的修訂攻擊涉及繞過主要的身份驗證方法,以支持較少安全的備份方法,進而使中間人(AITM)網絡釣魚攻擊。 Esentire展示了對Github的攻擊,但說許多Passkey實施也存在缺陷。
網絡安全檢測提供商表明,實施多個PassKey是減輕AITM攻擊威脅的一種方法,因此,失去一個Passkey既不阻止用戶的訪問權限,也不需要對較低的確定身份驗證方法的後備。魔術鏈接也可以作為一種相對安全的後備身份驗證方法來幫助,但Esentire也介紹了“ Warded Links”的概念。
該帖子解釋說,沃德鏈接是魔術鏈接,可提供“與任何現有的AITM-compompromisted會話隔離的新的安全身份驗證流”。
該公司還建議使用紅色團隊的身份驗證流設計,以確保離開Passkeys的任何移動也啟動了新的會議,並使用行為分析以及託管檢測和響應服務來持續保護和快速威脅緩解。
分析師已經確定了潛在的中間人(MITM)攻擊針對會話cookie,這可能被偷走後驗證後對用戶冒名。
儘管存在脆弱性,但Passkey的採用率仍在迅速增長。
最近,澳大利亞的MyGov應用程序集成Passkeys,為了為用戶提供更安全的身份驗證方法。萬事達卡宣布了它致力於實施Passkeys到2030年歐盟的付款以及AWS增加了支持六月的Passkeys。
