Microsoft beerdigt SMS-Authentifizierung – Schluss mit Passwörtern

Microsoft stellt die SMS-Authentifizierung für Xbox- und Windows-Konten aufgrund hoher Sicherheitsrisiken wie SIM-Swapping und Phishing offiziell ein. Nutzer sollten umgehend auf den Microsoft Authenticator, Hardware-Schlüssel oder Windows Hello umsteigen, um den Zugriff auf ihre digitale Spielesammlung nicht zu verlieren. Wer bei alten Methoden bleibt, riskiert die Sicherheit seiner Daten sowie den Verlust seines Kontos.

Das Ende der SMS-Codes

Microsoft macht Schluss mit der klassischen SMS als Sicherheitsmerkmal für Nutzerkonten. Die Methode gilt bei den Entwicklern mittlerweile als eine “führende Quelle für Betrug”.

Wer seine Passwörter gerne vergisst, muss nun umdenken. Der Konzern forciert stattdessen moderne Alternativen für den Login bei Xbox und Windows.

Warum die SMS ausgedient hat

Die Entscheidung basiert auf der hohen Anfälligkeit für Hackerangriffe. Experten nennen folgende Gründe für das Aus:

SMS-Nachrichten lassen sich durch sogenannte SIM-Swapping-Angriffe abfangen.
Die Übertragung der Daten ist unverschlüsselt und damit für Dritte zugänglich.
Phishing-Attacken zielen gezielt auf diese schwachen Authentifizierungskanäle ab.

Sicherer zocken in der Zukunft

Für Gamer bedeutet das eine Umstellung auf stabilere Methoden. Microsoft setzt auf den Weg in eine Welt ohne Passwörter.

Folgende Alternativen stehen ab sofort bereit:

Die Microsoft Authenticator App auf dem Smartphone.
Hardware-Sicherheitsschlüssel wie YubiKey.
Biometrische Verfahren wie Windows Hello für den PC.

Die Umstellung betrifft alle Konten, die bisher auf SMS-Tokens vertrauten. Wer weiterhin nur auf den klassischen Code per Mobilfunk setzt, öffnet Kriminellen Tür und Tor.

Ein Blick auf die Technik

Der Verzicht auf Passwörter ist kein neues Ziel für das Unternehmen aus Redmond. Bereits seit Jahren schraubt man an einer Infrastruktur, die Identitätsdiebstahl erschweren soll.

Die Nutzung von Xbox Live oder Game Pass auf dem PC wird durch diese Sicherheitsupdates merklich stabiler. Künftig werden Nutzer bei jedem Login motiviert, die App-basierte Freigabe zu wählen.

Wer vergisst, seine Sicherheitsoptionen anzupassen, verliert unter Umständen den Zugriff auf seine digitale Spielesammlung. Die Zeit der anfälligen SMS-Codes läuft offiziell ab.

Das Ende der SMS-Codes

Microsoft beendet die Unterstützung für SMS-basierte Zwei-Faktor-Authentifizierung (2FA) in seinem Ökosystem. Die Entscheidung folgt einer internen Analyse, die den Mobilfunk-Standard als Sicherheitsrisiko eingestuft hat.

Für Nutzer von Xbox-Diensten und Windows-Konten bedeutet dies den Zwang zum Umstieg auf App-basierte Protokolle. Diese Maßnahme schließt eine Sicherheitslücke, die bisher für Kontenübernahmen weit verbreitet war.

Warum die SMS ausgedient hat

Die technische Architektur von SMS-Nachrichten stammt aus einer Ära vor der massenhaften Verbreitung von Smartphones und Internet-Banking. Die Signalisierungsprotokolle der Mobilfunknetze sind für moderne Angriffe wie SS7-Intercepts offen.

Angreifer nutzen SIM-Swapping, bei dem sie über Social Engineering bei Mobilfunkanbietern die Rufnummer des Opfers auf eine eigene SIM-Karte portieren.
Die Übertragung der SMS-Inhalte erfolgt im Klartext über die Infrastruktur der Provider, wodurch sie für staatliche Akteure oder Hacker mit Zugriff auf Vermittlungsstellen lesbar sind.
Phishing-Seiten, die in Echtzeit agieren, leiten den per SMS empfangenen Token direkt an die Angreifer weiter, da der Nutzer den Code auf einer manipulierten Seite eingibt.

