慢霧 CISO：WebAuthn 密鑰登入存在重大安全隱患

ChainCatcher 消息，慢霧信息安全官 23pds 在 X 平台發文表示，新型 WebAuthn 密鑰登入繞過攻擊方式。攻擊者可通過惡意瀏覽器擴展或網站 XSS 漏洞劫持 WebAuthn API，實現強制降級爲密碼登入或篡改密鑰註冊流程以竊取憑據。該攻擊無需物理接觸設備或訪問生物識別功能即可完成。WebAuthn 是 W3C 和 FIDO 聯盟制定的重要 Web 認證標準，支持硬件密鑰、生物識別等多種認證方式，目前被廣泛應用於網站安全登入。建議相關企業和用戶及時關注該安全風險。