4/4 Passkeys: Herausforderungen

Wie in den drei vorgängigen Blog-Beiträgen erwähnt, sind Passkeys einfacher und sicherer als Benutzernamen, Passwort und 2FA-Token. Wie bei jeder neuen Technologie, gibt es auch bei Passkeys Herausforderungen, Hürden und neue Arten von Angriffen.

Passkeys sind neu und wohl vielen noch nicht begegnet. In unserer vierteiligen Blog-Serie schauen wir uns Passkeys genauer an:

• Teil 1: Was sind Passkeys
• Teil 2: Integration von Passkeys in Webapps (für Entwickler)
• Teil 3: Sicherheit von Passkeys
• Teil 4: Herausforderungen bei Passkeys

Breite Adaption / User-Gewöhnung

Einige grosse Plattformen setzten bereits Passkeys ein. Eine Liste ist unter https://passkeys.directory/ zu finden. Doch noch fehlt die breite Adaption und für die Benutzer sind Passkeys etwas Neues und Unbekanntes. Ganz nach dem Sprichwort "Was der Bauer nicht kennt, frisst er nicht." werden wohl viele Benutzer dieser Technologie mit Skepsis begegnen.

Plattform-Lockin

Ein Passkey existiert auf einem Gerät. Bei Geräten, welche sich mit der Cloud synchronisieren, wie zum Beispiel Smartphones von Android oder Apple, können die Passkeys auf sicherem Wege auf weitere Geräte synchronisiert werden. Dies macht es für den Benutzer einfacher, jedoch funktioniert dies nur innerhalb des entsprechenden Eco-Systems. Sobald ein Benutzer Geräte in verschiedenen Eco-Systemen besitzt, ist es nicht mehr so einfach. Ob der Benutzer dem Cloud-Sync des jeweiligen Herstellers vertraut oder nicht, muss jeder für sich selber entscheiden.

Verlust von Gerät

Ein einzelner Passkey (solange nicht via Cloud synchronisiert) existiert genau auf einem Gerät. Geht dieses Gerät kaputt oder verloren, hat man keinen Zugriff mehr auf den Passkey. Verlorene Private-Keys können nicht wiederhergestellt werden. Hier gilt es von der jeweiligen App sicherzustellen, dass ein Benutzer seinen Account wiederherstellen kann, wenn er seinen Passkey verloren hat.

Kein Zugriff auf das Gerät

Wenn ich keinen Zugriff auf das Gerät habe, auf welchem der Passkey gespeichert ist, kann ich mich nicht einloggen. Heute ist dies möglich, wenn ich kein MFA einsetzt. Dann kann ich mich mit Benutzernamen und Passwort einloggen.

Geteilte Accounts

Auch wenn geteilte Accounts aus verschiedenen Gründen heute schon keine gute Idee sind, funktioniert dies mit Passkeys nicht mehr. Eine Person kann seinen Passkey nicht mit einer anderen Person teilen.

Neue Arten von Angriffen

Bis jetzt zielen die meisten Phishing-Angriff auf die Benutzernamen, Passwörter und 2FA-Codes eines Benutzers ab. Diese Angriffe sind mit Passkey wertlos. Die Übeltäter werden sich hier adaptieren und ihre Phishing-Angriffe auf zum Beispiel die Account-Recovery-Codes (sollte es solche geben) anpassen. Auch könnten die Account-Recovery-Methoden vermehrt in den Fokus von Phishing-Kampagnen geraten, um so direkt den Account zu übernehmen.

Den Angriff eine gültige Session zu stehlen, gibt es heute schon. Wenn man keine Benutzernamen und Passwörter mehr entwenden kann, wird diese Angriffsart neuen Aufwind erhalten.

Auch wird es Malware geben, welche versuchen wird, die Private-Keys aus dem geschützten Bereich zu klauen.