FIDO 认证机制遭破解，降级攻击漏洞恐成新威胁

发布时间：2025-12-07 20:10:12 作者：玩站小弟

FIDOFast Identity Online）标准素以安全性和用户友好性著称，被广泛应用于无密码认证领域，并被视为防范钓鱼攻击的有效手段。然而，Proofpoint研究团队近期发现了一种可绕过FI 。

FIDO（Fast Identity Online）标准素以安全性和用户友好性著称，认证被广泛应用于无密码认证领域，机制解降级攻击漏并被视为防范钓鱼攻击的遭破有效手段。然而，洞恐Proofpoint研究团队近期发现了一种可绕过FIDO认证的成新新方法。专家们为此开发了降级攻击技术，香港云服务器威胁并以微软Entra ID为例进行了测试验证。认证

降级攻击技术原理

采用FIDO密钥保护的机制解降级攻击漏账户通常能抵御钓鱼攻击，但Proofpoint指出某些FIDO实施方案存在降级攻击漏洞。遭破攻击者通过诱导用户采用安全性较低的洞恐认证方式实现入侵。

研究人员的模板下载成新突破点在于：并非所有网络浏览器都支持FIDO密钥（例如Windows系统下的Safari浏览器）。Proofpoint表示："网络罪犯可改造中间人攻击（AiTM）框架，威胁伪装成FIDO实现方案无法识别的认证用户代理，迫使用户转而采用低安全性的机制解降级攻击漏认证方式。亿华云"

为验证攻击可行性，遭破Proofpoint专家在Evilginx中间人攻击框架中开发了"钓鱼套件"——这是一种用于伪造网站界面、窃取登录数据和会话令牌的配置文件。该攻击之所以能够得逞，是免费模板因为配置FIDO认证的用户账户通常会将多因素认证（MFA）作为备用登录方案。

攻击实施流程

安全专家还原了完整的攻击链条：

攻击者通过电子邮件、短信或OAuth请求向目标发送钓鱼链接受害者点击恶意链接后，系统会返回认证错误并建议采用替代登录方式当用户通过伪造界面完成登录时，其凭证数据和会话Cookie即遭窃取攻击者可借此劫持会话，云计算完全控制目标账户，进而实施数据窃取或横向渗透新型威胁预警

尽管目前尚未发现该技术被实际用于网络犯罪，Proofpoint仍将此类降级攻击列为重大新兴威胁。专家警告称："随着越来越多机构采用FIDO等防钓鱼认证方案，攻击者极可能将FIDO认证降级技术整合进其攻击链条。"

Tag：

为何说鲨鱼是严重的网络安全风险（没错，就是鲨鱼）？
令人惊讶的是，由于生性喜欢啃噬水下互联网电缆，鲨鱼在网络安全界掀起了轰动。事实证明，我们不仅要与陆地上的网络犯罪分子进行较量，还要与生活在海底的牙齿锋利的鲨鱼斗智斗勇。说真的，虽然这些强大的海洋生物有
2025-12-07
win10系统盘一般占用多大空间
我们使用的win10系统盘一般占用多大的空间呢?很多小伙伴都不知道吧。今天小编带来了详细的介绍，希望可以帮助到大家，下面一起来看看吧。win10系统盘一般占用多大空间介绍win10系统盘预留可用空间需
2025-12-07
win10开始菜单常用软件怎么设置
win10开始菜单常用软件显示可以帮助用户更好的使用软件，不用每次打开都要去找非常的方便，但是很多用户发现更新之后常用软件不显示在开始菜单，其实只要在个性化设置里开启就行，下面来一起看看吧。win10
2025-12-07
Win10系统崩溃怎么修复
最近有小伙伴反应电脑的win10系统崩溃了，无法开机进入系统里面修复，这可怎么办呢?其实我们可以从新下载一个系统，使用U盘进行安装，今天小编带来了详细的解决步骤，具体的一起来看看吧。Win10系统崩溃
2025-12-07
人工智能的网络威胁有多大？
从聊天机器人到ChatGPT等大型语言模型，人工智能无处不在。多年来，人工智能和机器学习一直是科技行业的热门话题，软件开发商和大型云供应商竞相将人工智能融入他们的产品中，使他们的产品更加智能，让客户的
2025-12-07
win10怎么设置休眠
我们在使用电脑的时候，总是会有遇到电脑长时间不用的情况。这种情况下，最好去设置电脑的自动休眠，但是电脑的自动休眠该如何去设置呢，快来看看详细的教程吧~win10怎么设置休眠：1.点击【小娜】搜索【控制
2025-12-07