FIDO2 / YubiKey

FIDO2是一种基于硬件的物理安全密钥标准，YubiKey是其最著名的实现。FIDO2/YubiKey需要用户物理触摸才能完成认证，能有效防止远程木马静默执行和中间人攻击。

在Axios投毒事件中的意义

2026年3月的[[axios]]投毒事件中，攻击者通过RAT完全控制了核心维护者[[jason-saayman]]的电脑。如果使用FIDO2/YubiKey，攻击者无法在远程静默完成认证，因为每次认证都需要物理触摸硬件密钥。

优势

• 防远程执行：需要物理触摸，远程木马无法静默完成认证
• 防钓鱼：绑定特定域名，无法在伪造网站上使用
• 防中间人攻击：基于公钥密码学，无法被拦截或重放

实施建议

对于高权限的开源维护者和企业核心开发，必须强制使用需要物理触摸的硬件安全密钥。这能最大程度防止中间人攻击和远控木马的静默执行。

相关概念

• [[oidc]] — 基于密码学签名的短时身份验证协议，与FIDO2互补
• [[开源供应链安全]] — FIDO2是供应链安全的关键组成部分
• [[会话劫持]] — FIDO2旨在防御的攻击手法
• [[npm安全]] — FIDO2在NPM生态中的应用