- 综合排序
- 最热优先
- 最新优先
- 来自专栏FreeBuf
谷歌推出首款量子弹性 FIDO2 安全密钥
谷歌在本周二宣布推出首个量子弹性 FIDO2 安全密钥,作为其 OpenSK 安全密钥计划的一部分。 OpenSK是用Rust编写的安全密钥,支持FIDO U2F和FIDO2标准。 与 Chrome 浏览器的混合机制(X25519 和 Kyber-768 的组合)类似,谷歌提出的 FIDO2 安全密钥椭圆曲线数字签名算法(ECDSA)和最近标准化的抗量子签名算法 Dilithium 最后谷歌表示,希望看到这种组合实现(或其变体)被标准化,成为FIDO2密钥规范的一部分,并得到主流网络浏览器的支持,从而保护用户的凭证免受量子攻击。
67730编辑于 2023-09-08 - 来自专栏博客迁移同步
九、从华为HMS快速身份验证能力FIDO2看密码学知识
根据华为开发者文档介绍如下 FIDO2线上快速身份验证客户端: 提供基于WebAuthn标准的FIDO2线上快速身份验证客户端实现,为应用及浏览器提供安卓Java API 支持使用USB 将系统完整性检测结果作为FIDO2认证的前置条件,保障认证结果更安全。 用户登录和用户支付时,需要验证使用者是否是服务的合法用户,就需要FIDO2线上快速身份验证能力。 这些能力最常见的就是指纹验证。 流程说明如下 官方晦涩难懂的解释如下: 1.应用程序集成FIDO2客户端SDK,向FIDO服务器发起注册请求。 app客户端集成FIDO2客户端(SDK),向华为后台服务器发起注册请求,告诉后台你要录入指纹了,以后可能就是要指纹登陆和支付了,所以华为得负责其中的安全。
1.2K10编辑于 2023-05-06 - 来自专栏DotNet NB && CloudNative
ASP.NET Core 10 安全全景图:五大支柱构筑坚不可摧的 API 防线
ASP.NET Core 10 以对现代化防御手段的一流支持进入竞技场:自动化 PKCE、细粒度策略授权与内置速率限制无缝结合、无停机证书轮换、FIDO2 无密码流程,以及零信任(Zero-Trust) FIDO2 & WebAuthn 来救援 FIDO2 是一个基于公钥的身份认证标准。您的设备(或像 YubiKey 这样的硬件密钥)持有私钥;服务器存储其公钥。 使用 FIDO2/WebAuthn 实现防钓鱼、无密码登录。 5. 零信任原则构建纵深防御架构。 准备好应用这些了吗? 1. 添加 FIDO2 并尝试基于浏览器的 WebAuthn。 5. 融入可观测性——当您进行故障排除时,未来的您会感谢现在的您。 借助自动化 PKCE、策略驱动的授权、速率限制、证书轮换、FIDO2 无密码登录以及零信任基础,您可以自信地抵御现代威胁。
49910编辑于 2025-08-24 - 来自专栏FreeBuf
提升安全性,主流浏览器将迎来新的Web认证标准
与FIDO的客户端到验证器协议(CTAP)规范一起,它是FIDO2项目的核心组件,它使“用户能够通过具有钓鱼安全性的桌面或移动设备轻松验证在线服务。” 新的FIDO2规范补充了现有的无密码FIDO UAF和第二因子FIDO U2F用例。所有FIDO2网络浏览器和在线服务均向后兼容经过认证的FIDO安全密钥。 该联盟表示,它很快将推出互用性测试,并计划为服务器,客户端和认证机构颁发符合FIDO2规范的认证。一致性测试工具已经在FIDO的网站上提供。 使用FIDO2,用户可以从两个简单的方面受益,他们可以使用内部/内置身份验证器(例如PC,笔记本电脑和/或移动设备中的指纹或面部生物测定学)或外部身份验证器(安全密钥和移动设备),同时享受更安全的身份验证机制
1.3K50发布于 2018-04-17 - 来自专栏公共互联网反网络钓鱼(APCN)
后OTP时代:基于AFASA法案的无密码认证架构演进研究
