Multi-Faktor-Authentifizierung (MFA) schützt Konten, indem neben dem Passwort ein zweiter Faktor verlangt wird – z. B. ein SMS-Code oder eine App-Bestätigung. MFA-Bypass bezeichnet Techniken, mit denen Angreifer diesen Schutz gezielt umgehen. Trotz aktivierter MFA können Konten kompromittiert werden, wenn die verwendete Methode oder das Nutzerverhalten Schwachstellen bietet.
Der Angreifer kennt bereits Benutzername und Passwort und sendet automatisch Dutzende von MFA-Push-Anfragen. Das Ziel bestätigt irgendwann aus Versehen oder Erschöpfung.
Der Angreifer überredet den Mobilfunkanbieter, die Telefonnummer des Opfers auf eine eigene SIM-Karte zu übertragen – und erhält damit alle SMS-Codes.
Eine gefälschte Webseite leitet die Anmeldedaten und den MFA-Code in Echtzeit weiter. Werkzeuge wie Evilginx machen dies automatisiert möglich.
Nach erfolgreicher MFA-Anmeldung stiehlt Malware das Browser-Cookie. Mit diesem Token kann der Angreifer die MFA-Abfrage vollständig überspringen.
Der Angreifer ruft das Opfer an und gibt sich als IT-Support aus. Er bittet um Weitergabe des gerade empfangenen MFA-Codes – «zur Überprüfung».
Schwachstellen im veralteten Telefonprotokoll SS7 ermöglichen das Abfangen von SMS-Nachrichten – ohne Zugriff auf das Gerät des Opfers.
Der Angreifer kennt dein Passwort und bombardiert dich mit MFA-Anfragen. Klicke immer auf «Ablehnen» – oder beobachte, was passiert wenn du einmal «Bestätigen» tippst.
Nicht alle MFA-Methoden bieten den gleichen Schutz. Von unsicher bis sicher:
Unsicher: SMS-Codes – anfällig für SIM-Swapping und SS7-Angriffe.
Mittel: Authenticator-Apps (TOTP) – sicherer als SMS, aber anfällig für Echtzeit-Phishing.
Sicher: Hardware-Sicherheitsschlüssel (FIDO2/WebAuthn wie YubiKey) – phishing-resistent, da der Schlüssel domain-gebunden ist.
Sicher: Passkeys – ebenfalls phishing-resistent und ohne Passwort – die Zukunft der Authentifizierung.
1. Hardware-Schlüssel verwenden: Wenn möglich, nutze FIDO2-Sicherheitsschlüssel (z. B. YubiKey). Sie sind immun gegen Phishing und SIM-Swapping.
2. Push-Anfragen kritisch hinterfragen: Bestätige niemals eine MFA-Anfrage, die du nicht selbst ausgelöst hast. Eine unerwartete Anfrage bedeutet, dass jemand dein Passwort kennt.
3. SMS-MFA wenn möglich ersetzen: Wechsle zu einer Authenticator-App (Google Authenticator, Aegis, etc.) statt SMS-Codes zu verwenden.
4. Nummernabgleich aktivieren: Viele Authenticator-Apps zeigen eine Zahl an, die auch in der Anmeldemaske erscheinen muss – Push-Bombing wird damit deutlich schwerer.
5. Starkes, einzigartiges Passwort: MFA schützt nur, wenn das Passwort nicht der einzige Schwachpunkt ist. Kombiniere beides mit einem Passwort-Manager.