3/4 Passkeys: Sicherheit

Wie im ersten Teil gesehen, sind Passkeys für den Benutzer sehr einfach (weder Eingabe von Benutzernamen noch Passwort sind nötig). Nun lösen wir das Paradox, weshalb sie trotzdem sicherer sind als Benutzername, Passwort und 2FA-Token.

Passkeys sind neu und wohl vielen noch nicht begegnet. In unserer vierteiligen Blog-Serie schauen wir uns Passkeys genauer an:

• Teil 1: Was sind Passkeys
• Teil 2: Integration von Passkeys in Webapps (für Entwickler)
• Teil 3: Sicherheit von Passkeys
• Teil 4: Herausforderungen bei Passkeys

Automatisches MFA

Es scheint auf den ersten Blick, als ignoriert Passkeys, was wir in den letzten Jahren gelernt haben: 2FA oder MFA ist wichtig und soll überall aktiviert werden. Nun muss ich jedoch weder Benutzernamen, Passwort noch 2FA-Code eingeben.

Bei Passkeys ist MFA implizit integriert. Zum einen muss ich das Gerät besitzen, auf welchem der Passkey gespeichert ist (something I have) und zum anderen muss ich mich beim Authenticator auf diesem Gerät (biometrisch) identifizieren zum Beispiel mit Fingerabdruck oder FaceID (something I am). Somit werden auch hier zwei Faktoren benötigt.

Wiederverwendung von Passwörtern

Das Problem, dass ein Passwort für mehre Accounts verwendet wird, gibt es beim Passkeys nicht. Ein Passkey kann nur für eine Webapp verwendet werden und ist immer eindeutig. Auch ist es nicht nötig ein Passwort zu erfinden, welches den Passwortrichtlinie der jeweiligen App entspricht.

Datenlecks

Jeden Tag kommen neue Datenlecks an den Tag. So werden unsere Benutzernamen und Passwort-Hashes (selten auch Klartext-Passwörter) öffentlich. Je nach verwendetem Hash-Algorithmus können die Klartextpasswörter mehr oder weniger schnell herausgefunden werden. Ob ein Benutzernamen oder Passwort in einem Data-Breach aufgetaucht ist kann unter https://haveibeenpwned.com/ nachgeschaut werden. Bei Passkeys ist auf dem Server lediglich die Credential-ID und der dazugehörige Public-Key gespeichert. Ein Angreifer kann mit diesen Informationen nichts anfangen. Der Public-Key kann bei keinem anderen System verwendet werden.

Password-Spray

Bei dieser Art von Angriff, werden bekannte Passwörter eines Benutzers bei anderen Applikationen ausprobiert. Die Benutzernamen und Passwörter stammen aus Datenlecks und können im Darknet gekauft werden. Da es bei Passkeys keine Passwörter mehr gibt und die Public-Keys nur für ein Account gültig sind, funktioniert dieser Angriff nicht mehr.

Phishing nach Benutzernamen, Passwort oder 2FA-Code

Phishing nach Account-Credentials funktioniert nicht mehr. Denn ein klassisches Passwort ist ja nicht mehr vorhanden, welches in die Hände eines Phishers gelangen könnte. Der Private-Key sind auf dem Gerät gespeichert und können nicht einfach extrahiert werden. Somit bringt das Phishing nach Credentials nichts mehr.