Only in German available.
Published on: Dec. 13, 2023
Author: Thomas Federer
Wie im ersten Teil gesehen, sind Passkeys für den Benutzer sehr einfach (weder Eingabe von Benutzernamen noch Passwort sind nötig). Nun lösen wir das Paradox, weshalb sie trotzdem sicherer sind als Benutzername, Passwort und 2FA-Token.
Passkeys sind neu und wohl vielen noch nicht begegnet. In unserer vierteiligen Blog-Serie schauen wir uns Passkeys genauer an:
Es scheint auf den ersten Blick, als ignoriert Passkeys, was wir in den letzten Jahren gelernt haben: 2FA oder MFA ist wichtig und soll überall aktiviert werden. Nun muss ich jedoch weder Benutzernamen, Passwort noch 2FA-Code eingeben.
Bei Passkeys ist MFA implizit integriert. Zum einen muss ich das Gerät besitzen, auf welchem der Passkey gespeichert ist (something I have) und zum anderen muss ich mich beim Authenticator auf diesem Gerät (biometrisch) identifizieren zum Beispiel mit Fingerabdruck oder FaceID (something I am). Somit werden auch hier zwei Faktoren benötigt.
Das Problem, dass ein Passwort für mehre Accounts verwendet wird, gibt es beim Passkeys nicht. Ein Passkey kann nur für eine Webapp verwendet werden und ist immer eindeutig. Auch ist es nicht nötig ein Passwort zu erfinden, welches den Passwortrichtlinie der jeweiligen App entspricht.
Jeden Tag kommen neue Datenlecks an den Tag. So werden unsere Benutzernamen und Passwort-Hashes (selten auch Klartext-Passwörter) öffentlich. Je nach verwendetem Hash-Algorithmus können die Klartextpasswörter mehr oder weniger schnell herausgefunden werden. Ob ein Benutzernamen oder Passwort in einem Data-Breach aufgetaucht ist kann unter https://haveibeenpwned.com/ nachgeschaut werden. Bei Passkeys ist auf dem Server lediglich die Credential-ID und der dazugehörige Public-Key gespeichert. Ein Angreifer kann mit diesen Informationen nichts anfangen. Der Public-Key kann bei keinem anderen System verwendet werden.
Bei dieser Art von Angriff, werden bekannte Passwörter eines Benutzers bei anderen Applikationen ausprobiert. Die Benutzernamen und Passwörter stammen aus Datenlecks und können im Darknet gekauft werden. Da es bei Passkeys keine Passwörter mehr gibt und die Public-Keys nur für ein Account gültig sind, funktioniert dieser Angriff nicht mehr.
Phishing nach Account-Credentials funktioniert nicht mehr. Denn ein klassisches Passwort ist ja nicht mehr vorhanden, welches in die Hände eines Phishers gelangen könnte. Der Private-Key sind auf dem Gerät gespeichert und können nicht einfach extrahiert werden. Somit bringt das Phishing nach Credentials nichts mehr.
Haben Sie Fragen zur Integration und Sicherheit von Passkeys?
Folgende Blog-Beiträge könnten Sie interessieren:
A password with 8 characters with numbers, upper and lower case letters and symbols can be cracked in under one hour.
Source: Hive Systems
X
Haben Sie Fragen zur Integration und Sicherheit von Passkeys?
Contact us without obligation:
Kathrin Müller is looking forward to hearing from you and will be happy to organize a meeting according to your needs.
nanio GmbH (Codepurple)
Moosweg 24
5606 Dintikon