Thought Leadership
Microsoft stellt die SMS-Verifizierung für private Konten ein. Nutzer müssen künftig auf sicherere Alternativen wie Passkeys umsteigen.
Die Eingabe eines sechsstelligen Zahlencodes, der per Textnachricht an ein Mobiltelefon gesendet wird, galt über Jahre hinweg als weltweiter Standard für die Zwei-Faktor-Authentifizierung (2FA). Microsoft hat nun jedoch offiziell bestätigt, dass dieser Verifizierungsweg für persönliche Microsoft-Konten vollständig eingestellt wird. Wie das Fachmedium Windows Latest berichtet, hat der Technologiekonzern die schrittweise Abschaffung von SMS-Codes sowohl für den regulären Anmeldeprozess als auch für die Kontowiederherstellung eingeleitet. Diese fundamentale Änderung basiert auf einem Support-Dokument, das das Unternehmen bereits vor einiger Zeit diskret veröffentlicht hat und nun durch eine direkte Bestätigung gegenüber Medienvertretern untermauert wurde.
Sicherheitsrisiken durch Abfangen und SIM-Swapping
Der Verzicht auf die etablierten Kurznachrichten resultiert aus tiefgreifenden Sicherheitsmängeln der zugrundeliegenden Mobilfunktechnologie. In einer offiziellen Sicherheitswarnung erklärte Microsoft: „SMS-basierte Authentifizierung ist heute eine führende Quelle für Betrug.“ Die Technologie hinter herkömmlichen Textnachrichten wurde nicht für die Anforderungen der modernen Cybersicherheit entwickelt. Da SMS-Nachrichten im Klartext über die Mobilfunknetze der Telekommunikationsanbieter übertragen werden, sind sie anfällig für das Abfangen durch unbefugte Dritte.
Ein weiteres zentrales Risiko stellen sogenannte SIM-Swap-Angriffe (SIM-Karten-Tausch) dar. Bei dieser Methode gelingt es Cyberkriminellen über Social-Engineering-Taktiken, den Mobilfunkanbieter des Opfers dazu zu bringen, eine bestehende Telefonnummer auf eine SIM-Karte umzuleiten, die sich im Besitz der Angreifer befindet. Sobald dieser Transfer erfolgreich abgeschlossen ist, empfangen die Täter sämtliche Bestätigungscodes des Opfers in Echtzeit auf ihrem eigenen Endgerät. Dies ermöglicht die Übernahme des gesamten Microsoft-Kontos, ohne dass der eigentliche Besitzer eingreifen kann.
Kryptografisches Fundament der passwortlosen Zukunft
Um diese Angriffsvektoren dauerhaft zu schließen, forciert Microsoft den Übergang zu einer vollständig passwortlosen Sicherheitsarchitektur. Als primärer Ersatz dienen sogenannte Passkeys, die als resistent gegen Phishing-Versuche eingestuft werden. Im Gegensatz zu traditionellen Passwörtern oder temporären Zahlencodes interagieren Passkeys direkt mit der im Endgerät verbauten biometrischen Hardware. Die Authentifizierung erfolgt über die Gesichtserkennung von Windows Hello, einen physischen Fingerabdruckscanner oder eine lokal auf dem Gerät verifizierte PIN.
Aus technologischer Sicht basiert dieses Verfahren auf einem asymmetrischen kryptografischen Schlüsselpaar. Der private Schlüssel verbleibt hierbei isoliert auf der physischen Hardware des Nutzers, beispielsweise geschützt im TPM-Chip (Trusted Platform Module) eines Laptops. Da dieser sensible Schlüssel die Hardware niemals verlässt, sind klassische, aus der Ferne gesteuerte Phishing-Angriffe mathematisch unmöglich. Je nach Konfiguration des Benutzers können Passkeys entweder rein gerätegebunden betrieben oder verschlüsselt über etablierte Cloud-Dienste wie den Apple iCloud-Schlüsselbund oder den Google Passwort-Manager zwischen mehreren Geräten synchronisiert werden. Diese Synchronisation stellt sicher, dass Nutzer im Falle eines Verzugs oder Verlusts des Geräts den Zugriff auf ihr Konto über eine verifizierte sekundäre E-Mail-Adresse und die synchronisierten Passkeys sicher wiederherstellen können.
Systemfehler bei Anmeldung über Passkey innerhalb von VM
Obwohl die Abschaffung der anfälligen SMS-Codes einen erheblichen Gewinn für die globale Cybersicherheit darstellt, bringt die erzwungene Umstellung im praktischen Alltag bestimmter Anwendergruppen auch technische Herausforderungen mit sich. Insbesondere Power-User, Systemadministratoren und Softwareentwickler stoßen in speziellen Szenarien auf Barrieren. Bei der Arbeit mit isolierten virtuellen Maschinen (VMs) oder verschachtelten Testumgebungen zur Überprüfung von Software-Builds bricht die Passkey-Infrastruktur häufig zusammen.
Innerhalb einer virtuellen Maschine steht die native biometrische Hardware des Host-Systems in der Regel nicht zur Verfügung. Zudem ist in solchen temporären Testumgebungen oft kein Zugriff auf physische Hardware-Sicherheitschlüssel möglich. Versuche, sich innerhalb einer VM mittels einer PIN über Passkeys anzumelden, führen in der Praxis regelmäßig zu Systemfehlern. In diesen hochgradig technischen Randbereichen diente der SMS-Code bislang als universeller und unkomplizierter Ausweichmechanismus, der plattformübergreifend funktionierte. Da die Eingabe von Textcodes eine fest verankerte Gewohnheit von Milliarden Menschen ist, muss die Ersatztechnologie in absolut jedem denkbaren Anwendungsszenario fehlerfrei operieren, um administrative Reibungen zu vermeiden.
Microsoft-Kontoinhaber müssen sich umstellen
Um die Umstellung in der Breite der Nutzerschaft durchzusetzen, wird Microsoft in Kürze verstärkt automatisierte Hinweise in das Betriebssystem integrieren. Kontoinhaber werden beim Anmeldevorgang systematisch mit einem Dialogfenster konfrontiert, das die Aufschrift „Melden Sie sich schneller mit Ihrem Gesicht, Fingerabdruck oder PIN an“ trägt. Das System drängt die Anwender dazu, umgehend einen Passkey einzurichten und eine sekundäre Backup-E-Mail-Adresse zu hinterlegen. Flankiert wird diese Strategie durch Berichte, wonach Microsoft möglicherweise den Zwang zur Anmeldung mit einem Microsoft-Konto während der initialen Einrichtung von Windows 11 lockern könnte, was die Anmeldefrequenz an dieser spezifischen Stelle reduzieren würde. An Stellen, an denen eine Anmeldung erforderlich bleibt, führt jedoch kein Weg mehr an der passwortlosen Infrastruktur vorbei.
