Eksperter advarer: Det er ikke så sikkert, som mange tror

I flere år er overgangen fra adgangskoder til passkeys blevet omtalt som fremtidens løsning inden for sikker godkendelse.

Ved at basere sig på kryptografiske nøgler i stedet for svage eller genbrugte adgangskoder, har passkeys lovet at fjerne mange af de risici, der længe har plaget traditionelle adgangskoder.

Men under den nylige DEF CON 33-konference præsenterede forskere fra SquareX nye resultater, som udfordrer dette synspunkt. De hævder, at de browsere, som passkey-systemet er afhængigt af, kan udnyttes på måder, der omgår deres egne sikkerhedsforanstaltninger.

Passkeys fungerer gennem et system, hvor en privat nøgle forbliver på brugerens enhed, mens en offentlig nøgle opbevares hos tjenesteudbyderen.

For at logge ind, verificerer brugeren sin identitet lokalt ved hjælp af biometriske data, en PIN-kode eller en fysisk sikkerhedsnøgle, og serveren autentificerer derefter svaret ud fra den lagrede offentlige nøgle.

Denne struktur burde eliminere klassiske angreb som phishing og brute force, men hele systemet bygger på en grundlæggende antagelse: at browseren er en pålidelig mellemmand. Det er netop denne rolle, som forskerne fra SquareX nu betegner som værende farligt skrøbelig.

De demonstrerede, hvordan hackere kan manipulere browseren ved hjælp af ondsindede udvidelser eller scripts, hvilket gør det muligt at opsnappe registreringsprocessen, udskifte nøgler og narre brugeren til at registrere sig igen – under hackerens kontrol.

Set fra offerets perspektiv ligner login-processen en fuldt legitim passkey-operation, uden nogen tydelige advarsler om, at legitimationsoplysninger bliver kompromitteret.

Etablerede sikkerhedsværktøjer i virksomheder, såsom endpoint protection eller netværksovervågning, giver ikke indsigt i denne form for browseraktivitet.

“Passkeys er en meget betroet form for godkendelse, så når brugeren ser en biometrisk prompt, tolkes det som et tegn på sikkerhed,” forklarede SquareX-forsker Shourya Pratap Singh ifølge TechRadar.

“Men hvad de ikke ved, er, at angribere nemt kan forfalske passkey-registreringer og godkendelser ved at afbryde arbejdsprocessen i browseren. Det bringer stort set alle virksomheders og forbrugeres applikationer – herunder kritiske bank- og datalagringstjenester – i fare.”

I takt med at størstedelen af virksomheders data nu ligger på SaaS-platforme, bliver passkeys hurtigt taget i brug som standardmetode til login. Men SquareX’s resultater viser, at dette skaber en ny afhængighed af browserens sikkerhed – et område, hvor kontrollen historisk set har været mangelfuld.

Passkeys kan stadig være et skridt fremad sammenlignet med adgangskoder, men ifølge SquareX er intet system fejlfrit, og det kan være, at mange har været for hurtige til at udråbe passkeys som den universelle løsning.

Sådan beskytter du dig:

• Brug et pålideligt antivirusprogram til at opdage og blokere skjult ondsindet kode.
• Installer kun browserudvidelser fra verificerede kilder, og gennemgå deres tilladelser regelmæssigt.
• Hold din browser opdateret for at få de nyeste sikkerhedsopdateringer.
• Brug en adgangskodeadministrator til sikre logins til gamle konti.
• Suppler login-processer med en autentifikationsapp for ekstra sikkerhed.
• Gennemgå browserindstillinger jævnligt for at begrænse eksponering over for usikre scripts eller tilføjelser.
• Begræns antallet af enheder, der bruges til følsomme logins, for at minimere angrebsflader.