Breaking WebAuthn, FIDO2, and Forging Passkeys
a year ago
- #Authentication
- #WebAuthn
- #Security
- 通行密钥正在取代密码,通过存储在设备上的FIDO2凭证提供防钓鱼认证
- 通行密钥引入了涉及CTAP2协议、CBOR数据块和WebAuthn API的复杂攻击面
- 概念验证演示了伪造通行密钥签名以实现无需硬件安全密钥的自动化登录
- 该项目包含嗅探CTAP2流量、解码CBOR/COSE字段以及用Rust重新实现CTAP2协议
- 可利用Chrome开发者工具协议创建虚拟认证器,绕过硬件要求
- 实际测试显示Google、Microsoft和GitHub等主流网站存在不同级别的安全漏洞
- 缓解措施包括强制使用签名计数器、严格限制CDP权限以及依赖方服务器端检查
- 该研究凸显了WebAuthn和通行密钥实施过程中需要更强有力的安全策略