无密码认证的技术范式:FIDO2与WebAuthn针对SMS-OTP的种种弊端,FIDO(Fast IDentity Online)联盟推出的FIDO2标准成为了全球公认的替代方案,也是AFASA法案所推崇的技术基石 该示例展示了如何利用浏览器的原生能力生成密钥对并完成挑战响应,体现了FIDO2协议的核心逻辑。 对于不支持FIDO2的老旧设备,可暂时保留OTP,但需加强风险监控,如限制交易额度、增加人工审核等。 从基于共享秘密的SMS-OTP转向基于公钥密码学与生物特征的FIDO2标准,不仅是技术协议的迭代,更是安全哲学的重塑。 本文通过深入剖析SMS-OTP的内生风险,阐述了FIDO2/WebAuthn的技术优势,并结合代码实例展示了无密码认证的可行性。
22610编辑于 2026-03-20 - 来自专栏公共互联网反网络钓鱼(APCN)
PayPal钓鱼邮件滥用账户设置流程的攻击机制与防御体系研究
在此基础上,提出涵盖身份认证强化、用户行为干预、邮件基础设施加固与浏览器端防护的四维防御框架,并给出FIDO2绑定、DMARC策略配置及浏览器地址栏验证等关键技术实现示例。 3.2 多因素认证的结构性缺陷尽管PayPal支持短信、TOTP及FIDO2等多种MFA,但绝大多数用户仍使用短信OTP。 4 防御体系构建4.1 启用FIDO2硬件密钥消除会话中继价值FIDO2基于公钥密码学,其断言(Assertion)与特定RP ID(Relying Party Identifier)及客户端环境绑定, FIDO2用户与OTP用户的账户失陷率。 某欧洲支付机构实施新指标后发现:尽管钓鱼邮件点击率稳定在8%,但FIDO2用户的TTF中位数为0秒(因无法中继),而OTP用户为3.2分钟,直接推动全员FIDO2迁移。
59410编辑于 2025-12-08 - 来自专栏公共互联网反网络钓鱼(APCN)
LinkedIn平台钓鱼攻击的盲区机制与零信任防御策略研究
本文进一步提出基于零信任架构的纵深防御框架,涵盖浏览器隔离、安全代理、FIDO2无密码认证、DLP策略集成及高风险角色行为核验流程,并通过原型系统验证其有效性。 无密码认证推广FIDO2安全密钥(如YubiKey)或平台认证器(Windows Hello),实现无密码登录。 部署建议:强制财务、高管等高风险角色启用FIDO2;兼容性:Microsoft Entra ID、Google Workspace均已支持。 评估结果(3个月):拦截可疑LinkedIn消息47条;成功阻断3起凭证钓鱼尝试;财务团队FIDO2启用率达100%;无资金损失事件发生。 本文通过分析攻击技术、盲区成因与风险路径,论证了传统邮件中心防御模型的局限性,并提出以零信任为核心、融合浏览器隔离、FIDO2认证与行为核验的综合防御策略。
42110编辑于 2025-12-16 - 来自专栏公共互联网反网络钓鱼(APCN)
针对英国赞助许可企业的钓鱼攻击机制与防御体系研究
实验表明,强制FIDO2多因素认证可阻断98%以上的凭证窃取尝试,而基于角色的定向安全意识培训显著降低点击率。本研究为高监管压力下的关键业务系统防护提供了可复用的技术范式。 4 防御体系设计针对上述挑战,本文提出四维防御模型:4.1 身份验证层:强制FIDO2认证SMS系统应强制所有用户使用FIDO2安全密钥(如YubiKey)或生物认证(Windows Hello、Touch FIDO2基于公钥加密,私钥永不离开设备,彻底消除密码钓鱼风险。 干预期(第2–3月):强制FIDO2 + 部署域名阻断 + 角色定向培训。 本文通过技术拆解与防御实验,证实了FIDO2认证、仿冒域名主动防御、上下文感知用户干预与角色定向培训的组合有效性。
30410编辑于 2025-12-11 - 来自专栏公共互联网反网络钓鱼(APCN)
Calendly主题钓鱼攻击机制与企业防御体系研究
本文通过逆向分析典型攻击样本,还原其技术栈与交互逻辑,并提出涵盖邮件安全网关、终端行为监控、URL验证缓冲区及FIDO2无密码认证的纵深防御框架。 3.4 推进无密码认证:FIDO2与安全密钥最根本的防御在于消除对会话令牌的依赖。 Google Workspace与Facebook均已全面支持FIDO2。企业应强制管理员、财务、广告账户持有者使用物理安全密钥,并逐步淘汰短信/OTP类MFA。 /authenticate', {method: 'POST',body: JSON.stringify(assertion)});}由于FIDO2认证不传输任何可窃取的秘密,即使攻击者部署AiTM代理 防御上,必须构建覆盖邮件、网络、终端与身份层的协同防护体系,尤其应加速FIDO2无密码认证的部署,从根本上切断凭据窃取的价值链。
