Tldr
Incluso si no quita mínimo más de esta parte, si su ordenamiento está evaluando implementaciones de claves de entrada, es inseguro implementar claves de entrada sincronizadas.
- Las claves de entrada sincronizadas heredan el peligro de las cuentas en la nimbo y los procesos de recuperación que las protegen, lo que crea una exposición empresarial importante.
- Los kits Adversary-in-the-middle (AiTM) pueden forzar respaldos de autenticación que eluden la autenticación segura por completo
- Las extensiones de navegador maliciosas o comprometidas pueden secuestrar solicitudes de WebAuthn, manipular el registro o el inicio de sesión con esencia de entrada e impulsar el autocompletado para filtrar credenciales y códigos de un solo uso.
- Las claves de entrada vinculadas al dispositivo en las claves de seguridad de hardware ofrecen veterano seguridad y mejor control oficinista que las claves de entrada sincronizadas y deberían ser obligatorias para los casos de uso de entrada empresarial.
Riesgos de esencia de entrada sincronizada
Vulnerabilidades de esencia de entrada sincronizada
Las claves de entrada son credenciales almacenadas en un autenticador. Algunos están vinculados a dispositivos, otros se sincronizan entre dispositivos a través de servicios en la nimbo para consumidores como iCloud y Google Cloud. Sync prosperidad la usabilidad y la recuperación en escenarios de descenso seguridad orientados al consumidor, pero cambia el término de confianza a las cuentas en la nimbo y los flujos de trabajo de recuperación. La Alianza FIDO y Yubico han emitido importantes avisos para que las empresas evalúen esta división y prefieran opciones vinculadas a dispositivos para una veterano seguridad.
Operacionalmente, las claves de entrada sincronizadas amplían la superficie de ataque de tres maneras:
- La apropiación indebida de cuentas en la nimbo o el exageración de recuperación pueden autorizar nuevos dispositivos, lo que luego erosiona la integridad de la credencial.
- Si un favorecido inicia sesión en su dispositivo corporativo con su cuenta personal de Apple iCloud, las claves de entrada creadas podrían sincronizarse con sus cuentas personales; esto hace explotar dramáticamente la superficie de ataque más allá de los límites de seguridad empresarial.
- La mesa de ayuda y la recuperación de cuentas se convierten en los verdaderos puntos de control a los que se dirigen los atacantes porque pueden copiar el mismo argolla protegido en un dispositivo nuevo, desconocido y que no es de confianza.
Ataques de degradación de autenticación
![]() |
Vea la sesión “capturada”. (Fuente de la imagen: Proofpoint) |
Los investigadores de Proofpoint documentaron una degradación praxis de Microsoft Entra ID donde un proxy de phishing falsifica un navegador no compatible, como Safari en Windows, Entra desactiva las claves de entrada y se dirección al favorecido para que seleccione un método más débil, como SMS u OTP. Luego, el proxy captura las credenciales y la cookie de sesión resultante y las importa para obtener entrada.
Este vector de amenazas depende del soporte desigual del sistema operante y del navegador de webAuthnpasskey y de la bienvenida por parte del proveedor de identidad (IdP) de métodos de autenticación débiles a cortesía de una consideración praxis de UX. Es un clásico adversario en el medio (AitM) impulsado por la dirección política. No rompe el enlace de origen de WebAuthn porque la plataforma nunca llega a una ceremonia de WebAuthn cuando una rama de compatibilidad la desactiva. Su método de autenticación más débil define su seguridad verdadero.
La mediación inmediata en WebAuthn es una característica que permite a los sitios ofrecer un método de autenticación no comercial cuando WebAuthn no está apto. Esto es útil para UX, pero los atacantes incluso pueden extralimitarse de él para dirigir a los usuarios alrededor de rutas que no son webAuthn si la política lo permite.
Seguridad basada en navegador indefenso a vectores de amenazas de extensión y autocompletado
Los investigadores de SquareX demostraron que un entorno de navegador comprometido puede secuestrar las llamadas de WebAuthn y manipular el registro o el inicio de sesión con esencia de entrada. La técnica no rompe la criptografía de esencia de entrada. Inyecta o intercepta el proceso del flanco del navegador, por ejemplo, a través de una extensión maliciosa o un error XSS, para reiniciar el registro, forzar una reserva de contraseña o completar silenciosamente una afirmación.
Chrome documenta una API de extensión llamamiento “webAuthenticationProxy” que puede interceptar los métodos navigator.credentials.create() y navigator.credentials.get() una vez adjuntos y luego proporcionar sus propias respuestas. Esta capacidad existe para casos de uso de escritorio remoto, pero demuestra que una extensión con el permiso correcto puede ubicarse en la ruta WebAuthn.
Las extensiones incluso ejecutan scripts de contenido en el interior del contexto de la página, donde pueden repasar y modificar el DOM e impulsar los flujos de la interfaz de favorecido, que incluyen la invocación de API de credenciales desde la página.
Una investigación independiente presentada en DEF CON describió el clickjacking de extensiones basado en DOM que apunta a los instrumentos de la interfaz de favorecido inyectados por las extensiones del administrador de contraseñas. Un solo clic de un favorecido en una página diseñada puede activar el autocompletado y la filtración de datos almacenados, como inicios de sesión, tarjetas de crédito y códigos de un solo uso. El investigador informa que, en algunos escenarios, la autenticación mediante esencia de entrada incluso puede explotarse y enumera versiones vulnerables de varios proveedores.
