FIDO2/WebAuthn bzw. Zwei-Faktor-Authentifizierung aushebeln? Geht: Mit der Kombination aus Muraena und NecroBrowser.

Details: forum.kuketz-blog.de/viewtopic

Tools: github.com/muraenateam

Follow

@kuketzblog FIDO2 braucht für die Authentifizierung funktionierendes TLS. Die Annahme, die Transportsicherheit sei für die Schlüsselaushandlung gewährleistet, ist ja auch vollkommen legitim: Wenn sie *danach* nicht gewährleistet ist, ist der Schaden ebenso groß - das Session-Cookie ist geklaut.

Insofern ist die Erkenntnis darauf beschränkt, dass MITM es erlaubt, Informationen anzugreifen.

Sign in to participate in the conversation
Mastodon

Server run by the main developers of the project 🐘 It is not focused on any particular niche interest - everyone is welcome as long as you follow our code of conduct!