慢雾CISO：WebAuthn密钥登录存在绕过风险

本站消息，9 月 22 日，慢雾信息安全官 23pds 在 X 平台发文称，MistEye 预警监测发现知名标准 WebAuthn 密钥登录存在绕过风险。研究人员发现一种可绕过基于 WebAuthn 密钥登录的新型攻击，攻击者可通过恶意浏览器扩展或利用网站 XSS 漏洞劫持 WebAuthn API，从而强制降级为密码登录、篡改密钥注册流程以窃取凭据。该攻击无需访问设备或 Face ID，受害者在存在恶意扩展或注入漏洞的网站上使用密钥登录，即可能被冒充身份，导致账户被攻破。

WebAuthn (Web Authentication) 是由 W3C 和 FIDO 联盟制定的一项 Web 标准，它让网站和应用可以通过公钥密码学来进行安全的用户认证。它的目标是替代或补充传统密码，让用户可以用：

· 硬件安全密钥（如 YubiKey、Feitian Key 等）；
· 内置平台认证器（如 Windows Hello、Touch ID、Face ID、Android 生物识别）；
· 任何符合 FIDO2 标准的设备。