Hallo zusammen, hier ist Pat Reeves, zurück auf botsec.net. Wir befinden uns im März 2026, und wenn es euch wie mir geht, spürt ihr wahrscheinlich immer noch etwas von der schieren Dreistigkeit mancher Botnet-Aktivitäten, die wir im letzten Jahr beobachtet haben. Während die Schlagzeilen sich auf DDoS-Angriffe und Datenexfiltration konzentrierten, sind andere Dinge still und heimlich aufgetaucht, Dinge, die mich ehrlich gesagt nachts wach halten: die immer ausgeklügelteren Taktiken, die Bots verwenden, um traditionelle Authentifizierungsmethoden zu umgehen, insbesondere mit dem Aufstieg von Passkeys.
Uns wurde gesagt, Passkeys seien die Zukunft, oder? Phishing-resistent, kryptographisch sicher, an Geräte gebunden. Und aus gutem Grund sprechen sie viele alte Schmerzpunkte an. Aber was passiert, wenn der Mechanismus, der uns schützen soll, selbst zu einem Kompromittierungsvektor wird, nicht aufgrund eines Fehlers in der Kryptographie selbst, sondern wegen der Art und Weise, wie er implementiert ist und, vor allem, wie Bots lernen, das menschliche Element darum herum zu manipulieren?
Das Passkey-Paradoxon: Eine neue Grenze für Bots
Denkt mal darüber nach. Das Versprechen der Passkeys ist, dass sie die gemeinsamen Geheimnisse (Passwörter) abschaffen und eine Benutzerinteraktion auf einem vertrauenswürdigen Gerät erfordern. Super! Keine Credential Stuffing, kein Spraying, keine einfachen Dictionary-Angriffe mehr. Aber die Bots, diese hartnäckigen kleinen digitalen Wesen, geben nicht so leicht auf. Sie passen sich an. Und was ich beobachtet habe, insbesondere bei den Versuchen, Konten (ATO) auf Plattformen zu übernehmen, die Passkeys vollständig übernommen haben, ist eine Wendung hin zur großflächigen sozialen Ingenieurskunst, unterstützt durch Automatisierung.
Meine kürzliche Erfahrung mit einem Kunden, einer mittelgroßen E-Commerce-Plattform, die letzten Sommer massiv in Passkeys investiert hat, hat mir wirklich die Augen geöffnet. Sie verzeichneten einen massiven Rückgang von Angriffen auf der Grundlage traditioneller Identifikatoren, was fantastisch war. Aber dann, vor etwa drei Monaten, begannen sie, einen Anstieg von „fehlgeschlagenen Anmeldungen“ zu bemerken, die… anders waren. Es handelte sich nicht um gescheiterte Passwörter; es waren Versuche, die Registrierung von Passkeys oder die Wiederherstellung von nicht erkannten Geräten zu initiieren, oft gefolgt von einer Vielzahl von Supportanfragen von legitimen Benutzern, die behaupteten, ihre Konten seien „gehackt“ worden, obwohl Passkeys aktiviert waren.
Was wir entdeckten, war ein mehrstufiger Angriff. Die Bots versuchten nicht, die Passkeys zu erraten; sie versuchten, die Benutzer zu täuschen, indem sie neue Passkeys auf von den Angreifern kontrollierten Geräten *generierten* oder *genehmigten* oder sie zwangen, bestehende zurückzusetzen. Das ist eine Variante der MFA-Müdigkeit „genehmigen Sie diese Verbindung“, aber mit höheren Einsätzen, da eine kompromittierte Passkey vollständige Kontrolle über das Konto bedeutet.
Von Bots gesteuerte Passkey-Übernahmen: Wie das funktioniert
Lassen Sie uns das neue Handbuch der Bots zur Kompromittierung von Passkeys aufschlüsseln. Es geht nicht um Brute-Forcing. Es handelt sich um großflächige, ausgeklügelte soziale Ingenieurskunst, verstärkt durch Automatisierung.
- Erkennung und leichtes Spear-Phishing: Die Bots sammeln öffentliche Daten, soziale Netzwerke und sogar Dumps aus dem Darknet, um E-Mail-Adressen und Telefonnummern zu erlangen. Dann korrelieren sie diese Daten mit den Zielplattformen. Das Ziel ist nicht, ein Passwort zu bekommen, sondern aktive Benutzer zu identifizieren.
