Τα συγχρονισμένα passkeys κληρονομούν τον κίνδυνο των λογαριασμών cloud και των διαδικασιών ανάκτησης που τα προστατεύουν, δημιουργώντας ουσιαστική έκθεση για τις επιχειρήσεις.
Τα Adversary-in-the-Middle (AiTM) κιτ μπορούν να εξαναγκάσουν διαδικασίες εναλλακτικής ταυτοποίησης που παρακάμπτουν πλήρως την ισχυρή ταυτοποίηση. Κακόβουλα ή παραβιασμένα πρόσθετα προγραμμάτων περιήγησης μπορούν να καταλάβουν αιτήματα WebAuthn, να χειραγωγήσουν την εγγραφή ή τη σύνδεση passkey και να προκαλέσουν autofill για να διαρρεύσουν διαπιστευτήρια και κωδικούς μιας χρήσης.
Τα device-bound passkeys σε φυσικά κλειδιά ασφαλείας προσφέρουν υψηλότερη αξιοπιστία και καλύτερο διοικητικό έλεγχο από τα συγχρονισμένα και πρέπει να είναι υποχρεωτικά για πρόσβαση σε εταιρικούς λογαριασμούς.
Κίνδυνοι των συγχρονισμένων passkeys
Τα passkeys είναι διαπιστευτήρια αποθηκευμένα σε έναν authenticator. Ορισμένα δεσμεύονται στη συσκευή, ενώ άλλα συγχρονίζονται μέσω υπηρεσιών cloud όπως το iCloud ή το Google Cloud. Ο συγχρονισμός βελτιώνει τη χρηστικότητα αλλά μεταφέρει το όριο εμπιστοσύνης στους λογαριασμούς cloud.
Έτσι, η κατάληψη λογαριασμού cloud ή η κατάχρηση ανάκτησης μπορεί να επιτρέψει σε νέες συσκευές να εξουσιοδοτηθούν, διαβρώνοντας την ακεραιότητα των διαπιστευτηρίων.
Επιθέσεις υποβάθμισης ταυτοποίησης
Οι ερευνητές της Proofpoint κατέγραψαν πρακτική επίθεση εναντίον του Microsoft Entra ID, όπου ένας phishing proxy προσποιείται έναν μη υποστηριζόμενο browser, όπως το Safari σε Windows. Το Entra απενεργοποιεί τα passkeys και ο χρήστης καθοδηγείται να επιλέξει ασθενέστερη μέθοδο, όπως SMS ή OTP. Ο επιτιθέμενος στη συνέχεια συλλαμβάνει τα διαπιστευτήρια και το cookie συνεδρίας για να αποκτήσει πρόσβαση.
Ευπάθειες σε προγράμματα περιήγησης και επεκτάσεις
Οι ερευνητές της SquareX έδειξαν ότι ένα παραβιασμένο περιβάλλον browser μπορεί να καταλάβει τις κλήσεις WebAuthn και να χειραγωγήσει τη διαδικασία εγγραφής ή σύνδεσης.
Το Chrome διαθέτει API «webAuthenticationProxy» που μπορεί να αναχαιτίσει τις μεθόδους ταυτοποίησης, κάτι που μπορεί να εκμεταλλευθεί μια κακόβουλη επέκταση. Παράλληλα, παρουσιάστηκε στο DEF CON τεχνική clickjacking που επιτρέπει την εξαγωγή αποθηκευμένων δεδομένων, όπως logins ή passkeys, μέσω μιας μόνο ψευδούς αλληλεπίδρασης χρήστη.
Η λύση των device-bound credentials
Τα passkeys που δεσμεύονται σε συσκευή δημιουργούν και χρησιμοποιούν το ιδιωτικό κλειδί σε ασφαλές υλικό. Στις επιχειρήσεις, τα φυσικά κλειδιά ασφαλείας παρέχουν συνεπή σήματα συσκευής, δυνατότητα απόσυρσης και καταγραφή ταυτοποίησης.
Τα συγχρονισμένα passkeys δεν αποτελούν «ασπίδα προστασίας». Βελτιώνουν τη χρηστικότητα για καταναλωτές εις βάρος της εταιρικής ασφάλειας πρόσβασης.