Die Sicherheitsstrategie von Microsoft

Microsofts Fokus auf passwortfreie Identität basiert auf der FIDO2-Spezifikation. Das Unternehmen ist Gründungsmitglied der FIDO Alliance, die bereits 2013 Standards für kryptografisch gesicherte Anmeldungen definierte.

Die Entwicklung der Microsoft Authenticator App begann als Erweiterung der Sicherheitsdienste für Azure Active Directory (heute Microsoft Entra ID). Millionen von Unternehmenskunden nutzen diese Technologie bereits, um den Zugriff auf sensible Firmendaten zu schützen.

Die App nutzt asymmetrische Kryptografie, bei der der private Schlüssel auf dem Gerät in einem gesicherten Bereich (Secure Enclave) gespeichert bleibt.
Hardware-Schlüssel wie der YubiKey der Firma Yubico bieten den höchsten Schutz, da sie physisch vorhanden sein müssen und sich gegen Phishing-Versuche immun verhalten.
Windows Hello ersetzt Passwörter durch biometrische Daten oder eine PIN in Kombination mit dem TPM-Chip (Trusted Platform Module) der Hauptplatine.

Branchenkontext und Vergleichswerte

Andere Plattformbetreiber wie Valve mit Steam Guard oder Sony mit dem PlayStation Network setzen schon länger auf eigene App-Lösungen. Steam führte den Steam Mobile Authenticator bereits 2015 ein, nachdem Account-Diebstähle durch Phishing massiv zunahmen.

Die Branche reagiert damit auf die steigende Zahl von Kontenverkäufen auf illegalen Marktplätzen. Ein gestohlenes Xbox-Konto mit einer großen Bibliothek an Spielen oder einem aktiven Game Pass Ultimate Abonnement erzielt auf einschlägigen Plattformen Preise zwischen 20 und 100 Euro.

Laut Microsoft-Berichten zur Cybersicherheit werden täglich über 50 Millionen Passwort-Angriffe auf Nutzerkonten registriert.
Die Umstellung auf App-Authentifizierung verhindert laut Unternehmensangaben über 99,9 Prozent der automatisierten Identitätsdiebstähle.
Im Gegensatz zu SMS-Codes verlangt die Microsoft Authenticator App eine explizite Bestätigung auf einem registrierten Gerät, was automatisierte Skripte unmöglich macht.

Historie und technische Umsetzung

Die Entwicklung weg vom Passwort begann bei Microsoft schleichend mit der Einführung von Microsoft Passport im Jahr 2015, das später in Windows Hello aufging. Ziel war es, die Abhängigkeit von zentralen Passwortdatenbanken zu verringern, die bei Leaks (wie etwa dem bekannten LinkedIn-Hack mit über 100 Millionen betroffenen Datensätzen) massenhaft kompromittiert werden.

Die Integration in die Xbox-Welt ist für Microsoft ein notwendiger Schritt, um die Sicherheit der Game Pass-Infrastruktur zu wahren. Da der Abo-Dienst direkt mit Zahlungsmitteln verknüpft ist, stellt ein unbefugter Zugriff ein finanzielles Risiko für den Konzern und das Mitglied dar.

Wer bei einem Loginversuch den SMS-Code verlangt, sieht künftig eine Fehlermeldung, die zur Installation der Microsoft Authenticator App auffordert.
Nutzer, die keine App verwenden möchten, können weiterhin alternative Sicherheitsmethoden wie Passkeys oder Hardware-Tokens hinterlegen.
Die Verknüpfung von Xbox Live mit dem Microsoft-Konto sorgt dafür, dass die Sicherheitsänderung global für alle Microsoft-Dienste greift.

Die Umstellung wird durch das System erzwungen, wenn die hinterlegte Telefonnummer als einzige Wiederherstellungsoption hinterlegt ist. Nutzer ohne Zweitgerät riskieren bei einem Defekt ihres Hauptgeräts ohne ein hinterlegtes Backup-Verfahren die dauerhafte Sperrung ihres Accounts.