Phishing-resistente MFA – Nicht jede 2FA ist gleich sicher
Multi-Faktor-Authentifizierung (MFA) gilt als Goldstandard für sichere Anmeldungen. Doch nicht jede MFA-Methode schützt gleich gut. SMS-Codes, Authenticator-Apps, Push-Benachrichtigungen, Passkeys und Hardware-Keys unterscheiden sich erheblich in ihrer Widerstandsfähigkeit gegen Phishing.
Kurz erklärt:
- MFA = mindestens zwei Faktoren zur Anmeldung. Besser als nur ein Passwort, aber nicht automatisch sicher.
- SMS-Codes und Authenticator-Apps sind nicht phishing-resistent – Codes können auf Fake-Seiten eingegeben werden.
- Passkeys und FIDO2-Hardware-Keys sind phishing-resistent – sie funktionieren nur auf der echten Website.
Was ist Multi-Faktor-Authentifizierung?
Multi-Faktor-Authentifizierung (MFA) verlangt bei der Anmeldung mindestens zwei verschiedene Nachweise der Identität. Statt nur ein Passwort einzugeben, muss der Nutzer zusätzlich einen zweiten Faktor bestätigen – zum Beispiel einen Code vom Smartphone oder einen Fingerabdruck.
Die Idee dahinter: Selbst wenn ein Angreifer das Passwort kennt, kann er sich ohne den zweiten Faktor nicht anmelden. Das erhöht die Sicherheit erheblich – aber wie viel Sicherheit gewonnen wird, hängt entscheidend von der gewählten MFA-Methode ab.
Der Begriff 2FA (Zwei-Faktor-Authentifizierung) beschreibt den häufigsten Fall: genau zwei Faktoren. MFA ist der Oberbegriff und umfasst auch Szenarien mit drei oder mehr Faktoren. In der Praxis werden die Begriffe oft synonym verwendet.
Die drei Faktor-Kategorien
Authentifizierungsfaktoren werden in drei Kategorien eingeteilt. Für echte MFA müssen die Faktoren aus verschiedenen Kategorien stammen.
Wissen
Etwas, das Sie wissen
Passwort, PIN, Sicherheitsfrage
Besitz
Etwas, das Sie haben
Smartphone, Hardware-Key, Smartcard
Inhärenz
Etwas, das Sie sind
Fingerabdruck, Gesichtserkennung, Iris-Scan
Zwei Passwörter sind kein 2FA, weil beide aus der Kategorie „Wissen" stammen. Echte MFA kombiniert immer Faktoren aus verschiedenen Kategorien – z. B. Passwort (Wissen) + Smartphone-Code (Besitz) oder Passkey mit Fingerabdruck (Besitz + Inhärenz).
MFA-Methoden im Überblick
Die gängigsten MFA-Methoden unterscheiden sich erheblich in Sicherheitsniveau, Bedienkomfort und Verfügbarkeit.
SMS-Code
Ein Einmalcode wird per SMS an Ihre Handynummer gesendet. Weit verbreitet, aber anfällig für SIM-Swap-Angriffe, SS7-Schwachstellen und Phishing. Der Code kann auf einer gefälschten Seite eingegeben werden.
Schwächen: SIM-Swap, Netzwerk-Abfangen, Phishing, Verzögerungen bei Empfang
E-Mail-Code
Ein Einmalcode wird per E-Mail gesendet. Problematisch, weil das E-Mail-Konto oft das erste Ziel eines Angreifers ist. Wenn die E-Mail kompromittiert ist, ist auch der zweite Faktor kompromittiert.
Schwächen: E-Mail-Konto als Single Point of Failure, Phishing, Verzögerungen
Authenticator-App (TOTP)
Apps wie Google Authenticator, Microsoft Authenticator oder Authy generieren zeitbasierte Einmalcodes (TOTP). Die Codes werden lokal auf dem Gerät erzeugt und nicht über das Netzwerk übertragen. Deutlich sicherer als SMS, aber weiterhin anfällig für Phishing.
Schwächen: Code kann auf Phishing-Seite eingegeben werden, Backup der Seeds erforderlich
Push-Benachrichtigung
Der Dienst sendet eine Benachrichtigung an Ihr Smartphone, die Sie mit einem Tippen bestätigen. Komfortabler als TOTP, aber anfällig für MFA-Fatigue-Angriffe: Angreifer lösen wiederholt Push-Anfragen aus, bis der Nutzer versehentlich bestätigt.
