Microsoft schafft SMS-Codes für Anmeldungen schrittweise ab

Microsoft verabschiedet sich schrittweise von SMS-basierter Authentifizierung für private Konten als Teil seiner umfassenderen Strategie für passwortlose Sicherheit. Das Unternehmen plant, SMS-Verifizierungscodes für Anmeldungen und Kontowiederherstellungen in Microsoft-Diensten nach und nach abzuschaffen.

Microsoft erklärt, dass SMS-Authentifizierung keinen ausreichenden Schutz mehr gegen moderne Cyberbedrohungen bietet. Stattdessen möchte das Unternehmen Nutzer zu Passkeys, Authenticator-Apps und anderen phishing-resistenten Sicherheitsmethoden bewegen.

Microsoft schafft SMS-Codes schrittweise ab

Microsoft bestätigte, dass SMS-Verifizierungscodes für private Microsoft-Konten künftig entfernt werden. Die Änderungen betreffen Authentifizierungs- und Wiederherstellungssysteme für Dienste wie Outlook, Windows, Xbox und Microsoft 365.

Laut Microsoft ist SMS-basierte Authentifizierung zu einer bedeutenden Quelle für Betrug und Kontoübernahmen geworden. Angreifer zielen häufig mit Phishing-Kampagnen, SIM-Swapping-Angriffen und Social-Engineering-Methoden auf SMS-Verifizierungssysteme ab.

Das Unternehmen plant nun, Nutzer auf Passkeys, verifizierte Wiederherstellungssysteme per E-Mail und Authenticator-Anwendungen umzustellen. Microsoft betonte, dass der Übergang schrittweise und nicht durch eine sofortige Abschaltung erfolgen werde.

Microsoft baut passwortlose Sicherheit weiter aus

Microsoft arbeitet seit mehreren Jahren am Ausbau passwortloser Authentifizierung innerhalb seines gesamten Ökosystems. Das Unternehmen bewirbt Passkeys zunehmend als bevorzugte Anmeldemethode, da sie stärkeren Schutz gegen Phishing und den Diebstahl von Zugangsdaten bieten.

Passkeys ermöglichen die direkte Authentifizierung über vertrauenswürdige Geräte mithilfe biometrischer Verfahren, PIN-Verifizierung oder hardwarebasierter Sicherheitssysteme. Im Gegensatz zu SMS-Codes sind sie nicht von Mobilfunknetzen abhängig, die Angreifer abfangen oder kapern können.

Microsoft erklärt außerdem, dass passwortlose Authentifizierung die Benutzerfreundlichkeit verbessert, da Passwörter und Wartezeiten auf SMS-Nachrichten entfallen. Die Strategie entspricht dem allgemeinen Branchentrend, traditionelle Passwörter und schwächere Zwei-Faktor-Systeme schrittweise zu ersetzen.

Sicherheitsexperten warnen seit Jahren vor SMS-Risiken

Cybersicherheitsforscher kritisieren SMS-Authentifizierung seit Jahren, da Textnachrichten anfällig für Abfangen und Betrug sind. SIM-Swapping-Angriffe, Malware und telekommunikationsbasierte Phishing-Kampagnen richten sich weiterhin gegen SMS-Verifizierungssysteme großer Onlineplattformen.

Angreifer versuchen häufig, Telefonnummern zu übernehmen, indem sie Mobilfunkanbieter dazu bringen, Konten auf betrügerische SIM-Karten zu übertragen. Sobald Angreifer Zugriff auf eine Telefonnummer erhalten, können sie Anmeldecodes abfangen und Kontoschutzmaßnahmen umgehen.

Sicherheitsexperten empfehlen deshalb zunehmend phishing-resistente Authentifizierungsmethoden wie Passkeys und hardwarebasierte Sicherheitsschlüssel anstelle von SMS-Systemen.

Manche Nutzer könnten Schwierigkeiten beim Umstieg haben

Trotz der Sicherheitsvorteile könnte die Abkehr von Microsofts SMS-Codes für manche Nutzer Herausforderungen mit sich bringen. Passkeys und Authenticator-Apps setzen häufig Smartphones, biometrische Funktionen oder neuere Geräte voraus, die nicht alle Nutzer regelmäßig verwenden oder vollständig vertrauen.

Einige Datenschutzaktivisten und Unternehmensadministratoren äußerten zudem Bedenken hinsichtlich einer starken Abhängigkeit von gerätebasierten Authentifizierungssystemen innerhalb großer Technologie-Ökosysteme.

Microsoft erklärte, dass während der Übergangsphase mehrere Wiederherstellungs- und Authentifizierungsmethoden verfügbar bleiben werden, um Nutzern die Anpassung an das neue Sicherheitsmodell zu erleichtern.

Fazit

Microsoft schafft SMS-Codes für private Konten schrittweise ab, während das Unternehmen seine Strategie für passwortlose Authentifizierung weiter ausbaut. Microsoft ist überzeugt, dass Passkeys, Authenticator-Apps und verifizierte Wiederherstellungssysteme besseren Schutz gegen moderne Cyberbedrohungen bieten.

Die Entscheidung spiegelt außerdem einen breiteren Wandel in der Technologiebranche wider, in der SMS-basierte Sicherheit zunehmend als veraltet und unsicher gilt. Da phishing-resistente Authentifizierungsmethoden immer häufiger eingesetzt werden, bewegen große Technologieunternehmen ihre Nutzer zunehmend in Richtung passwortloser Anmeldesysteme.