网络钓鱼者已经找到了一种降级（而不是绕过）FIDO MFA 的方法

快速阅读: 《Ars Technica》消息，安全公司Expel发现新型钓鱼攻击，通过伪造Okta登录页面，绕过FIDO多因素认证，称为FIDO降级攻击。攻击者利用用户输入的账号密码，突破第一道防线。

据安全公司Expel报道，7月6日，研究人员发现了一种新型网络钓鱼攻击，该攻击能够绕过基于FIDO（快速在线身份验证）的多因素认证方案。FIDO是被数千家网站和企业广泛采用的行业标准，被认为是防范凭证网络钓鱼的有效手段。然而，此次攻击并未真正绕过FIDO的保护，而是将多因素认证过程降级为一种较弱的、非FIDO标准的认证方式。因此，这种攻击被称为FIDO降级攻击。

Expel的研究人员详细描述了这一“新颖的攻击技术”。攻击始于一封包含链接的电子邮件，该链接指向一个伪造的Okta登录页面。Okta是一家广泛使用的认证服务提供商。受害者在输入用户名和密码后，实际上已经帮助攻击者——被命名为PoisonSeed的团伙——突破了获取未经授权访问Okta账户的第一道防线。

FIDO规范设计的目的就是为了防止这种情况发生。它要求用户提供额外的身份验证因素，通常是通过安全密钥完成，包括passkey（通行密钥）或物理安全密钥，如智能手机或Yubikey。在认证过程中，passkey需要使用设备中的唯一加密密钥对站点发送的挑战信息进行签名。如果当前设备上没有passkey，用户可以使用存储在其他设备上的passkey，通常是手机。此时，登录页面会显示一个二维码，用户通过手机扫描二维码后，FIDO多因素认证流程继续进行。

(以上内容均由Ai生成)