Können Passkeys gehackt werden?

Können Passkeys gehackt werden?#

Passkeys sind von Natur aus deutlich sicherer als herkömmliche Passwörter und aufgrund ihrer kryptografischen Beschaffenheit viel schwieriger zu hacken. Wie jede Technologie sind sie jedoch nicht vollständig immun gegen bestimmte Schwachstellen.

---

Die Sicherheit von Passkeys verstehen#

Passkeys basieren auf dem WebAuthn-Standard und verwenden Public-Key-Kryptografie, um Benutzer ohne herkömmliche Passwörter zu authentifizieren. Dies macht sie von Natur aus sicherer gegen gängige Bedrohungen wie Phishing, Credential Stuffing und Brute-Force-Angriffe. Hier sind die Gründe, warum Passkeys als sicher gelten:

• Public-Key-Infrastruktur: Passkeys verwenden ein Paar aus einem öffentlichen und einem privaten Schlüssel, wobei der private Schlüssel das Gerät des Benutzers niemals verlässt. Das macht es für Angreifer nahezu unmöglich, ihn abzufangen.

• Abschaffung von Passwörtern: Da Passkeys nicht auf geteilten Geheimnissen (wie Passwörtern) basieren, eliminieren sie das Risiko der Wiederverwendung von Anmeldedaten, eine häufige Schwachstelle in passwortbasierten Systemen.

• Schutz vor Phishing: Phishing-Angriffe sind gegen Passkeys wirkungslos, da ein Passkey immer an den Ursprung (Relying Party ID) gebunden ist, für den er erstellt wurde.

• Kein Credential Stuffing: Passkeys sind für jeden Dienst einzigartig und nur der öffentliche Schlüssel wird serverseitig gespeichert. Das bedeutet, dass ein Sicherheitsvorfall bei einer Relying Party keine Auswirkungen auf andere Relying Parties hat.

• Keine Brute-Force-Angriffe: Passkeys basieren auf asymmetrischer Kryptografie und können nicht erraten werden, was sie immun gegen Brute-Force-Angriffe macht.

• Keine Man-in-the-Middle-Angriffe: Man-in-the-Middle-Angriffe sind bei Passkeys nicht durchführbar, da der für die Authentifizierung verwendete private Schlüssel das Gerät des Benutzers niemals verlässt. Dadurch wird sichergestellt, dass keine sensiblen Informationen übertragen werden, die abgefangen oder verändert werden könnten.

• KEINE Replay-Angriffe: Replay-Angriffe sind mit Passkeys nicht möglich, da jede Authentifizierungssitzung eine einzigartige, einmalige kryptografische Challenge generiert, die von einem Angreifer nicht wiederverwendet oder repliziert werden kann.

Obwohl Passkeys eine überlegene Sicherheit bieten, sind sie nicht vollständig immun gegen Hacking:

• Lieferkettenangriffe: Ein auf Herstellerebene kompromittiertes Gerät könnte potenziell manipuliert werden, um kryptografische Schlüssel preiszugeben.

• Social Engineering: Obwohl Phishing weniger effektiv ist, könnten Angreifer dennoch Social-Engineering-Techniken anwenden, um Benutzer dazu zu verleiten, Passkeys für bösartige Websites zu erstellen.

• Session-Diebstahl: Passkeys machen den Authentifizierungsteil für die Benutzer sicher und einfach. Abhängig von der Implementierung der Relying Party könnte die Sitzung jedoch immer noch gestohlen und für bösartige Zwecke missbraucht werden.

---

Über Corbado

Corbado ist die Passkey Intelligence Platform für CIAM-Teams, die Consumer-Authentifizierung im großen Maßstab betreiben. Wir zeigen Ihnen, was IDP-Logs und generische Analytics-Tools nicht sehen können: welche Geräte, OS-Versionen, Browser und Credential-Manager Passkeys unterstützen, warum Enrollments nicht zu Logins werden, wo der WebAuthn-Flow scheitert und wann ein OS- oder Browser-Update den Login still und leise unterbricht – und das alles, ohne Okta, Auth0, Ping, Cognito oder Ihren In-House-IDP zu ersetzen. Zwei Produkte: Corbado Observe ergänzt Observability für Passkeys und jede andere Login-Methode. Corbado Connect bringt Managed Passkeys mit integrierter Analytics (neben Ihrem IDP). VicRoads betreibt Passkeys für über 5 Mio. Nutzer mit Corbado (+80 % Passkey-Aktivierung). Mit einem Passkey-Experten sprechen →