26610编辑于 2025-12-23 - 来自专栏UQUQ
YubiKey使用教程
Applications 有三个子选项 OTP、FIDO2、PIV OTP 有2个Slot 插槽,Slot 1厂家出厂默认已经配置了,建议保留,其中有 Yubico OTP 验证。 根据你需要的设置,如果暂时不懂跳过OTP 设置 FIOD2 设置一下FIOD2 PIN (出厂默认没有设置 FIDO2的PIN码,使用的话只有8次试错机会) 至少含有四个字符 长度应该是不限的 PIV 全部设置好后,只需记住 PIV 的 PIN 码(6-8字符)和 PUK码(6-8字符) ,FIDO2 的PIN 码(4字符及以上)。 PIV PIN码各大网站或应用绑定登录时都会用到。 1、服务器SSH登录 首先哈,我了解到有4种方法 PIV, FIDO2, GPG,OTP 我现在只搞明白了FIDO2、OTP 其他没玩明白 等大佬带飞 FIDO2模式 ssh -V #OpenSSH 密码 再次触摸yubikey 完成设置 完成 可添加多个哦 登录的时候验证的密码是FIDO2的密码 4字符以上那个 出厂卡槽 (Slot 1) 的 OTP 恢复 我拿的2做的演示 你们恢复选
6.8K20编辑于 2023-05-11 - 来自专栏公共互联网反网络钓鱼(APCN)
基于岗位画像与业务场景的钓鱼防御训练体系研究
该体系摒弃“一刀切”与“事后羞辱”模式,强调周期性演练、差异化场景设计、反馈闭环与同伴学习机制,并辅以浏览器端会话保护、FIDO2多因素认证及横向流量异常检测等技术控制手段。 关键词:钓鱼训练;嵌入式训练;岗位画像;内部伪装;任务驱动;FIDO2;安全意识1 引言网络钓鱼作为社会工程攻击的主要形式,其演化趋势已从广撒网式的外部诱饵转向高度定制化的内部语境渗透。 FIDO2安全密钥(如YubiKey)登录核心系统。 本文提出的训练体系,将安全意识从“通用知识”转化为“岗位技能”,通过任务驱动提升行为迁移能力;同时,以FIDO2、会话保护、流量监测构建技术兜底,形成“认知—行为—控制”闭环。 未来工作将探索:1)利用LLM自动生成符合岗位语境的钓鱼模板;2)将训练效果纳入岗位胜任力评估;3)推动行业标准,要求高风险系统强制支持FIDO2。
23310编辑于 2025-12-16 - 来自专栏公共互联网反网络钓鱼(APCN)
新兴钓鱼套件对多因素认证体系的威胁与防御路径
本文聚焦于新兴钓鱼套件的技术架构、攻击逻辑及其对现有身份验证体系的穿透能力,系统分析其绕过 MFA 的核心机制,并结合实证数据与代码示例,提出以 FIDO2 无密码认证为核心的纵深防御策略。 相比之下,FIDO2/WebAuthn 协议通过公钥加密与设备绑定,确保私钥永不离开用户设备(如安全芯片、YubiKey),且每次认证需用户显式确认(如指纹、PIN)。 四、纵深防御体系构建:从 MFA 升级到零信任(一)优先部署 FIDO2 无密码认证组织应逐步淘汰 OTP/SMS,转向 FIDO2 安全密钥或平台认证器(如 Windows Hello、Touch ID 五、对低资源组织的务实建议并非所有机构都能立即部署 FIDO2。 未来研究可进一步探索 FIDO2 在医疗、金融等高合规要求行业的部署障碍与激励机制,以加速安全基线的整体提升。编辑:芦笛(公共互联网反网络钓鱼工作组)
27710编辑于 2025-12-24 - 来自专栏公共互联网反网络钓鱼(APCN)
RaccoonO365开发者落网背后:一场钓鱼即服务(PaaS)产业链的崩塌与重生
