Ein Kommentar von Shane Barney, CISO von Keeper Security
Eine aktuelle Recherche zeigt, dass das Passkey-Ökosystem von Google, das darauf ausgelegt ist, Passwörter zu ersetzen, unbeabsichtigt neue Angriffswege eröffnen könnte. Dabei wird deutlich, dass die passwortlose Authentifizierung nur so sicher ist wie die Systeme und Wiederherstellungsprozesse, die sie unterstützen. Während passwortlose Authentifizierung klassische Passwörter durch gerätegebundene kryptografische Anmeldedaten ersetzen soll, zeigt die Recherche, dass Googles Umsetzung eine cloudbasierte Komponente nutzt, um synchronisierte Passkeys über verschiedene Geräte hinweg zu verwalten – etwa über einen Passkey-Anbieter wie den Google Passwortmanager. Dieser Ansatz ermöglicht zwar Komfortfunktionen wie das Einrichten neuer Geräte, geräteübergreifende Synchronisation sowie Kontowiederherstellung und erneute Registrierung, führt aber auch zu potentiellen Angriffsflächen, für den Fall, dass eine zugrunde liegende Infrastruktur oder das Konto des Passkey-Anbieters kompromittiert wird.
Die zentrale Erkenntnis ist, dass passwortlose Authentifizierung nicht grundsätzlich risikofrei ist. Auf FIDO basierende Passkeys sind zwar sehr resistent gegen Phishing- und Replay-Angriffe, doch die Sicherheit hängt stark von der Integrität der Implementierung, der Wiederherstellungsprozesse und der Identitätsverwaltung ab. Die meisten Unternehmen arbeiten in hybriden Umgebungen, in denen Passwörter und Passkeys parallel existieren, und Phishing bleibt eine anhaltende Bedrohung. Das verdeutlicht, dass Authentifizierung als Teil eines mehrschichtigen Sicherheitsmodells betrachtet werden muss und nicht als isolierte Lösung.
Untersuchungen von Keeper zeigen, dass Unternehmen diese Komplexität bereits bewältigen: Rund 40 Prozent arbeiten in hybriden Umgebungen, in denen Passwörter und Passkeys nebeneinander bestehen, und 67 Prozent sehen Phishing weiterhin als dauerhafte Bedrohung – selbst bei zunehmender Verbreitung passwortloser Verfahren. Dies spiegelt eine grundlegende Realität wider: Authentifizierung ist keine einzelne Sicherheitsmaßnahme, sondern Teil eines mehrstuften Sicherheitskonzepts.
Aus Sicht der Cybersicherheit sollten Unternehmen die Kontrolle und Transparenz priorisieren, indem sie das Prinzip der minimalen Rechtevergabe (Least Privilege) durchsetzen, Geräte verifizieren, Wiederherstellungsprozesse absichern und Zugangsdaten in einem Zero-Knowledge-Modell schützen. Privileged Access Management (PAM) bietet eine zusätzliche Kontrollebene, reduziert die Auswirkungen kompromittierter Zugangsdaten und stellt sicher, dass sensible Systeme geschützt bleiben.
Passwortlose Authentifizierung ist ein bedeutender Fortschritt, doch das umliegende Ökosystem – mit Cloud-Diensten, Vertrauensmodellen für Geräte und Wiederherstellungsmechanismen – bleibt der zentrale Angriffspunkt. Letztlich werden diejenigen erfolgreich sein, die Passkeys als einen Bestandteil einer umfassenden Identitätssicherheitsstrategie betrachten und nicht als isolierter Ansatz.
Über Keeper Security Inc.
Keeper Security verändert weltweit die Cybersicherheit für Menschen und Organisationen. Die erschwinglichen und benutzerfreundlichen Lösungen von Keeper basieren auf der Grundlage von Zero-Trust- und Zero-Knowledge-Sicherheit, um jeden Benutzer auf jedem Gerät zu schützen. Unsere Privileged-Access-Management-Lösung der nächsten Generation ist in wenigen Minuten einsatzbereit und lässt sich nahtlos in jede Technologieumgebung integrieren, um Sicherheitsverletzungen zu verhindern, Helpdesk-Kosten zu senken und die Compliance zu gewährleisten. Keeper genießt das Vertrauen von Millionen von Einzelnutzern sowie Tausenden von Unternehmen und ist der führende Anbieter von erstklassigem Passwort- und Passkey-Management, Geheimnisverwaltung, privilegiertem Zugriff, sicherem Fernzugriff und verschlüsseltem Messaging.