- Der Köder „Neues Gerät“: Ein Bot, der oft einen legitimen Browser oder eine mobile Anwendung imitiert, versucht, eine Verbindung oder Registrierung von Passkeys für einen bekannten Benutzer auf der Zielplattform zu initiieren. Da der Benutzer auf diesen spezifischen Geräten (das simulierte Umfeld des Bots) keine registrierte Passkey hat, fordert die Plattform oft eine alternative Verifizierungsmethode oder das „Hinzufügen einer neuen Passkey“ an.
- Automatisierte soziale Ingenieurskunst (ASE): Hier geschieht die Magie (oder besser gesagt, die Bedrohung). Der Bot, der eine legitime Systembenachrichtigung (E-Mail, SMS, Push-Benachrichtigung aus der Anwendung selbst) ausgelöst hat, folgt sofort mit einem gezielten Phishing-Versuch. Es ist keine generische E-Mail „setzen Sie Ihr Passwort zurück“. Es ist hochgradig kontextbezogen.
Stellt euch dieses Szenario vor:
- Ihr erhaltet eine legitime Push-Benachrichtigung von eurer Banking-App: „Neue Registrierung von Passkey von einem unbekannten Gerät erkannt. Wenn das Sie waren, genehmigen Sie. Andernfalls klicken Sie hier, um Ihr Konto zu sichern.“
- Gleichzeitig erhaltet ihr eine sorgfältig verfasste E-Mail, anscheinend von der Sicherheitsabteilung eurer Bank, mit einem Betreff wie: „Dringend: Unautorisierte Registrierung von Passkey erkannt – Handlung erforderlich.“
- Der Inhalt der E-Mail ist personalisiert, möglicherweise wird sogar auf die genaue Uhrzeit des Registrierungsversuchs verwiesen. Sie leitet euch auf eine Phishing-Seite, die identisch mit dem Sicherheitsportal eurer Bank aussieht.
- Auf dieser Phishing-Seite werdet ihr gebeten, „eure Identität zu verifizieren“, indem ihr euer altes Passwort eingebt ( falls die Bank dies zur Wiederherstellung noch unterstützt), oder, noch hinterhältiger, „unauthorisierte Passkeys zu widerrufen“, was euch tatsächlich dazu bringt, eine *neue Passkey* auf dem Gerät des Angreifers zu *registrieren*, verkleidet als Sicherheitsmaßnahme.
Der Schlüssel hier ist der *Moment* und der *Kontext*. Die Bots koordinieren diese Aktionen im großen Stil und zielen gleichzeitig auf Tausende von Benutzern ab. Der Benutzer, der eine legitime Benachrichtigung von der Anwendung und eine sehr überzeugende und zeitnahe E-Mail sieht, ist viel wahrscheinlicher, auf den Betrug hereinzufallen, als bei einem generischen Phishing.
Praktische Verteidigungsstrategien gegen bot-gesteuerten Missbrauch von Passkeys
Was können wir also tun? Wir können die Passkeys nicht einfach wegwerfen; sie stellen immer noch einen großen Fortschritt dar. Aber wir müssen intelligenter im Einsatz und beim Schutz sein. Hier sind einige Punkte, die ich meinen Kunden geraten habe, mit praktischen Beispielen.
1. Stärken Sie Ihren Registrierungsprozess für „Neue Passkeys“
Dies ist die kritischste Schwachstelle. Wenn ein Angreifer einen Benutzer täuschen kann, eine neue Passkey auf seinem Gerät zu registrieren, ist es vorbei. Sie benötigen mehrere Überprüfungsschichten hier, über die anfängliche Passkey-Eingabe hinaus.
- Obligatorischer zweiter Faktor für neue Registrierungen: Selbst wenn ein Benutzer bereits eingeloggt ist, sollte eine zusätzliche Überprüfung erforderlich sein, die außerhalb des Bandes erfolgt (wie ein einmaliger Code, der an eine *eingetragene* Telefonnummer oder E-Mail-Adresse gesendet wird, nicht die, die während des Registrierungsversuchs angegeben wurde) für *jede* neue Registrierung oder Ersetzung von Passkeys.
- Geräteattestierung (wo möglich): Obwohl nicht narrensicher, kann die Einbeziehung von Überprüfungen zur Geräteattestierung bei der Registrierung von Passkeys helfen, offensichtliche virtuelle Maschinen oder Emulatoren herauszufiltern, die Bots verwenden könnten. Es geht nicht darum, legitime Benutzer zu blockieren, sondern darum, Reibung für bekannte Angreifermilieus zu hinzufügen.
