Passkeys sollen Passwörter ersetzen und Phishing-Angriffe bekämpfen, aber sowohl Google als auch Microsoft warnen, dass sie nicht ausreichen, wenn weiterhin schwächere Wiederherstellungsmethoden bestehen. Microsoft erklärte: „Jedes Konto ist nur so sicher wie seine schwächsten Anmeldeinformationen“ und deutete an, dass Passwörter und SMS-Wiederherstellungsoptionen auch nach der Implementierung von Passkeys immer noch neue Angriffsflächen bieten könnten.
Google erkennt an, dass Passkeys im Vergleich zu Passwörtern und anderen herkömmlichen Multi-Faktor-Authentifizierungsmethoden einen einfacheren und sichereren Online-Zugriff ermöglichen. Das Unternehmen warnt jedoch davor, dass Benutzer ihre Konten auch mit einer zweistufigen Verifizierung (2SV) sichern müssen, um sich vor Identitätsdiebstahlversuchen zu schützen, bei denen verlorene Passkeys ausgenutzt werden könnten.
Schwachstellen in automatisierten Wiederherstellungsprozessen können es Angreifern ermöglichen, schwächere Anmeldeinformationen zu nutzen, um Passkeys vollständig zu umgehen. Laut Microsoft erhöht die Bereitstellung von Passkeys zwar die Anmeldesicherheit, viele Konten sind jedoch weiterhin mit Optionen zur Passwort- oder SMS-Wiederherstellung verknüpft, wodurch potenzielle Angriffsflächen erhalten bleiben. „Die Bereitstellung von Passkeys verbessert die Anmeldung“, sagte Microsoft und betonte die Risiken, die durch schwache Wiederherstellungsmethoden entstehen.
Die optimale Wiederherstellungslösung besteht darin, den Konto-Passschlüssel auf einem anderen Gerät zu verwenden. Microsoft stellte außerdem fest, dass eine überlegene Wiederherstellungsmethode die Vorlage eines amtlichen Ausweises und einer biometrischen Verifizierung umfasst, was den NIST-Empfehlungen für eine Wiederherstellung mit hoher Sicherheit entspricht.
Microsoft richtet seine Anleitung in erster Linie an Unternehmensanwender, während Google sich auf Privatanwender konzentriert. Trotz dieser Unterscheidung erkennen beide an, dass Dienste wie Gmail weiterhin attraktive Ziele für Cyberkriminelle sind. Google fordert Nutzer dringend auf, 2SV zu implementieren, um zusätzlichen Schutz vor unbefugtem Zugriff zu bieten, insbesondere angesichts der Gefahr, dass Angreifer den Kontowiederherstellungsprozess missbrauchen.
Google betont die Notwendigkeit, zwei spezifische Arten von 2SV zu verwenden: Google Prompts und eine Authenticator-App auf Mobilgeräten. Sowohl Google als auch Microsoft raten davon ab, sich auf SMS-Einmalcodes zu verlassen, und kategorisieren diese als schwache Formen der Multi-Faktor-Authentifizierung, die zugunsten sichererer Alternativen vollständig deaktiviert werden sollten.
Obwohl die Verwendung von Passkeys zunimmt, warnt Microsoft davor, dass ihre Wirksamkeit davon abhängt, dass Benutzer phishingfähige Anmeldeinformationen vollständig eliminieren. Google betont, dass Passkeys zwar eine entscheidende Entwicklung, aber keine narrensichere Lösung seien, insbesondere da Angreifer zunehmend auf Wiederherstellungsabläufe und Fallback-Authentifizierungsmethoden abzielen.
