近年來，作為密碼的更安全替代方案，Passkey 無密碼登入技術廣受業界推崇，它承諾能有效抵禦網路釣魚攻擊。然而，來自企業瀏覽器安全公司 SquareX 的研究人員，在最近的 DEF CON 大會上展示了一種新型攻擊手法，證明在特定情況下，Passkey 登入仍可能被繞過，這為 WebAuthn 身分驗證帶來了新的挑戰。

這項攻擊的核心目標是 WebAuthn 協議，這是 Passkey 實現其無密碼登入功能的標準。WebAuthn 允許網站透過瀏覽器與裝置進行通訊，以完成註冊和身份驗證流程。SquareX 的研究人員指出，駭客可以透過「JavaScript 注入」來劫持和操縱 WebAuthn 的 API 呼叫，進而偽造登入和註冊過程。

攻擊流程大致為：駭客首先需要找到一個客戶端存在漏洞的目標網站，例如存在跨站腳本攻擊（XSS）漏洞的網站。一旦駭客成功注入惡意 JavaScript，他們便能控制瀏覽器，並在使用者不知情的情況下，操縱 WebAuthn 的註冊或登入流程。即使受害者的裝置受到如 Face ID 這類生物辨識技術的保護，駭客仍然能夠在沒有實際存取受害者裝置的情況下，偽造使用者身分並繞過 Passkey 登入。

這項攻擊的特殊之處在於，傳統的網路釣魚是誘騙使用者在假網站上輸入密碼或 Passkey 憑證，但 Passkey 本身的設計使得這種攻擊難以成功，因為 Passkey 憑證是與特定網域綁定的。然而，SquareX 揭露的攻擊是直接在合法的網站內部進行，透過操縱底層的 WebAuthn API，從而繞開了 Passkey 的設計防護。

這項研究成果為所有依賴 Passkey 和 WebAuthn 進行身分驗證的網站和應用程式敲響了警鐘。儘管這種攻擊需要一個網站本身存在客戶端漏洞（如 XSS），但其潛在的威脅不容忽視。