钓鱼攻击者发现降级而非绕过FIDO MFA的方法

研究人员最近报告发现一种野外钓鱼攻击，能够绕过基于FIDO（快速身份在线）的多因素认证方案。FIDO是数千个网站和企业正在采用的行业标准。

如果属实，这将是重大新闻，因为FIDO被广泛认为对凭证钓鱼攻击免疫。在分析Expel安全公司的博客文章后，可以确信该攻击并未绕过FIDO保护，至少不是安全圈通常理解的"绕过"含义。相反，该攻击将MFA过程降级为较弱的非FIDO流程。因此，更准确地说这是FIDO降级攻击。

滥用跨设备登录功能

Expel表示这种"新颖攻击技术"始于包含假冒Okta登录页面链接的电子邮件。当用户输入有效用户名和密码后，攻击组织PoisonSeed就清除了未授权访问Okta账户的第一个大障碍。

FIDO规范设计初衷正是为了缓解此类场景，要求用户提供安全密钥形式的额外认证因素。用户可以通过跨设备登录功能提供此额外因素：当登录设备上没有通行密钥时，用户可以使用已存在于其他设备（通常是手机）上的通行密钥。此时登录网站会显示QR码，用户用手机扫描后正常进行FIDO MFA流程。

Expel称PoisonSeed找到了巧妙手法绕过这一关键步骤：当用户在假冒Okta站点输入凭证时，攻击者实时将其输入真实Okta登录页面。攻击者请求跨设备登录后，钓鱼站点立即捕获QR码并中继回用户，用户使用MFA验证器扫描后，攻击者即获得访问权限。

FIDO如何使此类攻击不可能

FIDO规范编写者预见到了此类攻击技术并建立了防御机制。如果目标Okta MFA过程遵循FIDO要求，登录将因两个原因失败：

首先，提供混合认证的设备必须与攻击者设备物理接近，通过蓝牙连接。这是强制性要求，否则认证将失败。

其次，混合设备需要签名的挑战将绑定到假冒站点域名（如okta[.]login-request[.]com），而非真实Okta.com域名。即使设备邻近，认证仍会因URL不匹配而失败。

降级攻击的本质

Expel遇到的实际上是降级攻击，将FIDO MFA降级为较弱形式。很可能是类似在电视上登录Netflix或YouTube账户时使用的手机验证方式。这种情况下，组织Okta登录页面管理员必须故意允许回退到较弱MFA形式。

FIDO认证应用开发者Isaiah Inuwa举例说明降级工作原理： 假设ACME公司支持多种MFA方法：FIDO安全密钥和短信。 Alice注册了两种方法。Eve想访问Alice在ACME的账户。 Eve设置钓鱼站点evil-acme.com并复制登录门户。获得Alice凭证后，Eve在真实站点输入正确凭证但遇到MFA界面。 Eve首先被提示使用FIDO密钥，但点击选择短信方式。 Eve向Alice发送钓鱼链接，Alice从真实站点收到短信代码，Eve拦截后登录。

这是"绕过"FIDO，但仅因为ACME允许用户选择弱MFA。将短信替换为跨设备QR码流程（如在智能电视上登录应用），就构成了这种攻击。

Expel代表同意此分析，表示正在更新帖子内容。

防御建议

管理员在允许FIDO保护的认证过程回退到其他形式前应慎重考虑。仅依赖FIDO可能有风险，因为在当前发展阶段，管理和导出通行密钥尚不如密码和其他凭证形式实用。最终用户应尽力只使用FIDO兼容认证形式，尽管在所述攻击中区分两者可能对某些人来说并不容易。

目前，依赖通行密钥的用户应继续使用。