“最强防护”被绕开？新型“FIDO降级攻击”悄然兴起，专家警示：别让安全功能成摆设

在网络安全领域，FIDO（Fast Identity Online）联盟推动的“无密码登录”曾被视为对抗钓鱼攻击的“终极防线”。通过安全密钥、生物识别或设备绑定的通行密钥（Passkeys），用户无需输入密码即可完成高强度身份验证，极大降低了账户被盗风险。

然而，最新安全研究揭示：攻击者正绕开这道“铜墙铁壁”，转而攻击人类心理与系统配置漏洞——一种名为“FIDO降级攻击”（FIDO Downgrade Attack）的新型手法正在悄然蔓延。

攻击者不再试图破解FIDO协议，而是诱骗用户或系统“主动退回”到老式的、更脆弱的登录方式，如短信验证码、一次性密码（OTP）甚至传统密码。一旦得手，账户安全形同虚设。

“这就像你给房子装了指纹锁，结果小偷骗你说‘指纹系统坏了’，让你改用钥匙开门——然后他早就偷走了那把钥匙。”公共互联网反网络钓鱼工作组技术专家芦笛在接受采访时如此比喻。

“你的安全密钥不兼容”？别信，这可能是骗局

FIDO降级攻击的核心逻辑是“心理诱导+技术误导”。

攻击者会发送一封看似来自IT部门或云服务商的邮件，内容通常包括：

“检测到您的安全密钥与新版系统不兼容，请点击链接重新设置登录方式”

“浏览器不支持无密码登录，请切换为短信验证以继续访问”

“账户迁移中，需重新启用密码登录完成身份确认”

“您的通行密钥已过期，请立即恢复旧有认证方式”

这些提示往往设计得极为逼真，甚至附带“技术支持”按钮或“立即处理”链接。用户一旦点击，就会被引导至一个伪造的登录页面，系统“贴心”地提供“短信验证码”或“输入密码”选项——而这正是攻击者想要的。

“FIDO本身是安全的，但问题出在‘降级路径’。”芦笛指出，“很多企业为了兼容老旧设备或方便用户，在启用FIDO的同时，仍保留密码或短信验证作为‘备用登录方式’。攻击者正是利用了这个‘后门’。”

中间人代理：捕获会话，完成“无感接管”

更危险的是，这类攻击常与“AI中间人”（AI-in-the-Middle, AiTM）技术结合。

当用户在伪造页面输入短信验证码或密码后，攻击者不会直接保存这些信息，而是立即将其转发到真实的服务平台进行登录验证。一旦成功，系统返回一个有效的会话令牌（Session Token），攻击者立即劫持该会话，实现“无密码登录”。

这意味着：

用户可能完全不知情，甚至还在正常使用账户；

攻击者已获得完整访问权限，可读取邮件、发起转账、横向移动至其他系统；

即使企业启用了FIDO，只要存在“降级选项”，整个防御体系就会被轻松绕过。

“这种攻击的本质，是把‘最强认证’变成‘摆设’。”芦笛强调，“它不攻击技术，而是攻击配置和人性——你越想让用户方便，就越容易被钻空子。”

为何风险被放大？遗留系统成“安全短板”

报告指出，FIDO降级攻击之所以迅速蔓延，关键在于许多组织在推进无密码化时采取了“并行策略”：既启用FIDO，又保留传统认证方式，以避免员工因设备不支持而无法登录。

这种“双轨制”本意是平滑过渡，却无意中为攻击者提供了跳板。

“就像你家装了智能门锁，但为了老人方便，还在门边留了一把备用钥匙。”芦笛说，“问题是谁都知道钥匙在哪，而攻击者比你还清楚。”

此外，部分身份提供商（如Azure AD、Okta）默认允许用户在特定条件下“降级”登录，若未手动关闭相关策略，系统可能在检测到“异常设备”时自动提示用户改用密码——这恰恰被攻击者利用，伪造“设备不兼容”提示诱导用户降级。

攻防升级：从“允许降级”到“强制无密码”

