Was ist MFA, und warum ist sie sicherer als ein Passwort allein?
Kurzantwort
MFA erfordert zwei oder mehr Authentifizierungsfaktoren aus unterschiedlichen Kategorien — etwas, das man weiß (Passwort), etwas, das man hat (Telefon/Token), etwas, das man ist (Biometrie). Sie hilft, weil ein Angreifer, der einen Faktor wie ein Passwort stiehlt, sich ohne die anderen trotzdem nicht anmelden kann. Phishing-resistente MFA wie FIDO2 ist am stärksten.
MFA ist eine der wirkungsstärksten und kostengünstigsten Maßnahmen in der Sicherheit, daher erwarten Interviewer, dass Sie nicht nur erklären, was sie ist, sondern warum die Faktorkategorien wichtig sind.
Die drei Faktorkategorien
Authentifizierungsfaktoren fallen in unterschiedliche Kategorien, und echte MFA kombiniert mindestens zwei verschiedene:
- Etwas, das man weiß — ein Passwort oder eine PIN.
- Etwas, das man hat — ein Telefon mit einer Authenticator-App, ein Hardware-Sicherheitsschlüssel, eine Smartcard.
- Etwas, das man ist — eine Biometrie wie ein Fingerabdruck oder das Gesicht.
Zwei Passwörter sind keine MFA, weil sie beide derselben Kategorie angehören. Die Stärke entsteht dadurch, dass Faktoren verlangt werden, die ein Angreifer auf völlig unterschiedlichen Wegen kompromittieren müsste.
Warum sie so stark hilft
Die meisten Kontoübernahmen beginnen mit einem gestohlenen oder erratenen Passwort — durch Phishing, Wiederverwendung oder einen Datenleck-Dump. Mit MFA ist das Passwort allein nutzlos: Der Angreifer braucht zusätzlich das physische Gerät oder die Biometrie des Nutzers. Diese eine Maßnahme blockiert die überwältigende Mehrheit automatisierter Credential-Stuffing- und Massen-Phishing-Angriffe.
Nicht jede MFA ist gleich
- SMS-Codes sind besser als nichts, aber anfällig für SIM-Swapping und Abfangen.
- Authenticator-Apps (TOTP) sind stärker, können aber in Echtzeit gephisht werden.
- Push-Bestätigungen sind bequem, ermöglichen aber MFA-Fatigue / Push-Bombing, bei dem Angreifer Aufforderungen spammen, in der Hoffnung, dass der Nutzer auf „Genehmigen" tippt. Number Matching hilft.
- FIDO2 / Passkeys / Hardware-Schlüssel sind phishing-resistent, weil die Anmeldedaten kryptografisch an die legitime Website gebunden sind, sodass eine gefälschte Seite sie nicht weiterleiten kann.
Warum das wichtig ist
Interviewer möchten die Kategorie-Einsicht (zwei verschiedene Faktoren), den Grund, warum es funktioniert (ein gestohlenes Passwort reicht nicht mehr aus), und das Bewusstsein, dass die MFA-Stärke variiert. Phishing-resistente MFA dort zu empfehlen, wo es zählt, zeigt, dass Sie aktuell sind und nicht nur „aktiviert 2FA" wiederholen.
Wahrscheinliche Anschlussfragen
- Warum ist ein SMS-Code schwächer als eine Authenticator-App oder ein Hardware-Schlüssel?
- Was ist MFA-Fatigue / Push-Bombing und wie mildert man es ab?
- Was macht FIDO2 / Passkeys phishing-resistent?