“这就是为什么FIDO2硬件密钥成为终极防线。”芦笛强调,“基于WebAuthn的认证不会生成可被窃取的会话Cookie,每次操作都需物理确认,从根本上杜绝中间人(AiTM)钓鱼。” (1)强制FIDO2硬件密钥:终结凭据盗窃微软、Google、Apple已于2023年联合推动Passkey标准,但对企业环境而言,YubiKey、Feitian等FIDO2安全密钥仍是抵御AiTM钓鱼的黄金标准 管理员可通过Microsoft Entra ID策略强制高风险用户使用FIDO2:# 使用Microsoft Graph PowerShell SDK启用FIDO2策略Connect-MgGraph - BodyParameter @{"@odata.type" = "#microsoft.graph.authenticationMethodsPolicy"displayName = "Require FIDO2 真正的出路,在于构建一个技术、法律、情报三位一体的反制生态:技术上,用FIDO2、CAE、零信任架构抬高攻击成本;法律上,推动跨国执法协作,追究PaaS开发者的刑事责任;情报上,共享IoC(失陷指标)、
21310编辑于 2026-01-06 - 来自专栏公共互联网反网络钓鱼(APCN)
钓鱼即服务驱动下勒索软件入口演变与MFA绕过机制研究
重点探讨基于FIDO2/WebAuthn的设备绑定认证、会话持续风险评估、高敏操作二次验证等缓解策略的有效性。 关键词:网络钓鱼;勒索软件;PhaaS;AitM;多因素认证绕过;会话劫持;FIDO2;身份安全1 引言勒索软件攻击在过去五年中已从机会主义行为演变为高度组织化、以利润为导向的网络犯罪产业。 而FIDO2通过公钥密码学与设备绑定,确保私钥永不离开安全芯片,且认证断言与特定域名绑定,无法被重放或代理。 4 防御框架设计针对上述威胁,本文提出三层防御模型:4.1 认证层:部署抗AitM的强MFA强制使用FIDO2安全密钥或Windows Hello for Business(基于TPM)。 未来工作将聚焦于基于UEBA(用户与实体行为分析)的实时会话风险评分,以及FIDO2在混合办公环境中的大规模部署挑战。安全防御不应止步于入口,而需贯穿整个身份生命周期。
35310编辑于 2025-12-12 - 来自专栏公共互联网反网络钓鱼(APCN)
星巴克员工门户钓鱼攻击与敏感数据泄露防御研究
文章将重点探讨基于FIDO2标准的无密码认证技术如何从根本上解决凭证窃取问题,并结合代码示例展示其在企业门户中的落地路径。 基于FIDO2的抗钓鱼认证架构设计与实现面对传统凭证认证模式的系统性缺陷,业界亟需一种能够从密码学原理上杜绝凭证窃取的解决方案。 3.1 FIDO2与WebAuthn的核心机制FIDO2认证摒弃了传统的“共享秘密”(密码)模式,转而采用非对称加密技术。 3.2 技术实现与代码示例为了展示FIDO2在企业员工门户中的实际应用,以下提供一个基于Python Flask后端与WebAuthn API的简化实现示例。 本文通过深入剖析攻击链条,论证了基于FIDO2标准的无密码认证架构在抵御钓鱼攻击方面的决定性作用。通过源绑定和非对称加密机制,FIDO2从协议层面根除了凭证窃取的可能性,为身份安全树立了新的标杆。
41210编辑于 2026-03-18 - 来自专栏公共互联网反网络钓鱼(APCN)
钓鱼套件“军火化”:GhostFrame、BlackForce等新型工具正绕过MFA,大规模窃取数字身份
三天后,他发现自己的Google账户被用来向所有联系人发送“紧急求助”邮件;更糟的是,绑定该账户的FIDO2安全密钥竟也被远程“解绑”。 这意味着:即使账户启用了FIDO2安全密钥,只要用户曾在其他设备保持登录状态,攻击者仍可接管会话。此外,其AI引擎可根据目标IP自动切换语言和品牌模板。 淘汰短信/TOTP,全面拥抱FIDO2无密码认证FIDO2(如YubiKey、Windows Hello)的核心优势在于绑定物理设备且不传输密钥。 // FIDO2注册示例(WebAuthn API)navigator.credentials.create({publicKey: {challenge: Uint8Array.from([/* 随机挑战 采用FIDO2、强化浏览器策略、建立行为基线——这些措施或许不能100%阻止攻击,但足以让大多数自动化套件“无利可图”。在这个数字身份即资产的时代,保护凭证,就是保护我们在线世界的“身份证”。
21810编辑于 2026-01-09 - 来自专栏公共互联网反网络钓鱼(APCN)
针对PyPI维护者的钓鱼攻击与Python软件供应链安全防护机制研究