Kontakt
Keeper Security Inc.
Anne Cutler
820 W Jackson Blvd Ste 400
60607 Chicago
001 872 401 6721
http://www.keeper.com
- google+ (Wikipedia)
Google ist eine Websuchmaschine des US-amerikanischen Unternehmens Google LLC. Die Suchmaschine ist in viele Webbrowser standardmäßig integriert, so z. B. in Googles eigenem Webbrowser Google Chrome. Es existieren Google-Apps für iOS, Android und Windows, in denen unter anderem auch mit Sprache gesucht werden kann. Zudem gab es bis 2021 die Google Toolbar. Google steht in direkter Konkurrenz zu anderen Suchmaschinen wie zum Beispiel Microsoft Bing, Yandex in Russland, Baidu in China und Qwant in Europa, hat aber einen dominanten Anteil am globalen Suchmaschinenmarkt. - PAM (Wikipedia)
PAM steht für: MAP Linhas Aéreas (ICAO-Code), brasilianische Fluggesellschaft Palestine Archaeological Museum, abgekürzt vor Inventarnummern des Museums Parlamentarische Versammlung der Mittelmeeranrainer (englisch: Parliamentary Assembly of the Mediterranean) Partei der Authentizität und Modernität, Marokko Partitioning Around Medoids, ein Algorithmus zur Partitionierung eines Datenbestandes Patient Administration Management, ein Integrationsprofil innerhalb der IHE-Initiative. Patriotikó Antidiktatorikó Métopo, auf Griechisch: Πατριωτικό Αντιδικτατορικό Μέτωπο, 1967 u. a. von Mikis Theodorakis gegründete Widerstandsorganisation gegen die Militärdiktatur Payload Assist Module, eine US-amerikanische Raketenstufe Percent Accepted Mutations oder Point Accepted Mutations gibt die Prozentzahl akzeptierter Mutationen beim Pairwise Alignment an, siehe Substitutionsmatrix Personenaufnahmemittel, in Vorschriften verwendeter Oberbegriff für Einrichtung zum Aufnahmen von Personen, z. B. Personenförderkörbe, Arbeitsbühnen. Planetare Arbeitsmaschine, Begriff für die gegenwärtige Wirtschaftsweise in der Utopie bolo’bolo von Hans Widmer Plant-Asset-Management, die Verwaltung von Vermögenswerten in Form von Anlagegütern eines Unternehmens, die speziell für die Produktion eingesetzt werden Pluggable Authentication Modules, eine Softwarebibliothek für Authentifizierungsdienste Point Accepted Mutation Matrix, eine mit PAM-Werten gefüllte Substitutionsmatrix, die in der Bioinformatik verwendet wird Policy Analysis Market Polyacrylamid, ein Polymer von Acrylamid Pomorska Akademia Medyczna w Szczecinie, siehe Pommersche Medizinische Universität Stettin Portable Art Museum Precision Attack Munition, siehe Non-Line-of-Sight Launch System Primäre Amöben-Meningoenzephalitis, siehe Meningitis Primärer Atemmechanismus, ein Grundbegriff aus der Cranio-Sacral-Therapie Presidente Autoridade Município, Präsident der Verwaltung einer Gemeinde in Osttimor Privileged Access Management, Bestandteil der Sicherheitslösung von Microsofts Active Directory Privileged Account Management, ein Verfahren, welches spezielle Benutzerkonten im Rahmen von Identity Management verwaltet. Projekt Absolute … - Passkey (Wikipedia)
FIDO2 ist eine Initiative der FIDO-Allianz gemeinsam mit dem World Wide Web Consortium (W3C) mit dem Ziel eine Multi-Faktor-Authentisierung, auch als starke Authentisierung bezeichnet, primär für Anwendungen im World Wide Web (Web) zu schaffen. Dabei können Passwörter bei der Anmeldung an Onlinediensten durch eine Kombination von verschiedenen kryptographischen Methoden ersetzt oder ergänzt werden. Das Akronym steht für „Fast IDentity Online“. - Passwort (Wikipedia)
Ein Passwort (Abk.: PW) ist eine Zeichenfolge, die zur Zugangs- oder Zugriffskontrolle eingesetzt wird.
