Pressemitteilung von Keeper Security Inc.

Die verborgene Passkey-Architektur des Google Authenticators könnte neue Angriffswege für passwortlose Systeme eröffnen

---

---

Eine aktuelle Recherche zeigt, dass das Passkey-Ökosystem von Google, das darauf ausgelegt ist, Passwörter zu ersetzen, unbeabsichtigt neue Angriffswege eröffnen könnte. Dabei wird deutlich, dass die passwortlose Authentifizierung nur so sicher ist wie die Systeme und Wiederherstellungsprozesse, die sie unterstützen. Während passwortlose Authentifizierung klassische Passwörter durch gerätegebundene kryptografische Anmeldedaten ersetzen soll, zeigt die Recherche, dass Googles Umsetzung eine cloudbasierte Komponente nutzt, um synchronisierte Passkeys über verschiedene Geräte hinweg zu verwalten - etwa über einen Passkey-Anbieter wie den Google Passwortmanager. Dieser Ansatz ermöglicht zwar Komfortfunktionen wie das Einrichten neuer Geräte, geräteübergreifende Synchronisation sowie Kontowiederherstellung und erneute Registrierung, führt aber auch zu potentiellen Angriffsflächen, für den Fall, dass eine zugrunde liegende Infrastruktur oder das Konto des Passkey-Anbieters kompromittiert wird.

Die zentrale Erkenntnis ist, dass passwortlose Authentifizierung nicht grundsätzlich risikofrei ist. Auf FIDO basierende Passkeys sind zwar sehr resistent gegen Phishing- und Replay-Angriffe, doch die Sicherheit hängt stark von der Integrität der Implementierung, der Wiederherstellungsprozesse und der Identitätsverwaltung ab. Die meisten Unternehmen arbeiten in hybriden Umgebungen, in denen Passwörter und Passkeys parallel existieren, und Phishing bleibt eine anhaltende Bedrohung. Das verdeutlicht, dass Authentifizierung als Teil eines mehrschichtigen Sicherheitsmodells betrachtet werden muss und nicht als isolierte Lösung.

Untersuchungen von Keeper zeigen, dass Unternehmen diese Komplexität bereits bewältigen: Rund 40 Prozent arbeiten in hybriden Umgebungen, in denen Passwörter und Passkeys nebeneinander bestehen, und 67 Prozent sehen Phishing weiterhin als dauerhafte Bedrohung - selbst bei zunehmender Verbreitung passwortloser Verfahren. Dies spiegelt eine grundlegende Realität wider: Authentifizierung ist keine einzelne Sicherheitsmaßnahme, sondern Teil eines mehrstuften Sicherheitskonzepts.
Aus Sicht der Cybersicherheit sollten Unternehmen die Kontrolle und Transparenz priorisieren, indem sie das Prinzip der minimalen Rechtevergabe (Least Privilege) durchsetzen, Geräte verifizieren, Wiederherstellungsprozesse absichern und Zugangsdaten in einem Zero-Knowledge-Modell schützen. Privileged Access Management (PAM) bietet eine zusätzliche Kontrollebene, reduziert die Auswirkungen kompromittierter Zugangsdaten und stellt sicher, dass sensible Systeme geschützt bleiben.

Passwortlose Authentifizierung ist ein bedeutender Fortschritt, doch das umliegende Ökosystem - mit Cloud-Diensten, Vertrauensmodellen für Geräte und Wiederherstellungsmechanismen - bleibt der zentrale Angriffspunkt. Letztlich werden diejenigen erfolgreich sein, die Passkeys als einen Bestandteil einer umfassenden Identitätssicherheitsstrategie betrachten und nicht als isolierter Ansatz.

(Die Bildrechte liegen bei dem Verfasser der Mitteilung.) Firmen- & Pressekontakt