4.1 个体维护者层面:强化身份认证与发布控制启用FIDO2硬件安全密钥FIDO2标准(含WebAuthn与CTAP)提供防钓鱼的强认证机制。 PyPI自2023年Q4起支持FIDO2注册。维护者应优先使用YubiKey、SoloKey等合规设备,并禁用SMS及基于APP的2FA。 PSF可联合GitHub、GitLab等平台建立“高风险维护者”标识系统,对管理超过10万周下载量项目的账户,强制要求FIDO2认证与多因素审核。 PSF应在PyPI账户创建流程中嵌入安全引导,明确告知钓鱼风险及FIDO2优势,而非仅提供选项。 FIDO2硬件密钥可有效阻断凭证窃取;依赖哈希与SLSA/in-toto机制保障制品完整性;而社区层面的品牌保护与快速响应则能压缩攻击窗口。
40510编辑于 2025-12-13 - 来自专栏公共互联网反网络钓鱼(APCN)
浏览器内浏览器攻击机制与Facebook凭证窃取防御研究
为此,本文提出了一种基于密码管理器行为特征分析、FIDO2无密码认证强制推行及客户端动态窗口完整性校验的综合防御架构。 本文提出一种融合密码管理器行为分析、FIDO2无密码认证及客户端环境完整性校验的多层防御架构。 4.2 FIDO2与无密码认证的强制推行FIDO2(Fast Identity Online)标准及其实现的WebAuthn API,提供了从根本上免疫BitB攻击的解决方案。 公钥加密与源绑定:FIDO2认证基于公钥密码学。 未来的安全体系建设应将FIDO2的普及作为核心目标,逐步淘汰基于静态密码的单因素认证。
12310编辑于 2026-02-26 - 来自专栏公共互联网反网络钓鱼(APCN)
VoidProxy平台对多因素认证的绕过机制与防御对策研究
(一)强制FIDO2 + 源绑定认证FIDO2安全密钥(如YubiKey)基于公钥加密,私钥永不离开硬件设备,且认证响应绑定至特定RP(Relying Party)ID与客户端上下文。 Microsoft Entra ID已支持此功能,可通过条件访问策略强制:# Azure AD PowerShell: 要求FIDO2且禁止非托管设备New-AzureADMSConditionalAccessPolicy IncludeApplications = "All" }ClientAppTypes = @("browser")} `-GrantControls @{Operator = "AND"BuiltInControls = @("fido2 未来防御体系应向“持续验证”演进,核心包括:零信任身份架构:默认不信任任何会话,持续评估设备健康、行为基线与上下文风险;硬件级信任根:推广FIDO2与TPM集成,确保私钥不出设备;标准协议强化:加速DPoP 本文通过剖析其技术实现,指出单纯依赖第二因子无法解决会话令牌泄露问题,并提出以FIDO2绑定、短周期令牌、DPoP与风险驱动响应为核心的防御框架。
29210编辑于 2025-12-10 - 来自专栏公共互联网反网络钓鱼(APCN)
基于Evilginx的高校MFA绕过攻击机制与防御体系研究
针对此,本文提出融合协议层加固(FIDO2/WebAuthn)、终端行为遥测(EDR/Sysmon)与DNS异常检测的纵深防御模型,并通过构建可复现的实验环境验证其有效性。 关键词:Evilginx;中间人钓鱼;MFA绕过;会话劫持;高校网络安全;FIDO2;DNS异常检测1 引言高等教育机构因其庞大的用户基数、开放的网络架构及高价值科研数据,长期处于网络攻击的前沿。 高校应优先为管理员、研究人员等高权限账户启用FIDO2。策略2:实施会话绑定(Session Binding)在SSO响应中嵌入设备指纹哈希,并在每次API调用时验证。 基线组(仅MFA):100次模拟攻击中,98次成功获取会话;实验组(启用FIDO2 + 会话绑定 + DNS监控):FIDO2阻止92次初始钓鱼(因RP ID不匹配);剩余8次中,6次因会话指纹不匹配被拒绝 所提出的纵深防御体系通过FIDO2实现认证不可伪造,通过会话绑定确保授权不可转移,通过DNS与终端遥测提供攻击可见性。该框架不仅适用于高校,亦可推广至金融、医疗等依赖SSO的行业。
31010编辑于 2025-12-22
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号