FIDO2 論文閱讀分析:很多 passkey 真正厲害的,不是完全打不破,而是把攻擊者逼回更貴的世界
這篇論文真正有價值的,不是說 FIDO2 完全不能被打,而是把攻擊者還能怎麼打拆得很清楚:大多數成功路徑都得先控制受害者裝置、污染 trust store、做 DNS/ARP spoofing,或把使用者逼回較弱的 fallback 流程。也就是說,passkey 的真正優勢不是神奇免疫,而是把原本便宜、可規模化的 phishing 攻擊,推回更昂貴、更難複製的環境劫持模式。
2026 年 4 月 23 日