Hızlı Kimlik Online İttifakı (FIDO) Donanım Çok Faktörlü Kimlik Doğrulama (MFA) ‘nı atlayabilen yeni bir saldırı türü gösteren yeni bir rapor daha iyi oldu.
Yubico yubikey 5ci
Verilen
Amerika Birleşik Devletleri merkezli güvenlik satıcısı Expel, Fido donanım anahtarlarını atladığı iddia edilen kıvrımlı bir ortada sosyal mühendislik tekniğini kullanan “zehirlenen” saldırıyı özetledi.
Fido donanım anahtarları kimlik avı direncinde altın standardı olarak kabul edilir ve onları başarıyla atlayabilecek bir saldırı güvenlik endüstrisinde önemli bir şaşkınlığa neden olacaktır.
Olduğu gibi, “Poisonseed” Bypass donanım kimlik doğrulama anahtarlarını değil, güvenlik satıcısı Yubico söyledi itnews.
Bir Yubico sözcüsü, “Exel’den yapılan araştırma, passeylerin tasarımında bir kusur göstermiyor ve Fido güvenlik anahtarlarının bir baypası değil” dedi.
Sözcü, “Bu, QR kodlarından yararlanan bir kimlik doğrulayıcı uygulama gibi, doğası gereği kimlik verilebilir herhangi bir yedekleme kimlik doğrulama yönteminin durdurulabileceği bir saldırı yöntemini özetliyor.”
Yubico, kullanıcılara herhangi bir kimlik ekosistemindeki tüm kimlik doğrulama akışlarını dikkatlice düşünmelerini önerir.
Bu, bir hesap yaşam döngüsündeki tüm adımlarda kimlik avına dayanıklı kimlik doğrulamayı kullanmayı ve Expel blogunda tartışılan kurtarma akışlarını, ortak bir saldırı vektörü olduğu göz önüne alındığında, açıkladı.
Sözcü, “Bu aynı zamanda uygulamaların diğer phishable MFA seçeneklerini devre dışı bırakma ve yalnızca Fido Güvenlik Anahtarları veya FIDO tabanlı kimlik doğrulama gerektirdiğini vurgulamaktadır.”
Raporunun yayınlanmasından sonra Expel, Amerika Birleşik Devletleri medyasına saldırının bir baypas değil, aslında bir MFA düşüşü olduğunu doğruladı. Expel, o zamandan beri bunu yansıtacak blog yayınını güncelledi.
Fido Alliance ile yorum için temasa geçildi, ancak yayın için zamanında yanıt vermedi.