Microsoft Authenticator: Neue Codes senken Risiko von 33% auf 1%
19.06.2026 - 21:44:57 | boerse-global.de
Microsoft stellt die Anmeldung mit der Authenticator-App auf ein neues Sicherheitsverfahren um. Statt drei Zahlen zur Auswahl müssen Nutzer künftig einen zweistelligen Code manuell eingeben.
Der Wechsel betrifft die persönliche Version der Authenticator-App und soll die Sicherheit deutlich erhöhen. Bislang präsentierte die App drei Zahlen, von denen der Nutzer die richtige antippen musste – ein Verfahren mit einer statistischen Trefferwahrscheinlichkeit von 33 Prozent für Unbefugte. Die manuelle Eingabe einer zweistelligen Zahl senkt dieses Risiko auf ein Prozent.
Schutz vor „MFA-Ermüdung"
Anzeige: Wer sein Microsoft-Konto endlich sicher machen will, findet in dieser Anleitung die genauen Schritte zur Umstellung auf die neue Authenticator-Methode – inklusive Checkliste gegen MFA-Fatigue. Jetzt Schritt-für-Schritt-Anleitung sichern
Hintergrund der Umstellung sind sogenannte MFA-Fatigue-Angriffe. Dabei bombardieren Angreifer Nutzer so lange mit Authentifizierungsanfragen, bis diese aus Frustration eine davon versehentlich bestätigen. Das neue Verfahren erzwingt eine bewusste Handlung: Der Nutzer muss die auf dem Bildschirm angezeigte Zahl physisch in die App tippen.
Für Geschäftskunden und Bildungseinrichtungen ist diese Methode bereits seit 2023 Standard. Nun zieht Microsoft bei privaten Nutzern nach.
Abschied von SMS-Codes und Sicherheitsfragen
Parallel zum App-Update fährt Microsoft weitere Sicherheitsverfahren zurück. SMS-basierte Codes für persönliche Konten werden schrittweise eingestellt – die Verwundbarkeit der Mobilfunknetze gilt als zu groß.
Auch Sicherheitsfragen für die Self-Service-Passwortzurücksetzung in Entra ID haben keine Zukunft mehr. Microsoft stellt das Verfahren bis März 2027 ein. Experten kritisieren seit Jahren, dass sich Antworten auf Fragen wie „Wie hieß Ihr erstes Haustier?" leicht durch Social Engineering ermitteln lassen.
SMS- und E-Mail-Einmalpasswörter bleiben vorerst erhalten. Allerdings weisen Sicherheitsforscher darauf hin, dass diese Verfahren lediglich den Gerätezugriff, nicht aber die Identität des Nutzers prüfen. Einige Unternehmen experimentieren daher bereits mit Selfie-basierten Identitätsverfahren als Alternative.
Neue Bedrohungen im Blick
Die Authenticator-Überarbeitung ist Teil einer umfassenderen Sicherheitsoffensive. Erst am 19. Juni 2026 wurde eine „SearchLeak"-Sicherheitslücke in M365 Copilot Enterprise bekannt. Durch eine Parameter-to-Prompt-Injection könnten Angreifer theoretisch 2FA-Codes aus E-Mails abgreifen – über einen manipulierten Link und die Bing-Bildersuche. Microsoft hat den Fehler inzwischen serverseitig behoben.
Ebenfalls am 19. Juni 2026 warnten Sicherheitsexperten vor „AutoJack", einer Remote-Code-Execution-Bedrohung für KI-Agenten-Frameworks. Die Angriffskette nutzt manipulierte Webseiten, um auf lokale Dienste zuzugreifen und beliebige Prozesse auszuführen.
Seit Februar 2026 verfolgt Microsoft zudem den Wurm „CryptoBandits", der sich über USB-Sticks verbreitet und die Zwischenablage nach Kryptowährungs-Zugangsdaten durchsucht.
Anzeige: SMS-Codes und Sicherheitsfragen werden von Microsoft eingestellt. Wer rechtzeitig auf die neue Authenticator-Methode umsteigt, senkt sein Risiko von 33% auf 1%. Diese Anleitung zeigt, wie es geht. Umstellungs-Anleitung jetzt anfordern
Hilfe bei Zugangssperren
Wer nach einem Gerätewechsel oder Handyverlust keinen Zugriff mehr auf sein Konto hat, sollte unterschiedliche Wege gehen. Privatnutzer verwalten ihre Sicherheitseinstellungen über das zentrale Microsoft-Kontoportal und können dort alte Authentifizierungsmethoden entfernen.
Studierende und Schüler hingegen müssen sich an die IT-Abteilung ihrer Bildungseinrichtung wenden. Nur dort kann eine MFA-Zurücksetzung eingeleitet werden – eine Wiederherstellung aus Backups ist für diese Kontotypen in der Regel nicht möglich.
