Over 10 years we help companies reach their financial and branding goals. Engitech is a values-driven technology agency dedicated.

Gallery

Contacts

Twitter Facebook-f Pinterest-p Instagram

News

Administration

Warum Passkeys mit dem Microsoft Authenticator besser sind als klassische MFA – und wie sie Phishing stoppen

Die Absicherung von Benutzerkonten ist heute wichtiger denn je. Klassische Multifaktor-Authentifizierung (MFA) gilt dabei seit Jahren als Standard – doch sie hat Schwächen. Moderne Verfahren wie Passkeys, insbesondere in Kombination mit dem Microsoft Authenticator, gehen einen entscheidenden Schritt weiter.

In diesem Artikel erkläre ich, warum Passkeys der klassischen MFA überlegen sind – und weshalb sie ein effektives Mittel gegen Phishing-Angriffe darstellen.

Das Problem mit klassischer MFA

Multifaktor-Authentifizierung kombiniert in der Regel:

  • etwas, das du weißt (Passwort)
  • etwas, das du hast (z. B. Smartphone mit Authenticator-App)
  • optional: etwas, das du bist (Biometrie)

Typische Beispiele:

  • Einmalcodes (OTP) per App oder SMS
  • Push-Bestätigungen („Approve/Reject“)

Das klingt sicher – ist es aber nicht vollständig.

Schwachstellen klassischer MFA

  1. Phishing bleibt möglich
    Angreifer können gefälschte Login-Seiten erstellen und:
    • dein Passwort abfangen
    • dich dazu bringen, einen MFA-Code einzugeben
      → Ergebnis: vollständiger Zugriff
  2. MFA-Fatigue (Push-Spam)
    Nutzer werden mit Push-Anfragen bombardiert, bis sie genervt „Bestätigen“ klicken.
  3. Man-in-the-Middle-Angriffe
    Echtzeit-Phishing-Tools können Login-Daten und MFA-Codes live weiterleiten.

👉 Kurz gesagt: MFA schützt besser als nur ein Passwort – aber nicht zuverlässig gegen moderne Angriffe.

Was sind Passkeys?

Passkeys ersetzen Passwörter komplett durch ein kryptografisches Verfahren.

Statt:

Benutzername + Passwort + MFA-Code

nutzt du:

Biometrie (z. B. Fingerabdruck / Face ID) + kryptografischen Schlüssel

Wie Passkeys funktionieren

  • Beim Einrichten wird ein Schlüsselpaar erstellt:
    • Privater Schlüssel → bleibt sicher auf deinem Gerät
    • Öffentlicher Schlüssel → wird beim Dienst gespeichert
  • Beim Login:
    • Dein Gerät signiert eine Anfrage
    • Der Server prüft die Signatur
    • Zugriff wird gewährt – ohne Passwort

👉 Wichtig: Der private Schlüssel verlässt niemals dein Gerät.

Warum Passkeys sicherer sind als MFA

1. Kein Passwort = nichts zum Stehlen

Phishing lebt davon, dass Nutzer:

  • Passwörter eingeben
  • Codes weitergeben

Mit Passkeys:

  • gibt es kein Passwort
  • keine Codes
  • nichts, was du eintippen kannst

👉 Angreifer haben schlicht kein Angriffsziel mehr.

2. Schutz vor Phishing durch Bindung an die Website

Passkeys sind domain-gebunden.

Das bedeutet:

  • Ein Passkey für login.microsoft.com funktioniert nicht auf micr0soft-login.com

👉 Selbst wenn du auf eine Fake-Seite gehst:

  • Dein Gerät verweigert die Authentifizierung automatisch

Das ist ein massiver Sicherheitsgewinn gegenüber MFA.

3. Keine Weitergabe von Geheimnissen

Bei MFA gibst du aktiv etwas ein:

  • Passwort
  • Einmalcode

Bei Passkeys:

  • wird nur eine kryptografische Signatur erzeugt
  • keine sensiblen Daten werden übertragen

👉 Abfangen bringt Angreifern nichts.

4. Schutz vor MFA-Fatigue

Mit Microsoft Authenticator + Passkeys:

  • keine „Approve“-Spam-Anfragen mehr
  • keine Social-Engineering-Tricks

👉 Du bestätigst aktiv per Biometrie – bewusst und lokal.

Warum der Microsoft Authenticator hier besonders stark ist

Der Microsoft Authenticator ist mehr als nur eine MFA-App.

Vorteile in Kombination mit Passkeys

  • Gerätegebundene Sicherheit
    Der private Schlüssel ist sicher im Gerät gespeichert (Secure Enclave / TPM)
  • Biometrische Freigabe
    Zugriff nur mit Fingerabdruck, Face ID oder PIN
  • Nahtlose Integration mit Microsoft Entra ID (Azure AD)
    Ideal für Unternehmen und Single Sign-On
  • Phishing-resistente Anmeldung
    Kein Code, kein Passwort, keine Angriffsfläche
  • Cross-Device-Unterstützung
    Login auch auf anderen Geräten via QR / Bluetooth möglich – ohne Passwort

Praxisbeispiel: Phishing mit und ohne Passkeys

Klassische MFA

  1. Nutzer öffnet Fake-Seite
  2. Gibt Passwort ein
  3. Gibt MFA-Code ein
  4. Angreifer nutzt beides sofort

👉 Konto kompromittiert

Mit Passkeys

  1. Nutzer öffnet Fake-Seite
  2. Klickt auf Login
  3. Gerät erkennt falsche Domain
  4. Authentifizierung wird verweigert

👉 Angriff scheitert automatisch

Fazit

Passkeys sind nicht einfach „eine weitere Sicherheitsstufe“ – sie sind ein Paradigmenwechsel:

KriteriumKlassische MFAPasskeys + Authenticator
Passwort notwendigJaNein
Phishing möglichJaPraktisch nein
BenutzerfreundlichMittelHoch
Angriff durch CodesMöglichNicht möglich

👉 Besonders in Unternehmensumgebungen sind Passkeys ein entscheidender Schritt hin zu phishing-resistenter Authentifizierung.

Empfehlung

Wenn du heute noch auf Passwort + MFA setzt, solltest du überlegen:

Nicht mehr „Wie viele Faktoren habe ich?“ – sondern: „Kann ich Phishing komplett verhindern?“

Mit Passkeys und dem Microsoft Authenticator lautet die Antwort:
👉 Ja, weitgehend.

149

Leave a comment

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert