Microsoft entfernt sich offiziell von SMS-basierter Authentifizierung für persönliche Konten, da das Unternehmen die Nutzer zu Passkeys, Authentifikator-Apps und passwortlosen Anmeldemethoden drängt.
In einer neu aktualisierten Support-Warnung bestätigte Microsoft, dass es nach und nach die Verwendung von SMS-Codes für die Kontoauthentifizierung und -wiederherstellung auf persönlichen Microsoft-Konten aufhören wird. Das Unternehmen erklärte, dass “SMS-basierte Authentifizierung mittlerweile eine führende Quelle für Betrug ist” und verwies auf wachsende Risiken im Zusammenhang mit Phishing-Angriffen, SIM-Swapping und Übernahmen mobiler Konten.
Die Änderung betrifft Microsoft-Verbraucherkonten, die über Dienste wie Outlook, OneDrive, Xbox und Windows hinweg verwendet werden. Nutzer, die derzeit auf SMS-Verifizierungscodes für die Zwei-Faktor-Authentifizierung setzen, werden zunehmend dazu ermutigt, auf Passschlüssel, verifizierte E-Mail-Wiederherstellungsmethoden oder die Microsoft Authenticator-App umzusteigen.
Microsoft hat noch keine endgültige Frist für die vollständige Entfernung der SMS-Verifizierungsunterstützung bekannt gegeben. Berichte zeigen jedoch, dass das Unternehmen bereits begonnen hat, SMS-Anmeldeoptionen für neu erstellte persönliche Konten einzuschränken und gleichzeitig passwortlose Alternativen über Windows 11 und Microsoft-Konto-Anmeldeaufforderungen aktiv zu fördern.
Das Unternehmen bezeichnete Passkeys als eine sicherere Authentifizierungsmethode, da sie auf kryptografischen Zugangsdaten basieren, die direkt auf Benutzergeräten gespeichert sind, anstatt auf Einmalcodes, die über Mobilfunknetze übertragen werden. Passkeys verwenden typischerweise gerätebasierte Authentifizierungssysteme wie Fingerabdrücke, Gesichtserkennung oder PIN-Verifizierung.
Sicherheitsforscher warnen seit langem, dass SMS-Authentifizierung erhebliche Risiken birgt. SIM-Swapping-Angriffe ermöglichen es Kriminellen, Telefonnummern zu kapern, indem sie Mobilfunkanbieter dazu bringen, die Nummer eines Opfers auf von Angreifern kontrollierte Geräte zu übertragen. Ist dies erfolgreich, können Angreifer Authentifizierungscodes abfangen und Kontoschutzmaßnahmen umgehen.
Microsofts Schritt spiegelt einen breiteren Branchenwandel weg von SMS-basierter Zwei-Faktor-Authentifizierung wider. Unternehmen wie Google, Apple und mehrere große Finanzinstitute haben zunehmend Passkeys und hardwarebasierte Authentifizierungssysteme als Teil breiterer passloser Sicherheitsinitiativen eingeführt.
Trotz der Sicherheitsvorteile haben einige Nutzer Bedenken geäußert, sich vollständig auf Passkeys und gerätebasierte Authentifizierungssysteme zu verlassen. Kritiker argumentieren, dass Nutzer, die den Zugriff auf vertrauenswürdige Geräte verlieren, Schwierigkeiten bei der Kontowiederherstellung haben könnten, wenn Backup-Methoden nicht richtig konfiguriert sind.
Microsoft sagte, Nutzer sollten mehrere Wiederherstellungsmethoden zu ihren Konten hinzufügen, bevor die SMS-Verifizierung vollständig abgeschafft wird. Das Unternehmen empfiehlt, Authentifikator-Apps, Backup-E-Mail-Adressen und Passkeys zu aktivieren, um das Risiko von Aussperrungen zu verringern und die Kontosicherheit zu verbessern.