面对这一新型威胁，安全界呼吁企业重新审视身份认证策略，从“支持降级”转向“强制无密码”。

1. 技术上“堵死后门”：禁用降级路径

最直接的防御是彻底关闭密码回退、短信验证等弱认证方式。企业应通过身份提供商的管理后台，启用“FIDO强制策略”，确保所有用户必须使用安全密钥或通行密钥登录。

“如果系统不再提供‘输入密码’的选项，攻击者再怎么诱导也没用。”芦笛强调，“这不是一步到位的问题，而是安全优先级的问题。”

2. 监控异常认证行为

即使启用了FIDO，也应持续监控认证日志。例如：

某用户长期使用FIDO，突然尝试通过短信登录；

同一账户在短时间内从不同设备发起多种认证方式请求；

认证上下文突变（如IP地址、浏览器指纹、地理位置异常）。

这些都可能是降级攻击的前兆，系统应自动触发警报或临时锁定账户。

3. 引入设备绑定与条件访问

现代身份系统支持“条件访问”（Conditional Access）策略。企业可设置规则，如：

仅允许注册设备登录；

要求设备通过合规性检查（如开启加密、安装EDR）；

会话令牌必须绑定特定设备，防止跨设备使用。

“这就像给你的登录行为加了一层‘地理围栏’。”芦笛解释，“即使攻击者拿到会话令牌，也无法在未授权的设备上使用。”

4. 用户教育：打破“紧急恢复”迷思

许多用户误以为“强认证需要紧急恢复链接”，这正是攻击者利用的心理弱点。

企业应明确告知员工：FIDO认证本身具备恢复机制（如密钥轮换、备用密钥），无需通过邮件链接“重新启用”旧方式。任何声称“需紧急恢复密码”的通知，都应视为可疑。

5. 定期审计身份配置

企业应定期审查身份提供商的安全设置，确保：

FIDO策略为“强制启用”；

旧有认证方式（如SMS、OTP）已关闭或仅限极少数例外；

密钥轮换需审批，防止攻击者冒名登记新设备。

“一次配置，终身安全”的时代已经过去。身份安全需要持续运营。

事件响应：纳入“强转弱”行为检测

值得注意的是，FIDO降级攻击往往发生在攻击链的中后期。攻击者可能先通过钓鱼获取员工邮箱访问权，再利用其发送“降级诱导”邮件，目标更精准，成功率更高。

因此，事件响应流程也需升级。安全团队应将“从强认证转向弱认证”的行为纳入异常基线，一旦发现大规模用户突然尝试降级登录，应立即启动调查。

“这不是普通的登录失败，而可能是攻击者在为横向移动铺路。”芦笛提醒，“尤其是财务、高管等高权限账户，任何认证方式的变更都应触发高优先级告警。”

未来方向：让“降级”变得不可能

长远来看，安全行业的目标是彻底消除“降级”选项。

Apple、Google、Microsoft已逐步推动“全平台通行密钥”（Passkeys）生态，用户可在iPhone、Android、Windows设备间无缝同步密钥，无需依赖短信或密码。

“当无密码登录真正普及，降级攻击自然失去土壤。”芦笛展望道，“但在此之前，我们必须主动关闭那些‘为了方便’而留下的漏洞。”

给普通用户的建议：三句话自保

“FIDO登录，从不点链接”：任何要求你“重新设置登录方式”“恢复密码”的邮件，都是骗局。真正的FIDO系统不会通过邮件通知你降级。

“认证方式别乱改”：如果你长期使用指纹或安全密钥登录，突然被提示要输密码或收短信，立刻停止操作，联系IT部门确认。

“设备要管好”：不要在公共电脑上登录账户，定期检查已注册的通行密钥设备，及时移除不再使用的设备。

结语：安全，是一场持续的攻防

FIDO降级攻击的出现，再次证明：没有一劳永逸的安全方案。每一道防线的建立，都会催生新的绕过策略。

真正的安全，不仅是技术的堆叠，更是策略的闭环——从系统配置、行为监控到用户认知，任何一个环节的松懈，都可能让最先进的防护沦为“纸老虎”。

“我们不能只想着‘怎么让用户更安全’，还要思考‘怎么让攻击者无路可退’。”芦笛说，“关闭降级路径，就是切断他们最后的逃生通道。”

当“无密码”成为默认，而非选项，或许我们才能真正告别“钓鱼”的噩梦。

编辑：芦笛（公共互联网反网络钓鱼工作组）