Организация с Okta, включённый passwordless через FIDO2, всё по best practices — session token администратора получен за сорок минут. Passkeys не помогли: аутентификация прошла штатно, а сессионный cookie уехал на AitM-прокси. Вендоры продают «конец...Passkeys и корпоративная безопасность: attack surface FIDO2 глазами пентестера
Источник: codeby.net