- Rate Limiting und Anomalieerkennung: Das ist eine klassische Verteidigung gegen Bots, aber es gilt hier besonders. Beschränkt aggressiv die Rate der Versuche zur Registrierung von Passkeys von einzigartigen IP-Adressen oder IP-Bereichen, kombiniert mit einer Verhaltensanomalieerkennung ( z.B. ein Benutzer, der plötzlich versucht, innerhalb einer Stunde 5 neue Passkeys von verschiedenen geografischen Standorten aus zu registrieren), kann verdächtige Aktivitäten zur Anzeige bringen.
// Beispiel: Pseudocode für einen guten Ablauf zur Registrierung eines neuen Passkeys
function registerNewPasskey(userId, webauthnCredential) {
// 1. Bestehende Sitzung und Authentifizierungsstärke überprüfen
if (!isAuthenticatedStrongly(userId)) {
// Wieder-Authentifizierung oder zusätzliche MFA erzwingen
initiateMFAChallenge(userId, "new_passkey_registration");
return; // Auf das Ende der MFA warten
}
// 2. FIDO2 Attestation Validierung durchführen
if (!validateWebAuthnAttestation(webauthnCredential)) {
logSecurityAlert(userId, "Ungültige WebAuthn-Bestätigung bei der Registrierung eines neuen Passkeys");
return;
}
// 3. Optional: Überprüfung des Gerätefingerabdrucks / Attestation (serverseitig)
if (isSuspiciousDeviceFingerprint(request.headers['User-Agent'], request.ip)) {
logSecurityAlert(userId, "Verdächtiger Gerätefingerabdruck bei der Registrierung eines neuen Passkeys");
initiateMFAChallenge(userId, "suspicious_device_new_passkey");
return;
}
// 4. Überprüfung der Ratenlimits für neue Passkeys pro Benutzer/IP
if (rateLimitExceeded("new_passkey_registration", userId, request.ip)) {
logSecurityAlert(userId, "Ratenlimit überschritten bei der Registrierung eines neuen Passkeys");
return;
}
// 5. Neuen Passkey speichern
storeUserPasskey(userId, webauthnCredential);
sendUserNotification(userId, "Neuer Passkey erfolgreich registriert.");
}
2. Verbessern Sie die Kontowiederherstellungsprozesse
Die Kontowiederherstellung ist ein weiteres wichtiges Ziel. Wenn ein Angreifer einen Wiederherstellungsprozess initiieren und dann den Benutzer dazu bringen kann, ihn zu genehmigen, hat er sekundären Zugriff.
- Verzögerung der Kontowiederherstellung: Richten Sie eine obligatorische Wartezeit (z.B. 24 bis 48 Stunden) für kritische Aktionen zur Kontowiederherstellung ein, insbesondere für solche, die den Ersatz aller vorhandenen Passkeys beinhalten. Informieren Sie in der Zwischenzeit den Benutzer proaktiv über alle bekannten Kommunikationskanäle. Das gibt dem legitimen Benutzer die Chance einzugreifen.
- Live-Videos oder Agenten-gestützte KYC-Überprüfung für vollständige Rücksetzung: Für Situationen, in denen ein Benutzer alle seine Passkeys und anderen Wiederherstellungsmethoden verloren hat, ziehen Sie in Betracht, eine Live-Videoprüfung mit einem Support-Mitarbeiter erforderlich zu machen. Dies ist eine aufwendige Lösung, aber für kritische Konten ist es ein starkes Mittel zur Abschreckung gegen automatisierte soziale Ingenieurkunst.
- „Glasbrecher“-Passkeys: Für interne Administratorenkonten oder hochsensible Systeme ziehen Sie in Betracht, einen physischen „Glasbrecher“-Passkey an einem sicheren und überprüften Ort zu lagern, der mehrere Genehmigungen benötigt, um verwendet zu werden. Das ist nicht für Verbraucherkonten gedacht, aber für hochpriorisierte Ziele ist es unerlässlich.
3. Funktionierende Benutzerbildung
Wir machen seit Jahrzehnten „Benutzerbildung“, und ehrlich gesagt, der Großteil davon schlägt fehl. Für Passkeys benötigen wir gezielte, zeitgerechte und spezifische Anleitungen.
- „Was zu erwarten ist“-Leitfäden: Erklären Sie den Benutzern klar, wie legitime Passkey-Benachrichtigungen und Wiederherstellungsprozesse aussehen. Zeigen Sie Screenshots.
