FIDO2

从理想国到现实世界 2024年12月，FIDO联盟在东京发布了最新数据：全球已有超过150亿个在线账户支持Passkey登录，这一数字相比2023年翻了一番。Google报告称其8亿账户使用了Passkey，累计完成25亿次登录，登录成功率提升30%。Amazon创建了1.75亿个Passkey。日本的KDDI通过Passkey将客服电话减少了35%，Mercari实现了零钓鱼事件的记录。 ...

2019年8月30日，Twitter首席执行官Jack Dorsey的账号突然开始发布种族歧视言论。攻击者没有破解他的密码，而是通过一种名为"SIM交换"的技术接管了他的手机号码，进而绕过了短信双重验证。这一事件揭示了多因素认证（MFA）领域一个长期被忽视的真相：并非所有的"双重认证"都同样安全。 ...

2012年7月，六家科技公司——PayPal、Lenovo、Validity Sensors、Nok Nok Labs、Agnitio和Infineon——成立了一个名为FIDO（Fast IDentity Online）的行业联盟。他们的目标简单而宏大：杀死密码。 ...

title: “SSH密钥认证的隐形危机：为何你的私钥可能正在成为攻击者的通行证” date: “2026-03-06T13:46:02+08:00” description: “从1995年Tatu Ylönen发明SSH协议，到2023年GitHub RSA密钥泄露事件，SSH密钥认证已经走过了三十年历程。本文深度剖析SSH密钥认证的安全困境：Ed25519与RSA的算法博弈、Agent转发攻击原理、证书认证的企业级方案、以及FIDO2硬件密钥的零信任实践。基于USENIX Security论文、Qualys安全公告、NIST SP 800-63标准等权威信源，揭示SSH密钥管理中的十大安全陷阱，以及从密钥蔓延（key sprawl）到证书权威（CA）架构的技术演进路径。” draft: false categories: [“网络安全”, “密码学”, “运维实践”] tags: [“SSH”, “密钥管理”, “Ed25519”, “证书认证”, “零信任”, “FIDO2”, “CVE-2023-38408”, “Agent转发”, “密钥泄露”] 2023年3月24日，凌晨5点UTC，GitHub紧急更换了其用于保护Git操作的RSA SSH主机密钥。原因很讽刺：这个密钥在某个公开的GitHub仓库中被短暂暴露。 ...