Domäne Sicherheit, OTP ist veraltete MFA-Technologie (IT-Referat München)

Kritik: OTP als veraltete MFA-Technologie

Der Deutschland-Stack führt One-Time Password (OTP) als Multi-Faktor-Authentifizierungslösung auf. Diese Technologie entspricht jedoch nicht mehr dem aktuellen Stand der Sicherheitstechnik und ist für eine im Jahr 2028 produktiv gehende Plattform ungeeignet.

Hauptproblem: OTP ist nicht phishing-resistent. Angreifer können OTP-Codes in Echtzeit über gefälschte Login-Seiten abfangen und unmittelbar verwenden. Dies adressiert eines der größten Sicherheitsrisiken bei Webanwendungen nicht ausreichend.

Empfehlung: Statt OTP sollte der Stack auf moderne, phishing-resistente Authentifizierungsverfahren setzen:

• FIDO2/WebAuthn als Standard für Multi-Faktor-Authentifizierung
• Hardware Security Keys (z.B. YubiKey, Nitrokey) für hohe Sicherheitsanforderungen
• Passkeys (FIDO2-basiert) als benutzerfreundliche Alternative ohne separate Hardware

Diese Technologien bieten durch kryptographische Origin-Binding einen wirksamen Schutz gegen Phishing-Angriffe und sind international als Best Practice etabliert.