Passkey(通行密鑰)是一種流行的無密碼技術，多用于驗證用戶對云托管應用程序的訪問。盡管Passkey被寄予厚望，號稱密碼終結者，但卻容易受到中間對手(AitM)攻擊。根據eSentire的一項研究，如果Passkey未能正確實施，例如提供不太安全的備份身份驗證方法，容易遭受AitM攻擊，攻擊者通過修改向用戶顯示的提示來繞過身份驗證流程。

　　大多數Passkey實現可被繞過

　　“在Passkey僅用作第一因素身份驗證方法時，其備份身份驗證容易受到AitM攻擊，”eSentire威脅響應部門(TRU)的首席安全研究員Joe Stewart在博客文章中指出：“由于AitM可以通過修改登錄頁面中的HTML、CSS和圖像或JavaScript來操縱呈現給用戶的視圖，當它被代理到最終用戶時，他攻擊者可以控制身份驗證流程并刪除對密鑰身份驗證的所有引用。

　　這一發現意味著，在無密碼密鑰身份驗證之后被認為更安全的帳戶(例如銀行、電子商務、社交媒體、云帳戶和軟件開發平臺等在線平臺上的帳戶)仍然可以被入侵。

　　Stewart在博客中發布了POC并指出，開源AitM軟件(如Evilginx)可用于欺騙GitHub，Microsoft和Google等流行IT服務的用戶。

　　在Evilginx中，可以通過一些編輯(編輯顯示文本)來部署特定的Phishlet，即通過從真實登錄頁面捕獲身份驗證令牌和會話cookie來啟用AitM攻擊的腳本，以誘騙用戶進行密鑰身份驗證。

　　“我們使用了標準的GitHub網絡釣魚進行測試，”Stewart說道：“當目標用戶訪問誘餌URL時，除了URL欄中的主機名之外，他們看到的釣魚頁面與普通的GitHub登錄頁面一樣，因為它就是真實的GitHub登錄頁面，只是通過Evilginx代理。”

　　然而，通過稍微修改網絡釣魚配置，攻擊者可以刪除“使用Passkey登錄”的文本，Stewart補充說，這意味著攻擊者可以很容易地誘騙用戶選擇基于密碼的備份身份驗證。

　　該研究指出，對于使用Passkey作為第一因素和第二因素身份驗證方法的情況，都可實施此類攻擊。除非用戶安全意識極強，能夠記得界面中(應該有)Passkey選項，否則很可能會直接輸入用戶名和密碼，這些用戶名和密碼將與身份驗證令牌/cookie一起被發送給攻擊者，后者可以使用這些令牌/cookie來保持對帳戶的持續訪問。

　　根據Stewart的說法，passkeys.directory上列出的大多數Passkey實現都容易受到此類身份驗證方法編輯攻擊。

　　最安全的備份身份驗證方法

　　該研究進一步強調，幾乎所有的Passkey備份身份驗證方法都容易受到AitM攻擊，包括密碼、安全問題、向受信任設備推送通知、社交受信任聯系人恢復、短信代碼、電子郵件、電話、KYC/文件驗證或預定義電子郵件或短信號碼上的魔術鏈接。

　　其中，只有社交可信聯系人恢復、KYC驗證和魔術鏈接等選項才能通過繁瑣的設置來阻止AitM。

　　研究者指出，第二密鑰或FIDO2硬件密鑰是最安全的方法。“顯然，擁有多個密鑰才是最安全的方法，最好是至少有一個密鑰是由PIN安全存儲和保護的硬件密鑰，”Stewart指出：“Passkey的采用仍處于早期階段，在密鑰/安全密鑰丟失或AitM身份驗證流程被操縱的情況下，魔術鏈接可能是目前恢復用戶帳戶最安全的方法。”