大多數(shù)Passkey容易受到AitM攻擊
Passkey(通行密鑰)是一種流行的無(wú)密碼技術(shù),多用于驗(yàn)證用戶(hù)對(duì)云托管應(yīng)用程序的訪問(wèn)。盡管Passkey被寄予厚望,號(hào)稱(chēng)密碼終結(jié)者,但卻容易受到中間對(duì)手(AitM)攻擊。根據(jù)eSentire的一項(xiàng)研究,如果Passkey未能正確實(shí)施,例如提供不太安全的備份身份驗(yàn)證方法,容易遭受AitM攻擊,攻擊者通過(guò)修改向用戶(hù)顯示的提示來(lái)繞過(guò)身份驗(yàn)證流程。
大多數(shù)Passkey實(shí)現(xiàn)可被繞過(guò)
“在Passkey僅用作第一因素身份驗(yàn)證方法時(shí),其備份身份驗(yàn)證容易受到AitM攻擊,”eSentire威脅響應(yīng)部門(mén)(TRU)的首席安全研究員Joe Stewart在博客文章中指出:“由于AitM可以通過(guò)修改登錄頁(yè)面中的HTML、CSS和圖像或JavaScript來(lái)操縱呈現(xiàn)給用戶(hù)的視圖,當(dāng)它被代理到最終用戶(hù)時(shí),他攻擊者可以控制身份驗(yàn)證流程并刪除對(duì)密鑰身份驗(yàn)證的所有引用。
這一發(fā)現(xiàn)意味著,在無(wú)密碼密鑰身份驗(yàn)證之后被認(rèn)為更安全的帳戶(hù)(例如銀行、電子商務(wù)、社交媒體、云帳戶(hù)和軟件開(kāi)發(fā)平臺(tái)等在線平臺(tái)上的帳戶(hù))仍然可以被入侵。
Stewart在博客中發(fā)布了POC并指出,開(kāi)源AitM軟件(如Evilginx)可用于欺騙GitHub,Microsoft和Google等流行IT服務(wù)的用戶(hù)。
在Evilginx中,可以通過(guò)一些編輯(編輯顯示文本)來(lái)部署特定的Phishlet,即通過(guò)從真實(shí)登錄頁(yè)面捕獲身份驗(yàn)證令牌和會(huì)話(huà)cookie來(lái)啟用AitM攻擊的腳本,以誘騙用戶(hù)進(jìn)行密鑰身份驗(yàn)證。
“我們使用了標(biāo)準(zhǔn)的GitHub網(wǎng)絡(luò)釣魚(yú)進(jìn)行測(cè)試,”Stewart說(shuō)道:“當(dāng)目標(biāo)用戶(hù)訪問(wèn)誘餌URL時(shí),除了URL欄中的主機(jī)名之外,他們看到的釣魚(yú)頁(yè)面與普通的GitHub登錄頁(yè)面一樣,因?yàn)樗褪钦鎸?shí)的GitHub登錄頁(yè)面,只是通過(guò)Evilginx代理。”
然而,通過(guò)稍微修改網(wǎng)絡(luò)釣魚(yú)配置,攻擊者可以刪除“使用Passkey登錄”的文本,Stewart補(bǔ)充說(shuō),這意味著攻擊者可以很容易地誘騙用戶(hù)選擇基于密碼的備份身份驗(yàn)證。
該研究指出,對(duì)于使用Passkey作為第一因素和第二因素身份驗(yàn)證方法的情況,都可實(shí)施此類(lèi)攻擊。除非用戶(hù)安全意識(shí)極強(qiáng),能夠記得界面中(應(yīng)該有)Passkey選項(xiàng),否則很可能會(huì)直接輸入用戶(hù)名和密碼,這些用戶(hù)名和密碼將與身份驗(yàn)證令牌/cookie一起被發(fā)送給攻擊者,后者可以使用這些令牌/cookie來(lái)保持對(duì)帳戶(hù)的持續(xù)訪問(wèn)。
根據(jù)Stewart的說(shuō)法,passkeys.directory上列出的大多數(shù)Passkey實(shí)現(xiàn)都容易受到此類(lèi)身份驗(yàn)證方法編輯攻擊。
最安全的備份身份驗(yàn)證方法
該研究進(jìn)一步強(qiáng)調(diào),幾乎所有的Passkey備份身份驗(yàn)證方法都容易受到AitM攻擊,包括密碼、安全問(wèn)題、向受信任設(shè)備推送通知、社交受信任聯(lián)系人恢復(fù)、短信代碼、電子郵件、電話(huà)、KYC/文件驗(yàn)證或預(yù)定義電子郵件或短信號(hào)碼上的魔術(shù)鏈接。
其中,只有社交可信聯(lián)系人恢復(fù)、KYC驗(yàn)證和魔術(shù)鏈接等選項(xiàng)才能通過(guò)繁瑣的設(shè)置來(lái)阻止AitM。
研究者指出,第二密鑰或FIDO2硬件密鑰是最安全的方法。“顯然,擁有多個(gè)密鑰才是最安全的方法,最好是至少有一個(gè)密鑰是由PIN安全存儲(chǔ)和保護(hù)的硬件密鑰,”Stewart指出:“Passkey的采用仍處于早期階段,在密鑰/安全密鑰丟失或AitM身份驗(yàn)證流程被操縱的情況下,魔術(shù)鏈接可能是目前恢復(fù)用戶(hù)帳戶(hù)最安全的方法。”
