Können Passkeys gehackt werden?
Vincent
Created: June 17, 2025
Updated: July 11, 2025
See the original faq version in English here.
Können Passkeys gehackt werden?#
Passkeys sind von Natur aus deutlich sicherer als herkömmliche Passwörter und aufgrund ihrer kryptografischen Beschaffenheit viel schwieriger zu hacken. Wie jede Technologie sind sie jedoch nicht vollständig immun gegen bestimmte Schwachstellen.
- Passkeys sind sicherer als Passwörter aufgrund ihrer kryptografischen Grundlage.
- Passkeys eliminieren die Risiken von Phishing-, Man-in-the-Middle-, Brute-Force-, Replay- und Credential-Stuffing-Angriffen.
Die Sicherheit von Passkeys verstehen#
Passkeys basieren auf dem WebAuthn-Standard und verwenden Public-Key-Kryptografie, um Benutzer ohne herkömmliche Passwörter zu authentifizieren. Dies macht sie von Natur aus sicherer gegen gängige Bedrohungen wie Phishing, Credential Stuffing und Brute-Force-Angriffe. Hier sind die Gründe, warum Passkeys als sicher gelten:
-
Public-Key-Infrastruktur: Passkeys verwenden ein Paar aus einem öffentlichen und einem privaten Schlüssel, wobei der private Schlüssel das Gerät des Benutzers niemals verlässt. Das macht es für Angreifer nahezu unmöglich, ihn abzufangen.
-
Abschaffung von Passwörtern: Da Passkeys nicht auf geteilten Geheimnissen (wie Passwörtern) basieren, eliminieren sie das Risiko der Wiederverwendung von Anmeldedaten, eine häufige Schwachstelle in passwortbasierten Systemen.
-
Schutz vor Phishing: Phishing-Angriffe sind gegen Passkeys wirkungslos, da ein Passkey immer an den Ursprung (Relying Party ID) gebunden ist, für den er erstellt wurde.
-
Kein Credential Stuffing: Passkeys sind für jeden Dienst einzigartig und nur der öffentliche Schlüssel wird serverseitig gespeichert. Das bedeutet, dass ein Sicherheitsvorfall bei einer Relying Party keine Auswirkungen auf andere Relying Parties hat.
-
Keine Brute-Force-Angriffe: Passkeys basieren auf asymmetrischer Kryptografie und können nicht erraten werden, was sie immun gegen Brute-Force-Angriffe macht.
-
Keine Man-in-the-Middle-Angriffe: Man-in-the-Middle-Angriffe sind bei Passkeys nicht durchführbar, da der für die Authentifizierung verwendete private Schlüssel das Gerät des Benutzers niemals verlässt. Dadurch wird sichergestellt, dass keine sensiblen Informationen übertragen werden, die abgefangen oder verändert werden könnten.
-
KEINE Replay-Angriffe: Replay-Angriffe sind mit Passkeys nicht möglich, da jede Authentifizierungssitzung eine einzigartige, einmalige kryptografische Challenge generiert, die von einem Angreifer nicht wiederverwendet oder repliziert werden kann.
Obwohl Passkeys eine überlegene Sicherheit bieten, sind sie nicht vollständig immun gegen Hacking:
-
Lieferkettenangriffe: Ein auf Herstellerebene kompromittiertes Gerät könnte potenziell manipuliert werden, um kryptografische Schlüssel preiszugeben.
-
Social Engineering: Obwohl Phishing weniger effektiv ist, könnten Angreifer dennoch Social-Engineering-Techniken anwenden, um Benutzer dazu zu verleiten, Passkeys für bösartige Websites zu erstellen.
-
Session-Diebstahl: Passkeys machen den Authentifizierungsteil für die Benutzer sicher und einfach. Abhängig von der Implementierung der Relying Party könnte die Sitzung jedoch immer noch gestohlen und für bösartige Zwecke missbraucht werden.
Enjoyed this read?
🤝 Join our Passkeys Community
Share passkeys implementation tips and get support to free the world from passwords.
🚀 Subscribe to Substack
Get the latest news, strategies, and insights about passkeys sent straight to your inbox.
Share this article
