ล่าสุดบล็อกโพสต์จาก esentireกล่าวถึงกลยุทธ์ใหม่ ๆ เพื่อรักษาความปลอดภัย Passkeys และป้องกันวิธีการตรวจสอบความถูกต้องของการโจมตี Redaction ซึ่งเป็นเทคนิคที่ใช้โดยอาชญากรไซเบอร์เพื่อข้ามมาตรการรักษาความปลอดภัย การโจมตีเหล่านี้เกี่ยวข้องกับการจัดการกระบวนการรับรองความถูกต้อง
วิธีการตรวจสอบความถูกต้องการโจมตี Redaction เกี่ยวข้องกับการผ่านวิธีการตรวจสอบความถูกต้องหลักเพื่อสนับสนุนวิธีการสำรองข้อมูลที่ปลอดภัยน้อยกว่าซึ่งจะช่วยให้การโจมตีแบบฟิชชิ่งของฝ่ายตรงข้าม (AITM) Esentire แสดงให้เห็นถึงการโจมตี GitHub แต่บอกว่าการใช้งาน Passkey จำนวนมากมีข้อบกพร่องในทำนองเดียวกัน
ผู้ให้บริการตรวจจับภัยคุกคามความปลอดภัยในโลกไซเบอร์ชี้ให้เห็นว่าการใช้ Passkeys หลายครั้งเป็นวิธีที่จะลดการคุกคามของการโจมตี AITM ดังนั้นการสูญเสีย passkey หนึ่งครั้งทั้งไม่บล็อกการเข้าถึงของผู้ใช้ Magic Links ยังสามารถช่วยเป็นวิธีการตรวจสอบทางเลือกที่ค่อนข้างปลอดภัย แต่ Esentire ยังแนะนำแนวคิดของ“ ลิงก์ที่มีผู้ดูแล”
ลิงก์ที่ผ่านมาเป็นลิงค์เวทมนตร์ที่ให้“ กระแสการตรวจสอบความปลอดภัยที่ปลอดภัยใหม่ซึ่งแยกได้จากเซสชั่น AITM ที่มีอยู่เดิมที่มีอยู่” โพสต์อธิบาย
บริษัท ยังแนะนำการออกแบบโฟลว์การตรวจสอบความถูกต้องของทีมสีแดงเพื่อให้มั่นใจว่าการย้ายออกจาก Passkeys จะเริ่มต้นเซสชั่นใหม่และการใช้การวิเคราะห์พฤติกรรมและบริการตรวจจับและการตอบสนองที่ได้รับการจัดการเพื่อการป้องกันอย่างต่อเนื่องและการลดภัยคุกคามอย่างรวดเร็ว
นักวิเคราะห์ได้ระบุการโจมตี Man-in-the-Middle (MITM) ที่มีศักยภาพการกำหนดเป้าหมายคุกกี้เซสชันซึ่งอาจถูกขโมยโพสต์การพิสูจน์ตัวตนเพื่อแอบอ้างผู้ใช้
แม้จะมีช่องโหว่ แต่การยอมรับ Passkey ก็เพิ่มขึ้นอย่างรวดเร็ว
ล่าสุด,แอพ MyGov ของออสเตรเลียรวม Passkeysในการเสนอราคาเพื่อให้วิธีการตรวจสอบความถูกต้องที่ปลอดภัยยิ่งขึ้นสำหรับผู้ใช้ MasterCard ประกาศความมุ่งมั่นในการใช้ Passkeysและโทเค็นเต็มสำหรับการชำระเงินในสหภาพยุโรปภายในปี 2573 และAWS เพิ่มการสนับสนุนสำหรับ Passkeys ในเดือนมิถุนายน
หัวข้อบทความ
ไบโอเมตริกซ์-ความปลอดภัยทางไซเบอร์-passkeys-การตรวจสอบสิทธิ์แบบไม่มีรหัสผ่าน
