Die auf der DEF CON 2025 enthüllte Passkey-Sicherheitslücke zeigt, dass Angreifer Authentifizierungen über kompromittierte Browser kapern können. Der Fehler stellt die Wahrnehmung infrage, dass Passkeys unknackbare Sicherheit bieten.
So funktioniert der Angriff
Passkeys basieren auf privaten Schlüsseln, die auf Geräten gespeichert und mit Biometrie oder PINs entsperrt werden. Sie sollen Phishing und Passwortdiebstahl verhindern. Browser dienen jedoch als Vermittler zwischen Nutzern und Servern. Wird diese Ebene kompromittiert, versagt das System.
Forscher von SquareX zeigten, dass Angreifer Browser mit bösartigen Erweiterungen oder injizierten Skripten manipulieren können. Diese Werkzeuge ermöglichen es, Passkey-Registrierungen oder Authentifizierungen zu fälschen. Für die Opfer wirkt alles normal. Angreifer umgehen Biometrie, ohne Verdacht zu erregen.
Warum das wichtig ist
Passkeys wurden als sichere Alternative zu Passwörtern beworben. Große Plattformen haben sie schnell übernommen. Diese Schwachstelle zeigt, dass sie nicht unbesiegbar sind. Selbst starke Verschlüsselung schützt Nutzer nicht, wenn Angreifer die Browseroberfläche kapern.
Traditionelle Abwehrmechanismen wie Endpoint Detection and Response (EDR) oder Secure Access Service Edge (SASE) erkennen solche Angriffe oft nicht. SquareX empfiehlt daher eine neue Schutzebene namens Browser Detection and Response (BDR). Dieses Werkzeug soll die Browseraktivität auf verdächtige Manipulationen überwachen.
Weitreichende Folgen
Die Entdeckung hat das Vertrauen in passwortlose Authentifizierung erschüttert. Unternehmen, die Passkeys eilig einführen, müssen den Browser nun als Schwachstelle berücksichtigen. Für Nutzer bedeutet das, Passkeys weiterhin mit starker Gerätesicherheit und vorsichtiger Nutzung von Erweiterungen zu kombinieren.
Fazit
Die auf der DEF CON 2025 enthüllte Passkey-Sicherheitslücke zeigt, dass keine Sicherheitsmethode fehlerfrei ist. Angreifer nutzen schnell übersehene Ebenen wie Browser aus. Mit der zunehmenden Verbreitung von Passkeys müssen Unternehmen ihre Browser-Abwehr stärken, um das Vertrauen in passwortlose Authentifizierung zu erhalten.
0 Kommentare zu „Passkey-Browser-Sicherheitslücke auf DEF CON 2025 enthüllt“