为什么钓鱼网站会要求用户通过 webauthn,而不是直接要求 username/password?
Why would a phishing website ask user to go through webauthn, instead it can plainly ask for username/password?
我知道 FIDO webauthn 协议是防钓鱼的,但为什么钓鱼网站会要求用户通过 webauthn,而不是直接要求 username/password。
我想暗示的是,如果 FIDO 在其所有身份验证端点上完全启用 FIDO,则 FIDO 是服务仅 的网络钓鱼证明。
如果它在几个端点上有 FIDO,但即使只有一个端点是单一因素,那么你仍然容易受到网络钓鱼的攻击。
我的理解是,当 FIDO 说它的网络钓鱼证明时,这意味着即使攻击者获得了您的凭据,也没有用,因为他们仍然必须使用 FIDO 密钥才能访问该帐户。
并且由于单一因素端点暴露了这一点,除非您完全使用 FIDO,否则您不是网络钓鱼证据。我的理解正确吗?
正确 - 除非 所有 端点强制执行 MFA,否则没有必要实施 MFA。这意味着如果你有一个遗留的 API 需要用户名和密码,那么如果用户帐户启用了 FIDO2,则应该无法通过它进行身份验证。
我知道 FIDO webauthn 协议是防钓鱼的,但为什么钓鱼网站会要求用户通过 webauthn,而不是直接要求 username/password。
我想暗示的是,如果 FIDO 在其所有身份验证端点上完全启用 FIDO,则 FIDO 是服务仅 的网络钓鱼证明。 如果它在几个端点上有 FIDO,但即使只有一个端点是单一因素,那么你仍然容易受到网络钓鱼的攻击。 我的理解是,当 FIDO 说它的网络钓鱼证明时,这意味着即使攻击者获得了您的凭据,也没有用,因为他们仍然必须使用 FIDO 密钥才能访问该帐户。 并且由于单一因素端点暴露了这一点,除非您完全使用 FIDO,否则您不是网络钓鱼证据。我的理解正确吗?
正确 - 除非 所有 端点强制执行 MFA,否则没有必要实施 MFA。这意味着如果你有一个遗留的 API 需要用户名和密码,那么如果用户帐户启用了 FIDO2,则应该无法通过它进行身份验证。