FIDO（Fast Identity Online）标准素以安全性和用户友好性著称 ，认证被广泛应用于无密码认证领域
，机制解降级攻击漏并被视为防范钓鱼攻击的遭破有效手段。然而，洞恐Proofpoint研究团队近期发现了一种可绕过FIDO认证的成新新方法。专家们为此开发了降级攻击技术 ，源码下载威胁并以微软Entra ID为例进行了测试验证。认证

采用FIDO密钥保护的机制解降级攻击漏账户通常能抵御钓鱼攻击 ，但Proofpoint指出某些FIDO实施方案存在降级攻击漏洞。遭破攻击者通过诱导用户采用安全性较低的洞恐认证方式实现入侵 。

研究人员的服务器租用成新突破点在于：并非所有网络浏览器都支持FIDO密钥（例如Windows系统下的Safari浏览器）
。Proofpoint表示："网络罪犯可改造中间人攻击（AiTM）框架，威胁伪装成FIDO实现方案无法识别的认证用户代理 ，迫使用户转而采用低安全性的机制解降级攻击漏认证方式。建站模板"

为验证攻击可行性
，遭破Proofpoint专家在Evilginx中间人攻击框架中开发了"钓鱼套件"——这是一种用于伪造网站界面
、窃取登录数据和会话令牌的配置文件。该攻击之所以能够得逞
，是香港云服务器因为配置FIDO认证的用户账户通常会将多因素认证（MFA）作为备用登录方案 。

安全专家还原了完整的攻击链条 ：

尽管目前尚未发现该技术被实际用于网络犯罪 ，Proofpoint仍将此类降级攻击列为重大新兴威胁。专家警告称："随着越来越多机构采用FIDO等防钓鱼认证方案，攻击者极可能将FIDO认证降级技术整合进其攻击链条 。"