Follow

FIDO2/WebAuthn bzw. Zwei-Faktor-Authentifizierung aushebeln? Geht: Mit der Kombination aus Muraena und NecroBrowser.

Details: forum.kuketz-blog.de/viewtopic

Tools: github.com/muraenateam

@kuketzblog FIDO2 braucht für die Authentifizierung funktionierendes TLS. Die Annahme, die Transportsicherheit sei für die Schlüsselaushandlung gewährleistet, ist ja auch vollkommen legitim: Wenn sie *danach* nicht gewährleistet ist, ist der Schaden ebenso groß - das Session-Cookie ist geklaut.

Insofern ist die Erkenntnis darauf beschränkt, dass MITM es erlaubt, Informationen anzugreifen.

Sign in to participate in the conversation
Mastodon

The social network of the future: No ads, no corporate surveillance, ethical design, and decentralization! Own your data with Mastodon!