在这两种方案中,你会注意到一个重要的细节:它们嵌入了请求的完整 URL(分别以 URL 和 origin 的形式)。这确保了签名仅对特定域名有效,只要认证器能够正确识别。因此,如果你不小心为未经授权的域名(例如 https://sites.google.com )签署了登录请求,那么当该签名提交给真实域名accounts.google.com时,它将无效。
基于 Passkey 的登录方法对抗钓鱼攻击非常有效,几乎每个安全性较高的组织都会使用某种形式的此类技术。通常情况下,组织会使用硬件认证密钥(如 YubiKey)作为第二个身份验证因素。
总结:如果你希望保护账户免受此类攻击,请使用手机创建 Passkey,并用它们来保护你的 iCloud 或 Google 账户。
2.“毒广告”陷阱如果攻击者让他们的活动比上述案例更具迷惑性会怎样?
假设你开始新的一天,正在查看并优化你的广告活动。如果你和许多人一样,可能会直接在搜索栏中输入“google ads”。接着,你看到以下内容:
假设你点击了顶部的链接。它看起来像是 ads.google.com,果然,一切正常:
于是,你像往常一样导航进入登录页面。再次确认,没有任何异常,于是你输入了用户名和密码:
Surprise!你的帐户已被盗用!
不幸的是,这次给你提示的危险信号更少了。你需要注意广告的登录页面应该是 ads.google.com,而不是那个讨厌的伪造页面 sites.google.com。此外,登录地址应该是 account.google.com,而不是 sites.google.com。能够察觉到这些细节实属不易。
谷歌正在努力清除这些恶意广告——如果他们检测到异常,会立即封禁广告——但这种方式仍然偏向于被动防御,效果未必令人满意。
以下是更主动的解决方案:
-
考虑使用广告拦截器。虽然并非所有广告都试图欺骗你或窃取你的信息,但屏蔽所有广告可以有效消除这种担忧。尽管这种方式有些极端,但在我们找到验证广告是否安全的方法之前,我们不能完全信任我们看到的广告。
-
第二种解决方案与之前的情况类似:使用 Passkey。如果你在此使用 Passkey,即使密码泄露,你的账户仍然是安全的(至少暂时如此)。所以,如果你需要另一个理由,请尝试使用 Passkey。