近日,安全初创企业SquareX发布的一项研究称发现了影响passkeys安全性的“重大漏洞”,引发行业广泛争议。该公司在Defcon大会展示的“Passkeys Pwned”攻击,依靠此前通过社工手段诱使用户安装的恶意浏览器扩展,劫持passkey生成流程,令攻击者可控制密钥对并获得如Gmail、Microsoft 365等云服务访问权限。
SquareX声称,这一方法证明“passkey也可被窃取”,打破了主流大厂宣称的passkeys无法被盗的安全承诺。然而,包括Ars Technica等资深安全媒体在内的多方指出,所谓的“漏洞”依赖于端点设备本身已被攻陷,用于证明passkey失效并不成立。专家强调,无论何种身份验证方式,一旦终端受控,一切防护都形同虚设。
目前业界一致认为,passkeys基于FIDO联盟规范,其公私钥绑定与防钓鱼能力都远胜传统密码,尚未有FIDO标准本身的安全漏洞被公开。业内对SquareX报告的实际意义和严谨性提出质疑,并提醒用户防范社工攻击和恶意扩展才是保护passkey安全的关键。