将 Google Titan 之类的 FIDO U2F USB 密钥插入被黑客入侵的计算机有哪些风险?
我所指的黑客行为是指未经授权访问和控制操作系统。在这种情况下,能够秘密控制操作系统的黑客是一个恶意代理,他们会窃取信息,意图伤害那些依赖计算机的人。
我认为 FIDO 密钥是一种硬件设备,其中包含可以与在线用户帐户关联并用于向在线服务验证自己身份的代码。
说到风险,我想知道如果我在被黑客入侵的电脑上使用密钥,密钥中的信息是否会被恶意代理复制或使用。我不知道这项技术是如何工作的(我从未使用过 FIDO 密钥),但我正在考虑买一个。所以我无法列出风险,但我想了解潜在的负面情况。
答案1
许多 FIDO(以及一般的硬件令牌)反网络钓鱼保护都依赖于本地客户端软件(即网络浏览器)准确向设备报告请求来源。
FIDO 硬件令牌永远不会向主机透露其密钥(很像智能卡),但它能发送与您在计算机屏幕上看到的不同的身份验证请求——显示和令牌之间没有直接耦合,一切都取决于操作系统和本地应用程序。
例如,使用“改进的”浏览器:
您导航到网站 A,尝试登录,获取 FIDO 令牌提示。
这会导致浏览器也悄悄加载网站 G,模拟登录尝试(甚至可能尝试您在 A 上输入的相同密码),获取 FIDO 令牌提示而不在屏幕上显示它。
您触摸 FIDO 令牌,以为它闪烁是因为它收到了网站 A 的请求。事实上,您批准的是网站 G 的请求。
似乎什么都没有发生,你认为触摸没有被记录下来,因为令牌仍然在闪烁(这是因为现在当它正在处理网站 A 的请求时,你再次触摸它并忘记了它。