Squarex 연구원들은 충격적인 브라우저 결함을 공개했습니다.

30 8월 2025

수년에 걸쳐 파사키에 대한 암호를 피하는 것은 안전한 인증의 미래로 형성되었습니다.

암호화 키 쌍에 따라 약하거나 재사용 된 와이어가 아닌 Passkeys는 장기 비밀번호 시스템이있는 위험을 제거 할 것을 약속했습니다.

그러나 최근 DEF CON 33 이벤트에서 Squarex 연구원들은이 견해에 도전 한 새로운 결과를 도입하여 너무 많은 브라우저가 방어력을 우회하여 패스 같은 워크 플로를 관리 할 수 있다고 주장했습니다.

파사키의 역학

Passkeys는 공개 키 서비스가 제공자가 저장하는 동안 개인 키가 사용자 장치에 사는 시스템을 통해 작동합니다.

로그의 경우, 사용자는 생체 인식, 핀 또는 하드웨어 토큰으로 정체성을 로컬로 테스트하고 서버는 저장된 공개 키에 대한 응답을 인증합니다.

그러나이 구성에서 낚시 또는 무자비한 힘 공격과 같은 많은 고전적인 위험은 제거되어야하지만, 전체 과정은 신뢰할 수있는 중재자 역할을하지만 Squarex 연구자들이 이제는 위험하다고 주장하는 역할입니다.

그들은 공격자가 악의적 인 확장 또는 스크립트로 브라우저를 조작하고 등록 흐름을 방지하고 키 대체 키를 재 등록하고 공격자 제어 조건을 다시 등장하는 방법을 보여주었습니다.

피해자의 관점에서, 로그인 GUIN 프로세스는 법적 패스 콕 작업으로 불분명 해 보이며 크레딧이 변조되고 있다는 경고 신호가 없습니다.

설치된 엔터프라이즈 보호 장비, 최종 포인트 보호 또는 네트워크 방어는 이러한 수준의 브라우저 활동에 대한 가시성을 제공하지 않습니다.

Squarex의 연구원 인 Shouria Pratap Singh는“Passkeys는 매우 신뢰할 수있는 형태의 인증이므로 사용자가 생체 인식 프롬프트를 볼 때 보안의 징후로 간주합니다.

“그들이 알지 못하는 것은 공격자가 브라우저에서 Passi 워크 플로우를 방지하여 Packey 등록 및 인증을 쉽게 속일 수 있다는 것입니다.이 위험에서는 복잡한 뱅킹 및 데이터 저장 응용 프로그램을 포함하여 많은 엔터테인먼트 및 고객 애플리케이션을 제공합니다.”

대부분의 엔터프라이즈 데이터가 SASS 플랫폼에 저장된 상태에서 패스 키는 기본 LT 인증 방법으로 빠르게 채택되고 있습니다.

Squax의 결과는이 전환이 검사가 전통적으로 약한 영역 인 브라우저 보안에 새로운 의존성을 제시한다는 것을 나타냅니다.

Packeys는 여전히 기존 자격 증명 이상의 진행 상황을 나타내지 않을 수 있지만 Squarex 수신은 시스템이 오류가 완전히 없어지지 않으며 조직이 보편적 솔루션으로 패스 키를 받아들이 기 위해 매우 빠르게 진행할 수 있음을 보여줍니다.