- Браузеры — это слабая связь, которую злоумышленники сейчас используют для контроля
- Squarex показывает, как тривиальные сценарии перехватывают потоки пасей и угон
- С точки зрения пользователя, посмотрите поддельные запросы ввода PassKey полностью реальными
В течение многих лет уход паролей в отношении паски, поскольку будущее безопасной аутентификации было сформулировано.
Благодаря поддержке в парах криптографических ключей вместо слабых или повторно используемых строк, Passkeys пообещали удалить риски, которые давно страдают от паролей.
На последнем событии Def Con 33 исследователи Squarex представили новые идеи, которые ставят под сомнение эту точку зрения и претензии Браузеры, которые полагаются на управление рабочими процессами Passkey, могут быть использованы таким образом, чтобы они справлялись с их защитой.
Механика пассажиров
Passkeys действует через систему, в которой на устройстве пользователя остается закрытый ключ, а поставщик услуг сохраняется открытый ключ.
Чтобы зарегистрироваться, пользователь проверяет идентификацию локально с помощью биометрии, вывода или аппаратного токена, а сервер аутентифицирует ответ на хранимый открытый ключ.
Эта структура должна устранить многие из классических рисков, таких как фишинговые или грубые атаки, но весь процесс требует, чтобы браузер служил надежным посредником, роль исследователей Squarex, которая сейчас утверждает, опасна.
Они показали, как злоумышленники могут манипулировать средой браузера со злонамеренными расширениями или сценариями, чтобы перехватить поток регистрации, заменить ключи и даже заставить пользователей регистрировать контролируемые условия при злоумышленниках.
С точки зрения жертвы, процесс регистрации не выглядит из законной хирургии пассики без различия в регистрационной информации.
Установленные инструменты безопасности предприятия, будь то защита конечных точек или дефицит сети, не предлагают видимости на этом уровне деятельности браузера.
«Passkeys — очень надежная форма аутентификации. Поэтому, если пользователи видят биометрический запрос ввода, воспринимайте это как сигнал безопасности», — сказал исследователь Squarex Shourya Pratap Singh.
«Вы не знаете, что злоумышленники могут легко подделать регистрацию и аутентификацию PassKey, перехватив рабочий процесс PassKey в браузере. Это обеспечивает практически любое корпоративное и потребительское приложение, включая критические банк и приложения для хранения данных».
Поскольку большинство данных компании, которые в настоящее время хранятся на платформах SAAS, пассажиры быстро принимаются в качестве стандартного метода аутентификации.
Результаты Squarex показывают, что этот переход вводит новую зависимость от безопасности браузера, область, в которой надзор был традиционно слабым.
Passkeys может продолжать представлять прогресс в традиционной информации о входе в систему, но исследования Squarex показывают, что ни одна система не является полностью свободной от дефектов, и организации могли двигаться слишком быстро, чтобы рассматривать пассажиры как универсальное решение.
Как оставаться в безопасности
- Используйте заслуживающий доверия Антивирус для распознавания и блокировки скрытого вредоносного кода.
- Установите расширения только из проверенных источников и регулярно проверяйте свои разрешения.
- Держите браузеры в курсе, чтобы убедиться, что последние агентства по безопасности используются.
- Используйте диспетчер паролей, чтобы безопасно лечить устаревшие учетные записи на основе паролей.
- Объедините процессы регистрации с приложением Authenticator для укрепления этапов обзора.
- Регулярные настройки браузера, чтобы минимизировать воздействие не достойных сценариев или надстройки.
- Ограничьте количество устройств, используемых для конфиденциальных регистраций, чтобы уменьшить варианты атаки.
Вы также могли бы понравиться
