Auf den Punkt: Mit Passkeys verliert Credential Stuffing an Effizienz, weshalb Angreifer auf schwächer geschützte Verifikationsstufen ausweichen und CISOs diese nachgelagerten Phasen stärker absichern müssen.
Der klassische Credential-Stuffing-Angriff verliert durch die weit verbreitete Einführung von Passkeys an Wirksamkeit. Angreifer müssen ihre Strategien für Account Takeover neu ausrichten und verlagern ihre Fokus auf schwächer geschützte Authentifizierungsstufen.
Account-Takeover-Angriffe (ATO) folgten über Jahre hinweg einem bewährten Schema: Angreifer kauften gestohlene Anmeldedaten in großen Mengen auf, prüften diese automatisiert durch und warteten auf erfolgreiche Übereinstimmungen. Credential Stuffing war kostengünstig, skalierbar und für Verteidiger vergleichsweise gut verstanden und abwehrbar.
Dieses Zeitalter endet jetzt – nicht weil Angreifer aufgegeben haben, sondern weil die primäre Angriffsfläche härter geworden ist. Passkeys sind in 2026 zur Mainstream-Authentifizierung herangewachsen und untergraben damit die Basis der klassischen Credential-Stuffing-Kampagnen fundamental. Systemadministrator:innen müssen daher verstehen, dass Angreifer nicht verschwinden – sie adaptieren.
Stattdessen konzentrieren sich ATO-Kampagnen zunehmend auf nachgelagerte Schritte im Authentifizierungsprozess, etwa Verification- oder Bestätigungsmechanismen. Dies können gefälschte Bestätigungsseiten, Social Engineering bei MFA-Prozessen oder die Ausnutzung von Lücken in Out-of-Band-Authentifizierung sein. Wo Passkeys den Zugang blockieren, suchen Angreifer nach schwachen Verifikationsketten.
Für Security-Teams bedeutet dies eine Priorisierung: Die Verification-Phase muss mit gleichem Aufwand geschützt werden wie die Login-Phase selbst. Dazu gehören robuste MFA-Implementierungen, sichere Delivery-Kanäle für Bestätigungscodes und kontinuierliche Anomalieerkennung während des gesamten Authentifizierungsablaufs.
Quelle: thehackernews.com · Erschienen 8. Juli 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.3.