Auf den Punkt: Passwortlose Authentifizierungsverfahren wie FIDO2 und Passkeys ersetzen anfällige passwortbasierte MFA und reduzieren das Risiko von Phishing, SIM-Swaps und Credential-Stuffing.
Multifaktor-Authentifizierung (MFA) ist etabliert, aber passwortgestützte Implementierungen bleiben angreifbar. FIDO2-Sicherheitsschlüssel, Passkeys und Biometrie adressieren strukturelle Schwachstellen, die von modernen Angriffsmustern systematisch ausgenutzt werden.
Multifaktor-Authentifizierung (MFA) hat sich als Standardverfahren zur Identitätsprüfung beim Login etabliert. Viele Implementierungen nutzen jedoch ein Passwort als ersten Faktor und ergänzen diesen durch Authenticator-Apps, E-Mail, SMS oder ähnliche Verfahren. Diese Architektur weist strukturelle Schwächen auf: Das persistente Passwort bleibt der zentrale Angriffspunkt, auch wenn ein zweiter Faktor hinzukommt.
Die US-Sicherheitsbehörde NIST hält in der aktuellen Revision ihrer Digital Identity Guidelines (SP 800-63-4) fest, dass passwortbasierte MFA phishing-anfällig ist. Das Schweizer Bundesamt für Cybersecurity dokumentierte einen Fall von 2024, bei dem Angreifer zunächst das Passwort eines Mobilfunkkontos phishing-basiert abfingen, dann das Einmalpasswort von einer gefälschten Gewinnspielseite erbeuteten und schließlich via SIM-Swap auf SMS-basierte Authentifizierung zugriffen – mit Folgeschäden im fünfstelligen Franken-Bereich bei Bankkonten und Cloud-Speichern. Weitere Schwachstellen entstehen durch Prompt Bombing (unbeabsichtigte Bestätigung von Push-Benachrichtigungen), Credential Stuffing mit wiederverwendeten Passwörtern aus dem Darknet, sowie kompromittierte Recovery-Prozesse.
Passwortlose Verfahren stellen ein Architekturprinzip dar, das aktuelle Sicherheitsvorgaben ausdrücklich empfehlen. FIDO2-Sicherheitsschlüssel (USB-Stick, Badge) erzeugen asymmetrische Schlüsselpaare, wobei der private Schlüssel auf dem Gerät verbleibt und der öffentliche im Authentifizierungssystem hinterlegt wird. Passkeys können in System-Keychains (iOS, Android, ChromeOS) oder auf Hardware-Tokens abgelegt werden. Biometrische Authentifizierung (Fingerabdruck, Gesichtserkennung) setzt voraus, dass biometrische Abdrücke das Gerät nicht verlassen. Für kritische Infrastrukturen (Gesundheitswesen, Behörden) sind gerätegebundene Smartcards und Badges mit Tap-and-Go-Funktionalität etabliert.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt, passwortlose Verfahren überall dort einzusetzen, wo Dienste dies technisch ermöglichen. Sie bieten Phishing-Resistenz, da der Authentifizierungsmechanismus kryptographisch an die legitime Website oder Anwendung gebunden ist und nicht durch Phishing-Nachrichten kompromittiert werden kann.
Quelle: www.it-daily.net · Erschienen 9. Juli 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.3.