Von SMS-Codes zu Passkeys: Der komplette MFA-Leitfaden
Nicht jede Zwei-Faktor-Methode ist gleich stark. Dieser Leitfaden erklart MFA-Methoden und Passkeys.
Überblick
Zwei-Faktor-Authentifizierung ist nicht gleich Zwei-Faktor-Authentifizierung. Der Artikel vergleicht SMS-Codes, Authenticator-Apps, Push, Hardware-Keys und Passkeys und erklärt, warum phishing-resistente Methoden stärker sind.
Warum es wichtig ist
Angreifer umgehen schwache MFA über SIM-Swapping, Phishing-Proxies, Push-Müdigkeit oder gestohlene Sessions. Die Wahl des Faktors bestimmt, ob MFA wirklich schützt.
Wichtige Details
- SMS ist besser als kein zweiter Faktor, bleibt aber anfällig für Portierung, Abfangen und Social Engineering.
- TOTP-Apps sind robuster, können aber auf Phishing-Seiten eingegeben werden.
- FIDO2/WebAuthn und Passkeys binden Anmeldung kryptografisch an die legitime Domain.
- Hardware-Keys und synchronisierte Passkeys haben unterschiedliche Betriebs- und Wiederherstellungsmodelle.
Empfohlene Maßnahmen
- Für Bank, E-Mail, Cloud und Adminzugänge phishing-resistente MFA bevorzugen.
- Recovery-Codes sicher speichern und Wiederherstellungswege testen.
- Push-MFA mit Nummernabgleich und Risikoerkennung härten.
- SMS nur als Übergang oder für geringe Risiken einsetzen.
Fazit
Die stärkste alltagstaugliche Richtung sind Passkeys und FIDO2. Organisationen sollten MFA nicht nur aktivieren, sondern die Methode nach Risiko auswählen.
Quellen
Die Quellen und Produktnamen bleiben wie im Original erhalten, damit Leser die genannten Standards, Anbieterhinweise und weiterführenden Referenzen eindeutig prüfen können.