主要观点：研究人员报告在野外遭遇绕过基于 FIDO 的多因素认证方案的网络钓鱼攻击，安全公司 Expel 称其为“新颖攻击技术”，实际是 FIDO 降级攻击而非绕过。
关键信息：

• 攻击始于指向假 Okta 登录页的邮件，诱使用户输入用户名和密码，帮助攻击组获取 Okta 账户权限。
• FIDO 规范要求用户提供额外认证因素如安全密钥，其中一种方式是跨设备登录，遇无设备密钥时可通过手机等其他设备的密钥。
• PoisonSeed 找到绕过跨设备登录关键步骤的方法，即用户在假 Okta 页输入信息时，攻击组成员在真 Okta 页实时输入并获取二维码，用户扫描后攻击组成员得以进入。
• FIDO 规范已预见到此类攻击并构建防御，若按要求进行登录，因设备物理距离及 URL 不匹配等原因认证会失败，Expel 遭遇的是降级攻击，而非绕过。
  重要细节：
• 安全公司表示攻击是中间人的中间人攻击，篡改二维码过程绕过 FIDO 多因素认证。
• 管理员应谨慎允许 FIDO 保护的认证过程退回到其他形式，终端用户应使用 FIDO 兼容的认证形式。