Ab September gilt für Mitglieder von OpenAIs „Trusted Access for Cyber“-Programm eine neue Regel: Ohne physischen Passkey gibt es keinen Zugriff mehr auf die leistungsstärkeren Sicherheitsmodelle des Unternehmens.
OpenAI verschärft die Zugangsregeln für sein Programm „Trusted Access for Cyber“ (TAC). Nutzer des Modells GPT-5.6 müssen dafür künftig einen hardwarebasierten Passkey einrichten. Dabei handelt es sich um ein kleines USB-Gerät, auf dem die Anmeldedaten direkt gespeichert sind, anstatt sie in einer Cloud oder rein softwarebasiert zu verwalten.
Richten Mitglieder die geforderte „Advanced Account Security“ bis zum 1. September nicht ein, verlieren sie zwar nicht den kompletten Zugang zu OpenAIs Diensten, wohl aber die Berechtigung für die erweiterten Cybersecurity-Modelle. Sie landen dann automatisch bei der Standardversion.
Einzelpersonen können ihre Identität verifizieren und vertrauenswürdigen Zugriff beantragen, und Organisationen können den Antrag für ihre Teams stellen. Einzelmitglieder müssen bis zum 1. September die erweiterte Kontosicherheit mit hardwaregestützten Passkeys aktivieren, um weiterhin Zugriff auf unsere leistungsstärksten Frontier-Modelle zu erhalten; wer dies nicht tut, erhält wieder den Standardzugriff.
Werkzeug mit zwei Seiten
Am TAC-Programm nehmen nach Unternehmensangaben inzwischen tausende Einzelpersonen sowie hunderte Teams teil, die für den Schutz kritischer Software zuständig sind. Ausgebaut hatte OpenAI das Angebot im April, kurz nachdem Anthropic mit seinem Modell Mythos im selben Bereich aktiv geworden war.
Die Krux dabei: Tools, die Verteidigern beim Aufspüren von Sicherheitslücken helfen sollen, lassen sich genauso gut für Angriffe missbrauchen. Damit steigt auch der Anreiz für Kriminelle, sich Zugang zu diesen Systemen zu verschaffen, etwa über gestohlene Zugangsdaten.
Kooperation mit Yubico
Umgesetzt wird die neue Vorgabe zusammen mit Yubico, bekannt für seine Hardware-Sicherheitsschlüssel namens Yubikey. Im Gegensatz zu klassischen Passwörtern oder gängigen Zwei-Faktor-Methoden per SMS oder Push-Nachricht gelten hardwarebasierte Passkeys als deutlich widerstandsfähiger gegen Phishing. Die hinterlegten Schlüssel lassen sich weder kopieren noch aus der Ferne auslesen oder zwischen Geräten synchronisieren.
Yubico-Chef Jerrod Chong begründete den Schritt damit, dass Unternehmen sich bei derart hohen Risiken nicht länger auf reine Softwarelösungen oder ältere Mehrfaktor-Verfahren verlassen könnten, weil sich diese vergleichsweise einfach umgehen oder abfangen lassen. Notwendig sei eine Vertrauensbasis, die auf Hardware beruht und Phishing-Versuchen standhält.
Der Schutz von TAC durch hardwaregestützte Passkeys macht es für Angreifer deutlich schwieriger und kostspieliger, Konten in großem Umfang zu missbrauchen. Durch die drastische Erhöhung der Eintrittsbarriere stört dieser Ansatz das kriminelle Ökosystem, das darauf angewiesen ist, kompromittierte Konten zu erstellen, zu validieren und für den weiteren Missbrauch weiterzuverkaufen.
Yubico-CEO Jerrod Chong
(red)