最近Esentire的博客文章讨论了确保Passkeys并防止身份验证方法的新策略进行修复攻击,这是网络犯罪分子绕过安全措施的一种技术。这些攻击涉及操纵身份验证过程。
身份验证方法的修订攻击涉及绕过主要的身份验证方法,以支持较少安全的备份方法,进而使中间人(AITM)网络钓鱼攻击。 Esentire展示了对Github的攻击,但说许多Passkey实施也存在缺陷。
网络安全检测提供商表明,实施多个PassKey是减轻AITM攻击威胁的一种方法,因此,失去一个Passkey既不阻止用户的访问权限,也不需要对较低的确定身份验证方法的后备。魔术链接也可以作为一种相对安全的后备身份验证方法来帮助,但Esentire也介绍了“ Warded Links”的概念。
该帖子解释说,沃德链接是魔术链接,可提供“与任何现有的AITM-compompromisted会话隔离的新的安全身份验证流”。
该公司还建议使用红色团队的身份验证流设计,以确保离开Passkeys的任何移动也启动了新的会议,并使用行为分析以及托管检测和响应服务来持续保护和快速威胁缓解。
分析师已经确定了潜在的中间人(MITM)攻击针对会话cookie,这可能被偷走后验证后对用户冒名。
尽管存在脆弱性,但Passkey的采用率仍在迅速增长。
最近,澳大利亚的MyGov应用程序集成Passkeys,为了为用户提供更安全的身份验证方法。万事达卡宣布了它致力于实施Passkeys到2030年欧盟的付款以及AWS增加了支持六月的Passkeys。
