慢霧 CISO：WebAuthn 密鑰登錄存在重大安全隱患

ChainCatcher 消息，慢霧資訊安全官 23pds 在 X 平台發文表示，新型 WebAuthn 密鑰登錄繞過攻擊方式。攻擊者可通過惡意瀏覽器擴展或網站 XSS 漏洞劫持 WebAuthn API，實現強制降級為密碼登錄或篡改密鑰註冊流程以竊取憑據。該攻擊無需物理接觸設備或訪問生物識別功能即可完成。

WebAuthn 是 W3C 和 FIDO 聯盟制定的重要 Web 認證標準，支持硬件密鑰、生物識別等多種認證方式，目前被廣泛應用於網站安全登錄。建議相關企業和用戶及時關注該安全風險。