Las credenciales vinculadas al dispositivo son la única decisión empresarial eficaz
Las claves de entrada vinculadas a dispositivos están vinculadas a un dispositivo específico, normalmente con la procreación y el uso de claves privadas realizadas en componentes de hardware seguros. En la empresa, las claves de seguridad de hardware proporcionan señales de dispositivo consistentes, certificación y un ciclo de vida que puede inventariar y revocar.

Orientación para un software de claves de entrada de nivel empresarial
Política
- Exija autenticación resistente al phishing para todos los usuarios, y especialmente para aquellos con roles privilegiados. Acepte exclusivamente autenticadores vinculados al dispositivo que generen credenciales no exportables en el momento del registro y nunca abandone el dispositivo. Las credenciales deben estar basadas en hardware seguro y vinculadas de guisa verificable al dispositivo físico que intenta iniciar sesión.
- Elimine todos los métodos alternativos, como SMS, llamadas de voz, aplicaciones TOTP, enlaces de correo electrónico y aprobaciones automáticas. Estos existen para ser explotados durante ataques de ingeniería social y degradación. Si existe un solicitud no comercial, un atacante lo forzará. Haz del camino cachas el único camino.
- Garantice la compatibilidad universal con el sistema operante y el navegador para credenciales vinculadas a dispositivos resistentes al phishing. No ofrezca alternativas; sí, esto es posible; estaremos encantados de mostrarle una demostración de la plataforma de defensa de identidad de Beyond Identity. La cobertura universal es necesaria para una defensa completa porque usted está tan protegido como su ligazón más débil.
Postura del navegador y la extensión
- Aplique listas permitidas de extensiones en navegadores administrados. No permita ninguna extensión que solicite permisos de webAuthenticationProxy, activeTab o secuencias de comandos de contenido amplio.
- Supervise continuamente las instalaciones de extensiones y las tendencias de uso para detectar eliminaciones masivas sospechosas o escaladas de permisos inexplicables. El compromiso a nivel de extensión es cada vez más indistinguible de un favorecido cierto. Bloquee el comportamiento del navegador tan estrictamente como lo haría con un punto final.
Inscripción y Recuperación
- Utilice autenticadores de incorporación seguridad como raíz de la recuperación. Ninguna mesa de ayuda, bandeja de entrada de correo electrónico o centro de llamadas debería poder eludir los controles resistentes al phishing. La recuperación suele ser el punto de entrada del atacante. Eliminar los vectores de ingeniería social y forzar la reprensión que cumpla con las políticas.
- Solo permita la inscripción de credenciales vinculadas al dispositivo.
- Capture metadatos de certificación en el momento del registro, incluido el maniquí de dispositivo y el nivel de seguro. Rechace autenticadores no reconocidos o no verificables. La confianza comienza con el registro. Si no sabe qué creó la credencial, no controla el entrada.
Higiene del dispositivo y defensa en tiempo de ejecución
- Vincular sesiones al contexto de dispositivo confiable. Una cookie de sesión nunca debería ser un artefacto portátil. La aplicación de la sesión en tiempo de ejecución debería vincular la identidad a la postura continua del dispositivo, no solo a una autenticación auténtico.
- Aplicar autenticación continua. Si la posición, la ubicación o el estado de seguridad del dispositivo cambian, solicite una nueva autenticación o niegue el entrada. Un inicio de sesión no es un pase de pasillo. El peligro es dinámico, la autenticación incluso debe serlo.
- Suponga que los intentos de autenticación con factores débiles deberían bloquearse de forma predeterminada. Vea cómo los clientes de Beyond Identity cercar instantáneamente ataques de identidad basándose en el simple hecho de que no es una credencial sólida que intenta alcanzar.
Cómo se ve esto en la praxis
La edificio de un sistema de seguridad de identidad que ofrece una defensa inflexible contra ataques basados en identidad, navegador y dispositivos se puede detallar mediante estos tres rasgos:
- Credenciales vinculadas al dispositivo: Las credenciales nunca salen del dispositivo. No son exportables, están respaldados por hardware y no se pueden sincronizar ni reproducir en ningún otro ocasión.
- Confianza continua: La autenticación nunca se detiene al iniciar sesión. Continúa durante toda la sesión, vinculado a las señales posturales del dispositivo.
- Aplicación universal de la higiene en los terminales: Todos los puntos finales están en el interior del resonancia. Incluso los dispositivos no administrados deben evaluarse en tiempo verdadero para determinar su postura de peligro y la integridad de la sesión.

El resultado final
Las claves de entrada sincronizadas no son un campo de fuerza apropiado para la defensa. Mejoran la usabilidad para casos de uso de consumidores a costa de la seguridad del entrada empresarial.
Vea más en acto en un próximo seminario web. Cómo los atacantes evitan FIDO: por qué fallan las claves de entrada sincronizadas y qué hacer en su ocasión donde Beyond Identity revisará cómo ocurren las fallas de claves de entrada sincronizadas y cómo los principales equipos de seguridad, incluidos Snowflake y la Universidad de Cornell, cierran estos caminos.
¡Incluso si no puedes unirte, regístrate y obtendrás la disco!