Die Ära des klassischen SMS-Codes geht bei Microsoft endgültig zu Ende. Der Konzern stellt den Versand von Sicherheits-Codes per Textnachricht für private Konten in Kürze ein. Wer sich weiterhin anmelden möchte, muss auf moderne Verfahren umsteigen. Dazu gehören Passkeys, verifizierte E-Mail-Adressen oder Authentifikator-Apps. Microsoft zieht damit die Reißleine bei einer Methode, die in der IT-Sicherheit schon lange als veraltet und riskant gilt.
Das Sicherheitsrisiko der Mobilfunknetze
Die Zwei-Faktor-Authentifizierung per SMS war jahrelang der Standard, um Konten zusätzlich abzusichern. Aus heutiger Sicht bietet sie jedoch zu viele Angriffsflächen. Textnachrichten werden unverschlüsselt über das Mobilfunknetz übertragen und lassen sich mit entsprechendem Aufwand abfangen.
Besonders das sogenannte SIM-Swapping bereitet Sicherheitsbehörden Sorgen. Dabei erschleichen sich Kriminelle beim Mobilfunkanbieter eine Ersatz-SIM-Karte mit der Telefonnummer des Opfers. Sobald die Karte aktiv ist, landen alle Bestätigungscodes direkt auf dem Gerät der Angreifer. Microsoft bezeichnet die SMS-Authentifizierung mittlerweile als eine der Hauptursachen für erfolgreiche Betrugsversuche.
Passkeys als neuer Standard ohne Passwort
Die Zukunft der Anmeldung liegt in kryptografischen Schlüsseln, die komplett ohne die Eingabe eines Passworts auskommen. Bei einem Passkey generiert das Endgerät ein einzigartiges Schlüsselpaar. Der private Teil dieses Paares verlässt die eigene Hardware niemals. Die Freischaltung erfolgt lokal über Windows Hello, den Fingerabdrucksensor, Gesichtserkennung oder eine PIN.
Da kein Geheimnis über das Internet übertragen wird, laufen Phishing-Angriffe ins Leere. Selbst wenn Angreifer eine täuschend echte Login-Seite nachbauen, verweigert das System die Freigabe des Schlüssels, weil die Domain nicht mit dem hinterlegten Passkey übereinstimmt. Je nach Betriebssystem werden diese Schlüssel zudem verschlüsselt über die Cloud des Herstellers mit anderen eigenen Geräten synchronisiert.
Hürden für Entwickler und Power-User
Der Verzicht auf die SMS-Rückfalloption erhöht das Sicherheitsniveau für die Allgemeinheit drastisch, bringt im Tech-Alltag aber auch Herausforderungen mit sich. Wer regelmäßig mit virtuellen Maschinen arbeitet, stößt schnell an Grenzen. In diesen isolierten Testumgebungen ist der Zugriff auf die biometrische Hardware des Host-Rechners oft nicht möglich oder stark eingeschränkt.
Auch die Durchreichung von physischen USB-Sicherheitsschlüsseln in eine virtuelle Maschine erfordert oft manuellen Konfigurationsaufwand. In solchen Szenarien war der Empfang einer simplen SMS auf dem Smartphone neben dem Monitor eine unkomplizierte Lösung. Hier müssen Power-User künftig vermehrt auf Authentifikator-Apps ausweichen, die zeitbasierte Einmalpasswörter (TOTP) auf dem Smartphone generieren.
Die Umstellung im Microsoft-Konto vorbereiten
Microsoft rollt die Änderungen schrittweise aus. In den kommenden Wochen werden beim Login vermehrt Hinweise erscheinen, die zur Einrichtung sicherer Alternativen auffordern. Um nicht im falschen Moment den Zugriff auf das eigene Konto zu riskieren, sollten die Sicherheitsoptionen im Microsoft-Konto proaktiv aktualisiert werden.
Der beste Weg führt über die Kontoeinstellungen in den Bereich für zusätzliche Sicherheitsoptionen. Dort lässt sich ein Passkey für das aktuell genutzte Gerät einrichten. Parallel dazu sollte mindestens eine alternative, verifizierte E-Mail-Adresse und eine Authentifikator-App als Backup hinterlegt werden. Das erfordert bei der ersten Einrichtung ein paar Minuten Aufwand, schützt die digitalen Identitäten aber effektiv vor modernen Angriffsformen.
Kommentare (0)
Noch herrscht hier Stille...
Bisher gibt es keine Kommentare zu diesem Beitrag. Mach den Anfang und teile deine Gedanken!