Was ist phishing-resistente MFA?
Phishing-resistente MFA bezeichnet Verfahren der Mehrfaktor-Authentifizierung, die so aufgebaut sind, dass Angreifer sie nicht durch gefälschte Webseiten, Abfangen von Codes oder Social Engineering umgehen können. Der zweite Faktor ist an die echte Anwendung bzw. Domain gebunden – auf einer Phishing-Seite funktioniert er nicht.
Grenzen „normaler“ MFA
Klassische MFA mit SMS-TAN oder Einmalcodes aus Apps (TOTP) schützt vor reinem Passwortdiebstahl, aber nicht vor Phishing: Opfer geben Passwort und aktuellen Code auf einer gefakten Seite ein – der Angreifer nutzt beides sofort. Auch Abfangen von SMS oder Man-in-the-Middle-Angriffe sind möglich.
Welche Verfahren gelten als phishing-resistent?
- FIDO2 / WebAuthn: Kryptografische Anmeldung mit Gerät oder Hardware-Token; der Schlüssel ist an die Domain gebunden (Origin-Binding). Gefälschte Seiten erhalten keine gültige Antwort.
- Passkeys: Nutzerfreundliche Variante von FIDO2, oft geräte- oder cloud-gebunden (z. B. Apple, Google, Microsoft).
- Hardware-Security-Keys: Physische Tokens (z. B. YubiKey), die WebAuthn unterstützen – besonders für Admin- und Hochrisiko-Zugänge empfohlen.
Wann phishing-resistente MFA einsetzen?
Besonders sinnvoll für Admin-Zugänge, Remote-Zugang (VPN, RDP), Zugriff auf Finanz- oder Compliance-relevante Systeme sowie für Personen mit erhöhtem Risiko (z. B. Führung, Finanzen). Behörden und Branchenstandards (z. B. NIS2, KRITIS) fordern teils explizit starke bzw. phishing-resistente Authentifizierung.
Kurz gesagt
Phishing-resistente MFA (FIDO2/WebAuthn, Passkeys, Hardware-Keys) verhindert, dass Angreifer über gefälschte Login-Seiten an Zugang kommen. Für sensible und administrative Zugänge sollte sie bevorzugt werden.