FIDO 认证机制遭破解，降级攻击漏洞恐成新威胁

发布时间：2025-11-04 19:19:31 来源：技术快报 作者：应用开发

FIDO（Fast Identity Online）标准素以安全性和用户友好性著称，认证被广泛应用于无密码认证领域，机制解降级攻击漏并被视为防范钓鱼攻击的遭破有效手段。然而，洞恐Proofpoint研究团队近期发现了一种可绕过FIDO认证的成新新方法。专家们为此开发了降级攻击技术，威胁并以微软Entra ID为例进行了测试验证。认证

采用FIDO密钥保护的机制解降级攻击漏账户通常能抵御钓鱼攻击，但Proofpoint指出某些FIDO实施方案存在降级攻击漏洞。遭破攻击者通过诱导用户采用安全性较低的洞恐认证方式实现入侵。

研究人员的站群服务器成新突破点在于：并非所有网络浏览器都支持FIDO密钥（例如Windows系统下的Safari浏览器）。Proofpoint表示："网络罪犯可改造中间人攻击（AiTM）框架，威胁伪装成FIDO实现方案无法识别的认证用户代理，迫使用户转而采用低安全性的机制解降级攻击漏认证方式。"

为验证攻击可行性，遭破Proofpoint专家在Evilginx中间人攻击框架中开发了"钓鱼套件"——这是一种用于伪造网站界面、窃取登录数据和会话令牌的配置文件。该攻击之所以能够得逞，是源码库因为配置FIDO认证的用户账户通常会将多因素认证（MFA）作为备用登录方案。

安全专家还原了完整的攻击链条：

尽管目前尚未发现该技术被实际用于网络犯罪，Proofpoint仍将此类降级攻击列为重大新兴威胁。专家警告称："随着越来越多机构采用FIDO等防钓鱼认证方案，攻击者极可能将FIDO认证降级技术整合进其攻击链条。"

相关文章