FIDO（Fast Identity Online）标准素以安全性和用户友好性著称 ，认证被广泛应用于无密码认证领域，机制解降级攻击漏并被视为防范钓鱼攻击的遭破有效手段
。然而 ，洞恐Proofpoint研究团队近期发现了一种可绕过FIDO认证的成新新方法。专家们为此开发了降级攻击技术，云计算威胁并以微软Entra ID为例进行了测试验证。认证

采用FIDO密钥保护的机制解降级攻击漏账户通常能抵御钓鱼攻击 ，但Proofpoint指出某些FIDO实施方案存在降级攻击漏洞 。遭破攻击者通过诱导用户采用安全性较低的洞恐认证方式实现入侵 。

研究人员的高防服务器成新突破点在于：并非所有网络浏览器都支持FIDO密钥（例如Windows系统下的Safari浏览器）
。Proofpoint表示："网络罪犯可改造中间人攻击（AiTM）框架 ，威胁伪装成FIDO实现方案无法识别的认证用户代理 ，迫使用户转而采用低安全性的机制解降级攻击漏认证方式。免费模板"

为验证攻击可行性，遭破Proofpoint专家在Evilginx中间人攻击框架中开发了"钓鱼套件"——这是一种用于伪造网站界面、窃取登录数据和会话令牌的配置文件。该攻击之所以能够得逞 ，是亿华云因为配置FIDO认证的用户账户通常会将多因素认证（MFA）作为备用登录方案。

安全专家还原了完整的攻击链条 ：

尽管目前尚未发现该技术被实际用于网络犯罪，Proofpoint仍将此类降级攻击列为重大新兴威胁。专家警告称 ："随着越来越多机构采用FIDO等防钓鱼认证方案 ，攻击者极可能将FIDO认证降级技术整合进其攻击链条
。"