- „Was man NICHT tun sollte“-Warnungen: Warnen Sie die Benutzer spezifisch davor, Passkey-Registrierungen zu genehmigen, die sie nicht selbst initiiert haben, oder Links in E-Mails zu klicken, die behaupten, Passkeys „zu widerrufen“, insbesondere wenn sie selbst keine Sicherheitsaktion versucht haben.
- Sicherheitsüberprüfungen in der App: Stellen Sie einen leicht auffindbaren Abschnitt in Ihrer App oder Website zur Verfügung, in dem Benutzer alle registrierten Passkeys, deren Herkunft (wenn möglich) und die Möglichkeit zur Widerrufung einsehen können. Gestalten Sie dies einfach und intuitiv.
// Beispiel: Warnung in der App für verdächtige Aktivitäten
function displaySuspiciousActivityWarning(userId, activityDetails) {
const warningMessage = `
⚠ Verdächtige Aktivität erkannt!
Wir haben einen Versuch zur Registrierung eines neuen Passkeys für Ihr Konto von einem nicht erkannten Gerät (${activityDetails.ipAddress} - ${activityDetails.location}) am ${activityDetails.timestamp} festgestellt.
Wenn Sie das waren, können Sie es sicher ignorieren. Wenn es nicht Sie waren, handeln Sie bitte sofort:
- Gehen Sie zu Ihren Sicherheitseinstellungen, um die Passkeys zu überprüfen und zu widerrufen.
- Ändern Sie Ihre anderen Wiederherstellungsmethoden (z.B. E-Mail-Passwort).
- Kontaktieren Sie den Support, wenn Sie Hilfe benötigen.
`;
document.getElementById('security-alert-banner').innerHTML = warningMessage;
document.getElementById('security-alert-banner').style.display = 'block';
}
Diese Art von direkt in der App angezeigter Warnung, die durch dieselbe Botaktivität ausgelöst wird, gegen die wir uns zu verteidigen versuchen, kann äußerst effektiv sein.
Umsetzbare Tipps für Bot-Sicherheitsexperten
Der Bereich der Botangriffe entwickelt sich ständig weiter. Passkeys sind großartig, aber sie sind keine Allheilmittel, und Angreifer finden bereits neue Wege, das menschliche Element, das sie umgibt, auszunutzen. Hier ist meine Checkliste für Sie:
- Überprüfen Sie Ihre Passkey-Flow: Gehen Sie jeden Passkey-Flow durch – Registrierung, Anmeldung, Wiederherstellung, Widerruf – mit dem Geist eines Botangreifers. Wo kann ein Bot in die soziale Ingenieurkunst eingreifen?
- Schichtüberprüfung ist entscheidend: Verlassen Sie sich niemals auf einen einzigen Faktor für actionsintensive Vorgänge wie die Registrierung eines neuen Passkeys oder die vollständige Kontowiederherstellung. Fügen Sie eine MFA außerhalb des Bandes hinzu.
- Bildung, nicht nur Information: Gestalten Sie eine Benutzerbildung, die proaktiv, sehr spezifisch auf die Bedrohungen durch Passkeys und direkt in die Sicherheitsfunktionen Ihrer Anwendung integriert ist.
- Überwachen Sie Anomalien: Behalten Sie Ihre Protokolle im Auge, um ungewöhnliche Muster bei Versuchen zur Registrierung von Passkeys, Wiederherstellungsanfragen und zugehörigen Support-Tickets zu erkennen. Bots arbeiten in großem Umfang, und diese Muster werden auftauchen.
- Vergessen Sie nicht die Grundlagen: Während Sie sich auf Passkeys konzentrieren, vernachlässigen Sie nicht Ihre grundlegenden Abwehrmaßnahmen gegen Bots für andere Teile Ihrer Anwendung: strikte Ratenbegrenzung, IP-Reputation, Verhaltensanalyse und CAPTCHAs, wenn es angemessen ist. Bots können sich weiterentwickeln, aber sie hinterlassen immer noch Spuren.
Die Zukunft der Authentifizierung ist vielversprechend, aber nur, wenn wir vorausschauen, wie böswillige Akteure versuchen werden, sie zu umgehen. Bleiben Sie wachsam, bleiben Sie sicher, und ich sehe Sie das nächste Mal hier auf botsec.net.
Verwandte Artikel
- Datenschutzschutz für AI-Bots
- Meine Meinung: OmniMind AI ist ein Sicherheitsalptraum
- Nachrichten zur AI-Sicherheit heute: Dringende Updates & Experteneinsichten
🕒 Published: