Passkeys haben weiterhin Probleme

 (fy.blackhats.net.au)
7 Punkte von GN⁺ 2025-12-19 | Noch keine Kommentare. | Auf WhatsApp teilen
  • Auch im Jahr 2025 haben Passkeys in der Debatte um Sicherheit und Komfort weiterhin Probleme bei der Nutzererfahrung und Vendor Lock-in
  • Die neu eingeführte FIDO Credential Exchange ermöglicht zwar die Migration zwischen Anbietern, doch Reibung zwischen Plattformen und Fragmentierung bleiben bestehen
  • Bei Plattformbetreibern wie Apple, Google, Microsoft bestehen weiterhin Risiken durch fehlende Backups und mögliche Aussperrung, zudem wird durch UI-Design die Wahlfreiheit der Nutzer eingeschränkt
  • Die schwer verständliche Passkey-Konzeption und missverständliche Kommunikation von Diensten schwächen das Vertrauen normaler Nutzer
  • Zum Schutz wichtiger Konten ist die Nutzung eines selbst kontrollierbaren Credential Managers und von Hardware-Schlüsseln wie Yubikey wichtig

TL;DR Zusammenfassung

  • Passkeys haben weiterhin Mängel, und Nutzer sollten sie verstehen und entsprechend ihrer eigenen Anforderungen einsetzen
    • Die ausschließliche Nutzung der Credential Manager von Plattformanbietern (Apple, Google, Microsoft) birgt das Risiko fehlender Backups und einer Aussperrung
    • Empfohlen wird die Nutzung backupfähiger Credential Manager wie Bitwarden, Vaultwarden
    • Über FIDO Credential Exchange ist eine regelmäßige Synchronisierung in einen externen Credential Manager erforderlich
    • Für wichtige Konten wie E-Mail sollte Yubikey als Passkey-Speicher genutzt werden, ergänzt durch starke Passwörter + TOTP als Backup-Methode
    • Falls der Zugriff auf den Credential Manager nicht möglich ist, sollten Wiederherstellungswege vorab geprüft werden

Veränderungen im letzten Jahr

  • Die wichtigste Veränderung ist die Einführung der FIDO Credential Exchange-Spezifikation
    • Dadurch wurde die Übertragung von Zugangsdaten zwischen Passkey-Anbietern möglich
  • Dennoch bestehen Reibungen zwischen Plattformen und Brüche im Ökosystem fort
    • Passkeys können zwischen unterschiedlichen Geräten fragmentiert werden, ohne dass Nutzer dies bemerken
    • Passkeys auf Apple-Geräten können nicht mit Nicht-Apple-Geräten synchronisiert werden, während dies bei Google und Microsoft teilweise möglich ist
    • Apple-Nutzer können dadurch eine stärkere Abhängigkeit empfinden

Die schwer verständliche Passkey-Idee

  • Passwörter lassen sich als „etwas, das ich weiß“ und SMS-2FA als „etwas, das ich empfangen kann“ intuitiv verstehen
  • Passkeys hingegen sind ein unsichtbarer Authentifizierungsfaktor, den Nutzer weder direkt prüfen noch ausdrucken können
  • Es ist eigentlich ein Vertrauensprozess gegenüber dem Credential Manager nötig, doch Passkeys überspringen diesen Vertrauensschritt
  • Selbst Sicherheitsexperten verwechseln teils die Funktionsweise von Passkeys, was zeigt, wie hoch die Verständnisbarriere ist

„Thought Leadership“ und Probleme bei der Nutzerbildung

  • Einige Stimmen aus der Branche behaupten, das Erlernen von Passwortverwaltung sei „ein Versagen der Industrie“,
    tatsächlich ist aber auch bei Passkeys das Verständnis eines Credential Managers unverzichtbar
  • Nutzer, die Passwörter und TOTP bevorzugen, tun dies womöglich nicht aus Arroganz, sondern wegen Nutzbarkeitsproblemen
  • Der Glaube, Passkeys funktionierten ohne Nutzeraufklärung, ist realitätsfern
  • Wenn sich Nutzer trotz ausreichendem Verständnis bewusst gegen Passkeys entscheiden, dann haben Passkeys für diese Nutzer versagt