Schwächen: MFA-Fatigue, Social Engineering, nicht domain-gebunden
Passkey (FIDO2/WebAuthn)
Kryptografisches Schlüsselpaar auf dem Gerät. Domain-gebunden, phishing-resistent, kein geteiltes Geheimnis. Kann als alleinige Anmeldemethode oder als zweiter Faktor eingesetzt werden. Funktioniert mit dem vorhandenen Smartphone oder Computer.
Stärken: Phishing-resistent, kein Code zum Eingeben, kein Netzwerk-Transfer des Geheimnisses
FIDO2-Hardware-Key
Physisches Gerät (z. B. YubiKey, Titan Key) mit demselben Public-Key-Prinzip wie Passkeys. Phishing-resistent und domain-gebunden. Der Schlüssel ist nicht synchronisierbar – bei Verlust wird ein Backup-Key benötigt. Ideal für besonders schutzbedürftige Konten.
Stärken: Phishing-resistent, physischer Besitz erforderlich, nicht kopierbar
Was „phishing-resistent" konkret bedeutet
Eine Authentifizierungsmethode gilt als phishing-resistent, wenn sie zwei Bedingungen erfüllt:
Domain-Bindung
Der Authentifizierungsfaktor ist kryptografisch an die echte Website-Domain gebunden. Er funktioniert nur auf der echten Seite (z. B. login.google.com) und reagiert nicht auf eine gefälschte Kopie (z. B. login-google.phishing.com).
Kein übertragbares Geheimnis
Es gibt nichts, was der Nutzer auf einer gefälschten Seite eingeben, weiterleiten oder versehentlich preisgeben kann. Kein Code, kein Passwort, kein Token – die Authentifizierung findet direkt zwischen Gerät und echtem Server statt.
„Ich habe 2FA aktiviert, also bin ich vor Phishing geschützt." – Das stimmt nur, wenn die 2FA-Methode phishing-resistent ist. SMS-Codes, Authenticator-Apps und Push-Benachrichtigungen schützen nicht vor Phishing, weil der Nutzer den Code oder die Bestätigung auf einer gefälschten Seite eingeben kann. Nur Passkeys und FIDO2-Hardware-Keys bieten echte Phishing-Resistenz.
Vergleichstabelle: 6 MFA-Methoden
| Kriterium | SMS | Auth-App | Push | Passkey | HW-Key | |
|---|---|---|---|---|---|---|
| Phishing-resistent | Nein | Nein | Nein | Nein | Ja | Ja |
| Domain-gebunden | Nein | Nein | Nein | Nein | Ja | Ja |
| Schutz vor SIM-Swap | Nein | – | Ja | Ja | Ja | Ja |
| Schutz vor MFA-Fatigue | – | – | Ja | Nein | Ja | Ja |
| Bedienkomfort | Mittel | Mittel | Mittel | Hoch | Sehr hoch | Mittel |
| Zusätzliche Hardware | Nein | Nein | Nein | Nein | Nein | Ja |
| Gesamtbewertung | Schwach | Schwach | Gut | Gut | Sehr gut | Sehr gut |
Die Rolle der Passkeys
Passkeys nehmen eine besondere Stellung ein: Sie bieten das Sicherheitsniveau eines FIDO2-Hardware-Keys, ohne dass ein separates Gerät gekauft werden muss. Die kryptografischen Schlüssel werden direkt im vorhandenen Smartphone oder Computer gespeichert.
Gleichzeitig vereinfachen Passkeys den Login-Prozess radikal. Statt Passwort eingeben und dann einen Code von der Authenticator-App abtippen, genügt ein Fingerabdruck, ein Blick in die Kamera oder die Geräte-PIN. Das macht Passkeys nicht nur sicherer, sondern auch bequemer als die meisten MFA-Kombinationen.
Passkeys kombinieren Besitz (Ihr Gerät) und Inhärenz (Fingerabdruck/Face ID) oder Wissen (PIN) in einem einzigen, phishing-resistenten Schritt. Das macht sie zu einer vollständigen Authentifizierungsmethode – nicht nur zu einem zweiten Faktor.
Empfehlung: Die richtige MFA-Methode wählen
Passkeys nutzen, wo verfügbar
Google, Microsoft, Apple, GitHub, PayPal und viele weitere Dienste unterstützen Passkeys. Richten Sie sie dort ein – sie bieten die beste Kombination aus Sicherheit und Komfort.
Authenticator-App als Fallback
Für Dienste ohne Passkey-Unterstützung ist eine Authenticator-App (Google Authenticator, Microsoft Authenticator, Authy) die beste Alternative. Deutlich sicherer als SMS-Codes.
