Mit FIDO2, Passkeys und Co. Angriffe abwehren

Passwortlos wird MFA noch sicherer

Multifaktor-Authentifizierung (MFA) hat sich sowohl in Unternehmen als auch bei Privatanwendern als weitverbreitetes und etabliertes Standardverfahren zur Identitätsprüfung beim Login etabliert.

Doch die verbreiteten Implementierungen weisen häufig strukturelle Schwächen auf, die von modernen Angriffsmethoden gezielt ausgenutzt werden. Passwortlose Verfahren sollten deshalb MFA ergänzen, um ein noch höheres Sicherheitslevel zu erreichen.

Anzeige

MFA und passwortlose Authentifizierung im Vergleich

MFA bezeichnet einen Mechanismus, der mindestens zwei unterschiedliche Authentifizierungsfaktoren aus den Bereichen Wissen, Besitz und Biometrie kombiniert. Viele gebräuchliche Varianten setzen dabei nach wie vor auf das Passwort als ersten Faktor und ergänzen ihn durch eine Authenticator-App, E-Mail, SMS oder ähnliche Verfahren. Genau darin liegt die Schwachstelle: Das dauerhaft genutzte Passwort bleibt der Knackpunkt.

Passwortlose Authentifizierung ist demgegenüber ein Architekturprinzip, das aktuelle Sicherheitsvorgaben ausdrücklich empfehlen. Statt manuell eingegebener Passwörter kommen Methoden wie FIDO2-Sicherheitsschlüssel, Passkeys oder biometrische Merkmale zum Einsatz.

Bei FIDO2 erzeugt ein Sicherheitsschlüssel – etwa ein USB-Stick oder ein Badge – ein asymmetrisches Schlüsselpaar: Der private Schlüssel verbleibt im Gerät, der öffentliche liegt im System. Passkeys können in System-Keychains unter iOS, Android oder ChromeOS gespeichert oder auf Hardware-Tokens abgelegt werden. Bei biometrischer Authentifizierung per Fingerabdruck oder Gesichtserkennung verlässt der biometrische Abdruck das Gerät nie. Im Gesundheitswesen und in anderen Bereichen der kritischen Infrastruktur sind zudem gerätegebundene Smartcards und Badges etabliert, die per Tap-and-Go-Anmeldung funktionieren.

Anzeige

Bekannte Schwachstellen

Das BSI empfiehlt, passwortlose Verfahren überall dort einzusetzen, wo Dienste dies technisch erlauben. Der Grund: Passwortbasierte MFA bietet trotz zweitem Faktor keine verlässliche Sicherheit. Passwörter und Einmalcodes lassen sich abfangen – die US-Sicherheitsbehörde NIST hält beispielsweise in der neuesten Revision der Digital Identity Guidelines SP 800-63-4 fest, dass Verfahren mit Passwörtern und Einmalpasswörtern phishing-anfällig sind. Beispiele auch aus dem deutschsprachigen Raum zeigen übereinstimmend, dass MFA vor allem dann scheitert, wenn Benutzer Einmalpasswörter unüberlegt freigeben, Tokens gestohlen werden oder Recovery-Prozesse kompromittiert sind.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

MFA erfolgreich geknackt

Gut forensisch aufgearbeitet vom Schweizer Bundesamt für Cybersecurity (BACS) ist etwa ein Fall aus der Schweiz aus dem Jahr 2024: Angreifer zielten zunächst auf das Mobilfunkkonto des Opfers, indem sie mit einer Phishing-Attacke das Passwort erfuhren und anschließend über eine gefälschte Gewinnspielseite auch noch das Einmalpasswort zu Anmeldung beim Provider abgriffen. Mit dem Zugang zum Mobilfunkkonto erstellten die Cyberkriminellen nun eine eSIM mit der sie alle SMS-Passwörter erhielten und sich so Zugriff auf das Apple-Konto des Opfers verschafften. Über die dort verfügbaren Informationen und Backups knackten sie Bankkonten und überwiesen sich auf die Art 20.000 Franken.