Weiterhin bestehender Vendor Lock-in

  • Auch wenn FIDO Credential Exchange existiert, erhöhen in der Praxis Reibung im Ablauf und lenkende UI-Gestaltung die Wechselkosten
  • Das Passkey-Erstellungsmodal von Apple lenkt standardmäßig zur Nutzung von Apple Keychain,
    andere Optionen (Sicherheitsschlüssel, Android usw.) sind unter „Other Options“ versteckt
  • Die Auswahl des Nutzers wird nicht gespeichert und fällt jedes Mal auf die Voreinstellung zurück
  • Google Chrome hat eine ähnliche Struktur und lenkt Nutzer ebenfalls im Plattform-Ökosystem zu bleiben
  • Es geht also nicht nur um den Speicherort, sondern um eine Abhängigkeit über die gesamte Nutzererfahrung hinweg

Datenverlust bei Cloud-Keychains

  • Fälle, in denen Passkeys aus der Apple Keychain verschwinden oder auf Android-Geräten nicht erstellt bzw. genutzt werden können, treten weiterhin auf
  • In manchen Fällen war selbst nach einem Zurücksetzen des Geräts keine Wiederherstellung möglich, sodass der Zugang zum Nutzerkonto vollständig blockiert war
  • Solche Probleme führen zu einem Vertrauensverlust in Passkeys

Kontosperrung durch Anbieter

  • In Fällen von Apple-Kontosperrungen gingen alle Passkeys in einen nicht wiederherstellbaren Zustand über
  • Ähnliche Fälle gibt es auch bei Google und Microsoft
  • Eine einzelne Kontomaßnahme kann das Risiko bergen, alle Zugangsdaten zu zerstören

Irreführende Kommunikation von Authentifizierungsdiensten

  • Einige Dienste erklären, dass „Passkeys Gesichts- oder Fingerabdruckdaten übertragen“
  • Tatsächlich verlassen biometrische Daten das Gerät nicht,
    doch normale Nutzer missverstehen dies leicht als „Mein Gesicht/Fingerabdruck wird über das Internet übertragen“
  • Solche Erklärungen erzeugen Misstrauen und Ablehnung gegenüber Passkeys
  • Auch die UI der Plattformanbieter räumt diese Missverständnisse nicht aus

Authentifizierungsdienste, die die Nutzerwahl einschränken

  • Einige Websites erlauben weiterhin nur einen einzigen Passkey oder erzwingen über die Option authenticatorAttachment nur plattformgebundene Passkeys
  • Dadurch werden Sicherheitsschlüssel oder nicht plattformgebundene Credential Manager blockiert
  • Manche Websites versuchen beim Login sogar automatisch und ohne vorherige Zustimmung Passkeys zu registrieren – ein unethisches Verhalten

Fazit und Empfehlungen

  • Die meisten Probleme entstehen aus einer plattformzentrierten Struktur des Passkey-Managements
  • Nutzer sollten über einen selbst kontrollierbaren Credential Manager
    das Risiko von Kontosperrungen und Datenverlust senken und regelmäßige Backups durchführen
  • Yubikey (Firmware 5.7 oder höher) kann bis zu 150 Passkeys speichern
    • Für einige Konten kann dies einen softwarebasierten Credential Manager ersetzen
  • E-Mail-Konten sind der Schlüssel für Wiederherstellungswege,
    daher sollten Hardware-Schlüssel + starkes Passwort + TOTP kombiniert und Offline-Backups vorgehalten werden
  • Plattformen wie Apple und Google sollten sich die Nutzerwahl merken und
    Sicherheitsschlüssel sowie andere Anbieter in der UI gleichwertig anbieten
  • Entwickler sollten Vorfilterung in der WebAuthn API vermeiden und
    die Passkey-Registrierung erst nach klarer Information der Nutzer durchführen
  • Das Kernprinzip ist die Sicherung von Nutzerkontrolle und Einwilligung (consent)

Verwandte Beiträge

Noch keine Kommentare.

Noch keine Kommentare.