Veröffentlicht am: 24. Januar 2024
Autor: Thomas Federer
Wie in den drei vorgängigen Blog-Beiträgen erwähnt, sind Passkeys einfacher und sicherer als Benutzernamen, Passwort und 2FA-Token. Wie bei jeder neuen Technologie, gibt es auch bei Passkeys Herausforderungen, Hürden und neue Arten von Angriffen.
Passkeys sind neu und wohl vielen noch nicht begegnet. In unserer vierteiligen Blog-Serie schauen wir uns Passkeys genauer an:
Einige grosse Plattformen setzten bereits Passkeys ein. Eine Liste ist unter https://passkeys.directory/ zu finden. Doch noch fehlt die breite Adaption und für die Benutzer sind Passkeys etwas Neues und Unbekanntes. Ganz nach dem Sprichwort "Was der Bauer nicht kennt, frisst er nicht." werden wohl viele Benutzer dieser Technologie mit Skepsis begegnen.
Ein Passkey existiert auf einem Gerät. Bei Geräten, welche sich mit der Cloud synchronisieren, wie zum Beispiel Smartphones von Android oder Apple, können die Passkeys auf sicherem Wege auf weitere Geräte synchronisiert werden. Dies macht es für den Benutzer einfacher, jedoch funktioniert dies nur innerhalb des entsprechenden Eco-Systems. Sobald ein Benutzer Geräte in verschiedenen Eco-Systemen besitzt, ist es nicht mehr so einfach. Ob der Benutzer dem Cloud-Sync des jeweiligen Herstellers vertraut oder nicht, muss jeder für sich selber entscheiden.
Ein einzelner Passkey (solange nicht via Cloud synchronisiert) existiert genau auf einem Gerät. Geht dieses Gerät kaputt oder verloren, hat man keinen Zugriff mehr auf den Passkey. Verlorene Private-Keys können nicht wiederhergestellt werden. Hier gilt es von der jeweiligen App sicherzustellen, dass ein Benutzer seinen Account wiederherstellen kann, wenn er seinen Passkey verloren hat.
Wenn ich keinen Zugriff auf das Gerät habe, auf welchem der Passkey gespeichert ist, kann ich mich nicht einloggen. Heute ist dies möglich, wenn ich kein MFA einsetzt. Dann kann ich mich mit Benutzernamen und Passwort einloggen.
Auch wenn geteilte Accounts aus verschiedenen Gründen heute schon keine gute Idee sind, funktioniert dies mit Passkeys nicht mehr. Eine Person kann seinen Passkey nicht mit einer anderen Person teilen.
Bis jetzt zielen die meisten Phishing-Angriff auf die Benutzernamen, Passwörter und 2FA-Codes eines Benutzers ab. Diese Angriffe sind mit Passkey wertlos. Die Übeltäter werden sich hier adaptieren und ihre Phishing-Angriffe auf zum Beispiel die Account-Recovery-Codes (sollte es solche geben) anpassen. Auch könnten die Account-Recovery-Methoden vermehrt in den Fokus von Phishing-Kampagnen geraten, um so direkt den Account zu übernehmen.
Den Angriff eine gültige Session zu stehlen, gibt es heute schon. Wenn man keine Benutzernamen und Passwörter mehr entwenden kann, wird diese Angriffsart neuen Aufwind erhalten.
Auch wird es Malware geben, welche versuchen wird, die Private-Keys aus dem geschützten Bereich zu klauen.
Haben Sie Fragen zur Integration und Sicherheit von Passkeys?
Folgende Blog-Beiträge könnten Sie interessieren:
Ein 8-stelliges Passwort mit Nummern, Gross- und Kleinbuchstaben und Sonderzeichen kann in unter einer Stunde geknackt werden.
Quelle: Hive Systems
X
Haben Sie Fragen zur Integration und Sicherheit von Passkeys?
Kontaktieren Sie uns unverbindlich:
Kathrin Müller freut sich auf Ihre Kontaktaufnahme und organisiert je nach Bedürfnis gerne ein Meeting.
nanio GmbH (Codepurple)
Moosweg 24
5606 Dintikon
Impressum| Datenschutz| © Codepurple 2024. Alle Rechte vorbehalten