SMS-Codes nur als letztes Mittel
SMS-2FA ist immer noch besser als kein zweiter Faktor. Wenn ein Dienst nur SMS anbietet, nutzen Sie es – aber wechseln Sie, sobald bessere Optionen verfügbar werden.
Hardware-Key für besonders kritische Konten
Für Admin-Zugänge, Root-Konten oder besonders sensible Systeme kann ein FIDO2-Hardware-Key als zusätzlicher Backup sinnvoll sein. Die Investition (ca. 30–60 €) lohnt sich für hochkritische Zugänge.
Weiterlesen im Passkeys-Ratgeber
Häufige Fragen: Phishing-resistente MFA
MFA steht für Multi-Faktor-Authentifizierung. Statt nur einem Faktor (z. B. Passwort) werden mindestens zwei verschiedene Faktoren zur Anmeldung verlangt. Die drei klassischen Kategorien sind: etwas, das Sie wissen (Passwort), etwas, das Sie haben (Gerät, Hardware-Key) und etwas, das Sie sind (Fingerabdruck, Gesichtserkennung).
2FA (Zwei-Faktor-Authentifizierung) ist ein Spezialfall von MFA mit genau zwei Faktoren. MFA kann auch mehr als zwei Faktoren umfassen. In der Praxis werden die Begriffe oft synonym verwendet, da die meisten Systeme genau zwei Faktoren nutzen.
SMS-Codes können durch SIM-Swap-Angriffe, SS7-Schwachstellen im Mobilfunknetz oder Social Engineering beim Mobilfunkanbieter abgefangen werden. Zudem können Nutzer den Code auf einer Phishing-Seite eingeben, ohne es zu bemerken. SMS-2FA ist besser als kein zweiter Faktor, aber deutlich schwächer als Authenticator-Apps oder Passkeys.
Eine MFA-Methode ist phishing-resistent, wenn der zweite Faktor kryptografisch an die echte Website-Domain gebunden ist und nicht auf einer gefälschten Seite verwendet werden kann. Passkeys und FIDO2-Hardware-Keys erfüllen dieses Kriterium. SMS-Codes, Authenticator-Apps und Push-Benachrichtigungen sind nicht domain-gebunden und daher nicht phishing-resistent.
Authenticator-Apps (Google Authenticator, Microsoft Authenticator, Authy) sind deutlich sicherer als SMS-Codes, weil sie nicht über das Mobilfunknetz übertragen werden. Allerdings sind sie nicht phishing-resistent: Ein Nutzer kann den generierten Code auf einer gefälschten Website eingeben. Für die meisten Privatnutzer bieten sie aber ein gutes Sicherheitsniveau.
Ein FIDO2-Hardware-Key (z. B. YubiKey, Titan Key) ist ein physisches Gerät, das per USB, NFC oder Bluetooth mit dem Computer oder Smartphone verbunden wird. Er funktioniert nach demselben Public-Key-Prinzip wie Passkeys und ist ebenfalls phishing-resistent. Der Unterschied: Hardware-Keys sind separate Geräte, die gekauft und mitgeführt werden müssen.
Beides ist möglich. Ein Passkey kann als alleinige Anmeldemethode verwendet werden (Passwort-Ersatz) oder als zweiter Faktor zusätzlich zu einem Passwort. Die meisten modernen Implementierungen setzen Passkeys als vollständigen Passwort-Ersatz ein, was den Anmeldeprozess vereinfacht und gleichzeitig sicherer macht.
MFA-Fatigue ist eine Angriffsmethode, bei der ein Angreifer wiederholt Push-Benachrichtigungen zur Anmeldebestätigung auslöst – oft mitten in der Nacht. Das Ziel: Der Nutzer bestätigt aus Frustration oder Versehen eine der Anfragen. Passkeys und Hardware-Keys sind gegen diesen Angriff immun, weil sie physische Interaktion am Gerät erfordern und nicht durch externe Anfragen ausgelöst werden.
Wenn möglich, nutzen Sie Passkeys – sie bieten die beste Kombination aus Sicherheit und Bedienkomfort. Wo Passkeys nicht verfügbar sind, verwenden Sie eine Authenticator-App. SMS-Codes sollten nur als letztes Mittel eingesetzt werden, wenn keine bessere Option verfügbar ist. Für besonders schutzbedürftige Konten ist ein FIDO2-Hardware-Key als Backup empfehlenswert.
Sichere Authentifizierung – von Anfang an
WIMARO Networks integriert phishing-resistente Authentifizierung direkt in die Projektarchitektur. Moderne Sicherheitskonzepte, verständlich umgesetzt.