Es ist sinnvoll, bei großen Cybersicherheitsbehauptungen vorsichtig zu bleiben—insbesondere dann, wenn sie in Marketingformulierungen verpackt sind, die Angst schüren und den Verkauf von Produkten ankurbeln sollen.
Das jüngste Beispiel für übertriebene und irreführende Sicherheits“forschung“ stammt aus einem Bericht von SquareX, einem Startup, das Tools zur Absicherung von Browsern und Client-Anwendungen vermarktet. In seinen neu veröffentlichten Ergebnissen behauptet das Unternehmen—ohne glaubwürdige Belege—eine „schwerwiegende Passkey-Schwachstelle“ entdeckt zu haben, die die Sicherheitsgrundlagen gefährden könnte, auf die sich Apple, Google, Microsoft und Tausende Organisationen verlassen, die Passkey-Authentifizierung nutzen.
Ein genauerer Blick auf das angebliche „Durchbruch“-Szenario
Das Angriffsszenario mit dem Titel „Passkeys Pwned“ wurde erstmals diesen Monat während einer Defcon-Präsentation vorgestellt. Die Methode basiert vollständig auf einer bösartigen Browsererweiterung, die das Opfer zuvor über Social Engineering installiert haben muss. Ist die Erweiterung erst einmal aktiv, manipuliert sie die Erstellung eines neuen Passkeys für Dienste wie Gmail oder Microsoft 365.
Während der Vorgang auf den ersten Blick legitim wirkt, erzeugt die kompromittierte Erweiterung im Hintergrund ein eigenes Schlüsselpaar und bindet es an die echte Domain gmail.com. Da das Schlüsselpaar jedoch vom Angreifer kontrolliert wird—nicht vom Nutzer—erlangt die Person hinter dem Angriff Zugriff auf Cloud-Anwendungen, die für geschäftskritische Abläufe unerlässlich sind.
In einem vorab verbreiteten Entwurf der Studie behauptet SquareX, die Ergebnisse würden „den Mythos widerlegen, dass Passkeys nicht gestohlen werden können“, und zeigen, dass „Passkey-Diebstahl ebenso trivial sei wie der Diebstahl herkömmlicher Zugangsdaten.“ Das Unternehmen positioniert seine Arbeit als Warnung, dass Passkeys noch relativ neu seien und nicht dieselbe jahrzehntelange sicherheitstechnische Prüfung durchlaufen hätten wie ältere Authentifizierungsverfahren.