Microsoft stellt die Zwei-Faktor-Authentifizierung per SMS für Logins ein, um Nutzer besser vor Passwortdiebstahl zu schützen. Das Unternehmen stuft die SMS-Methode als eine Hauptquelle für Betrug ein. Stattdessen setzt Microsoft künftig verstärkt auf Passkeys, die biometrische Daten oder PINs nutzen, um die Sicherheit gegenüber evolvierenden Bedrohungen zu erhöhen.
Die Schwachstellen der SMS-Authentifizierung
Die Entscheidung, Codes per SMS für den Login auszuphasen, ist eine direkte Reaktion auf die steigende Anfälligkeit dieser Methode. Wie
Chip.de berichtet, bezeichnet Microsoft die SMS-Übermittlung als eine primäre Quelle für Betrugsfälle.
Das Problem liegt in der Natur des SMS-Protokolls, das für Angreifer leichter zu manipulieren ist als moderne kryptografische Verfahren. Microsoft verfolgt damit das Ziel, Nutzern zu helfen, sich entwickelnden Bedrohungen einen Schritt voraus zu bleiben.
Die bloße Zusendung eines numerischen Codes an eine Telefonnummer bietet keinen ausreichenden Schutz mehr gegen professionelle Phishing-Kampagnen oder SIM-Swapping-Angriffe.
Passkeys und der Wegfall des Passworts
An die Stelle der SMS treten
Passkeys als Login-Alternative. Im Gegensatz zu herkömmlichen Passwörtern werden diese direkt auf dem Gerät des Nutzers gespeichert.
Der technische Vorgang basiert auf einem sogenannten Handshake zwischen dem lokalen Gerät und dem Zielserver. Bei diesem Prozess kommt kein Passwort zum Einsatz, das theoretisch gestohlen oder abgefangen werden könnte. Laut Informationen des Software-Portals XDA Developers erfolgt die Verifizierung stattdessen über lokale Sicherheitsmerkmale.
Die Authentifizierung erfolgt über drei primäre Wege:
Fingerabdruck-Scans
Gesichtserkennung
Persönliche PINs
Dieser Ansatz verschiebt die Sicherheitsarchitektur weg von einem zentral gespeicherten Geheimnis (dem Passwort) hin zu einem lokalen Besitznachweis in Kombination mit Biometrie.
Die Herausforderung der Gerätebindung
Trotz der Sicherheitsvorteile bringen Passkeys eine spezifische Einschränkung mit sich: die Bindung an die Hardware. Die Verbraucherzentrale weist darauf hin, dass ein Passkey grundsätzlich gerätespezifisch ist. Das bedeutet, dass ein Login von einem fremden Gerät mit dieser Methode nicht möglich ist, sofern kein entsprechender Schlüssel vorhanden ist.
Um diese Hürde zu nehmen, implementieren Anbieter wie Microsoft und Apple Mechanismen zur geräteübergreifenden Synchronisation. Diese sind jedoch meist an das jeweilige Betriebssystem gebunden, was die Interoperabilität zwischen verschiedenen Ökosystemen erschwert.
Für den Fall, dass ein Gerät verloren geht oder ein Account wiederhergestellt werden muss, gibt es Sicherheitsnetze. Hier kommen oft einmalig verwendbare Backup-Codes zum Einsatz. Diese müssen sicher und getrennt vom primären Gerät aufbewahrt werden, um den Zugriff im Notfall zu gewährleisten.
Die Umstellung markiert einen Wendepunkt in der digitalen Identitätsverwaltung. Während die SMS-Authentifizierung über Jahre als Standard für die Zwei-Faktor-Absicherung galt, zeigt der aktuelle Schritt von Microsoft, dass die
Sicherheitsbedenken bei der SMS-Methode nun überwiegen.
Die Zukunft des Logins wird somit weniger von dem Wissen eines Passworts abhängen, sondern immer mehr von der physischen Kontrolle über verifizierte Hardware.