Auch wenn das Opfer „nur“ eine Privatperson war, so zeigt sich anhand der Vorgehensweise der Täter recht gut, wo die Schwachstellen bei 2FA liegen: Push-Benachrichtigungen können durch sogenanntes Prompt Bombing dazu führen, dass Nutzer Anfragen unbeabsichtigt bestätigen. SMS-basierte MFA ist durch SIM-Swap-Angriffe kompromittierbar, E-Mail-Codes sind ebenfalls phishing-anfällig. Hinzu kommt Credential Stuffing: Wiederverwendete Passwörter werden massenhaft im Darknet gehandelt und stellen einen der bedeutendsten Angriffsvektoren dar.

Passwortbasierte MFA bietet trotz zweitem Faktor keine verlässliche Sicherheit.

Nils Hondong, Imprivata GmbH

Phishing-resistente Authentifizierung

Höhere Sicherheit liefert phishing-resistente Authentifizierung, die auf drei technischen Prinzipien beruht. Erstens prüft der Authentifikator per Origin Binding, ob er sich an der richtigen Domain anmeldet – FIDO/WebAuthn binden dabei den privaten Schlüssel kryptografisch an die Herkunfts-URL. Zweitens verbleibt der private Schlüssel bei FIDO in sicherer Hardware wie Secure Enclave, TPM oder Hardware-Token und ist nicht exportierbar; NIST verlangt dies für die höchste Authentifizierungsstufe AAL3. Drittens muss der Nutzer den Zugriff lokal freigeben, etwa per Biometrie oder PIN.

FIDO2 und Passkeys setzen diese Prinzipien technisch um. Beim Registrierungsvorgang wird ein Schlüsselpaar erzeugt, der private Schlüssel verbleibt im Gerät und wird durch Biometrie oder Geräte-PIN geschützt. Passkeys speichern das Schlüsselpaar in der System-Keychain oder einer Passwort-Wallet und ermöglichen die Synchronisierung zwischen Geräten.

Passwortlosigkeit

Passwortlose Authentifizierung ist keine Alternative zur MFA, sondern deren konsequente Weiterentwicklung. Das BSI empfiehlt hardwarebasierte FIDOTokens als besonders sichere Lösung. In Österreich werden SMS-TANs in staatlichen Systemen bereits nicht mehr akzeptiert; stattdessen kommen FIDO-Sicherheitsschlüssel zum Einsatz. Eine zukunftsfähige Identity- und Access-Management-Strategie kombiniert MFA mit passwortlosen, phishing-resistenten Verfahren – und macht das Passwort damit überflüssig.

Häufige Fehlannahmen in Sicherheitsstrategien
MFA reicht aus
Viele Strategien gehen davon aus, dass Passwort plus zweiter Faktor genügen. Das ignoriert die häufigsten Angriffsvektoren: Credential Stuffing und Phishing.
Passwortlosigkeit ist nur ein UX-Thema
Tatsächlich schützt die Passkey-Architektur vor zielgerichteten Angriffen. FIDO2 macht Phishing, Credential Stuffing und Replay-Attacken technisch deutlich schwieriger bis unmöglich.
Passwortloses MFA ist überdimensioniert
Mit der Weiterentwicklung der Standards sind phishing-sichere Authentifikatoren zunehmend zum Standard geworden; das BSI fordert in der Technischen Richtlinie TR-03188, Passkeys als gängiges 2FA-Verfahren zu etablieren.
Mitarbeiter akzeptieren Passkeys nicht
Aktuelle Umfragen (z. B. FIDO-Alliance) zeigen hohe Bekanntheit und zunehmende Aktivierung von Passkeys: viele Nutzer empfinden Passkeys als sicherer und nutzerfreundlicher als Passwörter

Nils

Hondong

Director Engineering

Imprivata

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.