我知道 FIDO webauthn 协议是网络钓鱼证明,但为什么网络钓鱼网站会要求用户通过 webauthn,而不是它可以明确要求用户名/密码。
我试图暗示的是,只有当它在其所有身份验证端点上完全启用 FIDO 时,FIDO 才是服务的网络钓鱼证明。如果它在少数端点上具有 FIDO,但甚至有一个端点是单因素的,那么您仍然容易受到网络钓鱼的影响。我的理解是,当 FIDO 说它的网络钓鱼证明时,这意味着即使攻击者掌握了您的凭据,它也是无用的,因为他们仍然必须使用 FIDO 密钥来访问该帐户。而且由于单因素端点暴露了这一点,除非您完全使用 FIDO,否则您不是网络钓鱼证明。我的理解正确吗?