Können Passkeys gehackt werden?

Passkeys sind von Natur aus deutlich sicherer als herkömmliche Passwörter und aufgrund ihrer kryptografischen Beschaffenheit viel schwerer zu hacken. Wie jede Technologie sind sie jedoch nicht völlig immun gegen bestimmte Schwachstellen.

---

Passkeys basieren auf dem WebAuthn-Standard und nutzen Public-Key-Kryptografie, um Benutzer zu authentifizieren, ohne auf traditionelle Passwörter angewiesen zu sein. Dies macht sie von Natur aus sicherer gegen gängige Bedrohungen wie Phishing, Credential Stuffing und Brute-Force-Angriffe. Hier sind die Gründe, warum Passkeys als sicher gelten:

• Public Key Infrastructure: Passkeys verwenden ein Public-Private-Schlüsselpaar, wobei der private Schlüssel das Gerät des Benutzers nie verlässt, was es Angreifern nahezu unmöglich macht, ihn abzufangen.

• Eliminierung von Passwörtern: Da Passkeys nicht auf geteilte Geheimnisse (wie Passwörter) angewiesen sind, eliminieren sie das Risiko der Wiederverwendung von Anmeldedaten, eine häufige Schwachstelle in passwortbasierten Systemen.

• Schutz vor Phishing: Phishing-Angriffe sind gegen Passkeys unwirksam, da ein Passkey immer an den Ursprung (Relying Party ID) gebunden ist, für den er erstellt wurde.

• Kein Credential Stuffing: Passkeys sind für jeden Dienst einzigartig und nur der öffentliche Schlüssel wird serverseitig gespeichert. Das bedeutet, dass im Falle einer Kompromittierung einer Relying Party dies keine Auswirkungen auf andere Relying Partys hat.

• Keine Brute-Force-Angriffe: Passkeys basieren auf asymmetrischer Kryptografie und können nicht erraten werden, was sie immun gegen Brute-Force-Angriffe macht.

• Keine Man-in-the-Middle-Angriffe: Man-in-the-Middle-Angriffe sind mit Passkeys nicht durchführbar, da der zur Authentifizierung verwendete private Schlüssel das Gerät des Benutzers nie verlässt. Dadurch wird sichergestellt, dass keine sensiblen Informationen übertragen werden, die abgefangen oder verändert werden könnten.

• Keine Replay-Angriffe: Replay-Angriffe sind mit Passkeys nicht möglich, da jede Authentifizierungssitzung eine einzigartige, einmalige kryptografische Challenge generiert, die von einem Angreifer nicht wiederverwendet oder repliziert werden kann.

Obwohl Passkeys überlegene Sicherheit bieten, sind sie nicht völlig immun gegen Hacking:

• Supply Chain Attacks: Ein kompromittiertes Gerät auf Herstellerebene könnte potenziell manipuliert werden, um kryptografische Schlüssel preiszugeben.

• Social Engineering: Während Phishing weniger effektiv ist, könnten Angreifer immer noch Social-Engineering-Techniken nutzen, um Benutzer dazu zu verleiten, Passkeys für bösartige Websites zu erstellen.

• Session Theft: Passkeys machen den Authentifizierungsteil für die Benutzer sicher und einfach. Abhängig von der Implementierung der Relying Party könnte die Sitzung jedoch immer noch gestohlen und für bösartige Zwecke verwendet werden.

---