为什么网络钓鱼网站会要求用户通过webauthn，而不是直接询问用户名/密码？

Question

我知道FIDO协议是网络钓鱼的证明，但是为什么一个钓鱼网站会要求用户通过webauthn，而可以直接询问用户名/密码。

我试图暗示的是，只有在FIDO在其所有身份验证端点上完全启用FIDO时，FIDO才是服务的钓鱼证明。如果它有FIDO在几个端点，但甚至有一个端点，这是一个单一的因素，那么你仍然容易钓鱼。我的理解是，当FIDO说它的钓鱼证明，它意味着即使攻击者获得您的凭据，它是无用的，因为他们仍然必须使用FIDO密钥来访问帐户。而且，由于一个单一因素端点暴露了这一点，除非您完全使用FIDO，否则您不是钓鱼验证。我的理解正确吗？

Answer 1

正确-除非所有端点强制执行，否则实现MFA是没有意义的。这意味着，如果您有一个使用用户名和密码的遗留API，那么如果用户帐户启用了FIDO2，就不可能通过它进行身份验证。