不要相信您阅读的所有内容,尤其是当它是旨在销售安全服务的营销论点的一部分时。
这些论点可能带来的泄漏媒体的最新示例是SquareX今天发布的研究,SquareX是一家启动销售服务,旨在保护浏览器和其他客户端应用程序。他声称,没有基础,发现了“关键密钥的巨大脆弱性”,这破坏了苹果,Google,Microsoft和数千家热情地采用Passkeys的安全性。
啊,脸上的脸
研究中描述的攻击是本月初在Defcon演示中证明的“ Passkeys Pwned”。它基于恶意浏览器扩展程序,该扩展安装在前部社会工程攻击中,该攻击转移了创建传递密钥的过程,用于Gmail,Microsoft 365或其他成千上万个网站之一,这些网站现在使用替代形式的身份验证形式。
在幕后,扩展名使创建一个地窖和合法gmail.com域的谎言成为可能,但是键是由恶意软件创建的,并由攻击者控制。因此,对手可以访问组织用于最敏感操作的云应用程序。
Squarx研究人员在周四研究文件的预计版本中写道:“这一发现打破了传球不能被盗的神话,这表明“传球钥匙的飞行”不仅有可能,而且作为传统身份证的飞行是可能的。” “这引起了警告,通行证键似乎更安全,这种看法的很大一部分源于一项新技术,该技术尚未经历数十年的安全性和大火测试。”