X (ehemals Twitter) fordert Nutzerinnen und Nutzer auf, bis zum 10. November ihre Passkeys sowie Hardware-Sicherheitsschlüssel (z. B. YubiKey) neu zu registrieren. Andernfalls wird der Zugriff auf betroffene Konten vorübergehend gesperrt, bis ein aktueller zweiter Faktor hinterlegt oder die Authentifizierungsmethode geändert wurde.
Wen die Neuregelung trifft und was sich konkret ändert
Die Maßnahme betrifft ausschließlich Accounts, die für die Zwei-Faktor-Authentifizierung (2FA) Passkeys oder FIDO2/U2F-Hardware-Schlüssel nutzen. Laut der Sicherheitskommunikation von X können Betroffene ihren bestehenden Schlüssel neu registrieren oder einen neuen Schlüssel hinzufügen.
Wichtig: Registrieren Sie einen neuen Schlüssel, verlieren zuvor verknüpfte Schlüssel ihre Gültigkeit. Nach Ablauf der Frist werden Konten ohne erneuerte Schlüssel gesperrt, bis eine der folgenden Maßnahmen erfolgt: Neuregistrierung des Schlüsselmaterials, Umstieg auf eine andere 2FA-Methode (z. B. App-Authenticator) oder das komplette Abschalten von 2FA. Letzteres wird aus Sicherheitsgründen nicht empfohlen.
Hintergrund: Migration auf x.com und die Rolle der FIDO2/WebAuthn RP-ID
Der Schritt ist nach Angaben von X nicht durch einen Sicherheitsvorfall begründet, sondern durch den finalen Umzug vom Domain-Namen twitter.com zu x.com. FIDO2/WebAuthn binden Anmeldeinformationen an eine Relying-Party-ID (RP-ID), die in der Regel der Ziel-Domain entspricht. Passkeys und Sicherheitsschlüssel, die einst für twitter.com registriert wurden, validieren daher nicht automatisch für x.com, sobald der alte Domainkontext entfällt.
Passkeys kurz erklärt: Phishing-resistente Authentifizierung
Passkeys und FIDO2-Schlüssel nutzen asymmetrische Kryptografie: Der private Schlüssel verbleibt auf dem Endgerät oder Token, der Server erhält lediglich eine kryptografische Signatur einer Herausforderung. Dadurch entfällt die Eingabe geheimer Daten auf potenziell schädlichen Seiten – ein wirksamer Schutz gegen Phishing.
Praxis und Forschung stützen diese Einordnung: Google berichtete 2018, dass nach der Umstellung der Belegschaft auf Sicherheitsschlüssel keine erfolgreichen Phishing-Übernahmen von Mitarbeiterkonten mehr bestätigt wurden. Die NIST-Richtlinie SP 800‑63B stuft FIDO2-Authentikatoren als phishing-resistent ein und empfiehlt sie für hohe Schutzanforderungen.
Schritt für Schritt: So registrieren Sie Passkeys und Sicherheitsschlüssel in X neu
1) Öffnen Sie die Sicherheitsschlüssel-Verwaltung: x.com/settings/account/login_verification/security_keys.
2) Entfernen bzw. deaktivieren Sie die bisherigen Schlüssel und registrieren Sie diese erneut – nun für die Domain x.com. Zur Bestätigung ist die Eingabe Ihres Kontopassworts erforderlich.
3) Falls nötig, wechseln Sie vorübergehend auf eine Authenticator-App. Für maximalen Phishing-Schutz sollten Sie jedoch Passkeys oder Hardware-Schlüssel beibehalten.
4) Planen Sie die Umstellung auf allen Geräten: Da die Registrierung eines neuen Schlüssels ältere Einträge ungültig macht, richten Sie idealerweise mindestens zwei Schlüssel ein (z. B. primär + Backup) und testen Sie die Anmeldung auf allen Arbeitsrechnern und Mobilgeräten.
Risiken bei Verzögerung und Empfehlungen für Unternehmen
Wer die Neuregistrierung aufschiebt, riskiert temporäre Kontosperrungen nach dem 10. November – kritisch für Markenaccounts, Medienhäuser, Entwickler und Support-Teams. Das Deaktivieren von 2FA zur „schnellen Abhilfe“ öffnet Angreifern Tür und Tor: SMS-Codes sind anfällig für SIM-Swapping und Interception, und reine Passwörter fallen häufig Info-Stealern zum Opfer. Berichte wie der Verizon DBIR zeigen seit Jahren, dass Phishing und kompromittierte Zugangsdaten zu den dominierenden Angriffsvektoren gehören.
Empfohlene Maßnahmen: Definieren Sie ein Wartungsfenster, dokumentieren Sie den Ablauf und informieren Sie Nutzer rechtzeitig. Prüfen Sie Browser- und OS-Updates (WebAuthn/CTAP-Unterstützung), stellen Sie sicher, dass der Recovery-E-Mail-Zugang funktioniert, und verwahren Sie Backup-Schlüssel sicher. Für Teams mit erhöhtem Risiko empfiehlt sich die Kombination aus Passkeys, mindestens einem Ersatz-Hardware-Token und klaren Break-Glass-Prozessen für Notfälle.
Wer die Neuregistrierung jetzt vornimmt, erhält durchgängig Zugriff und bewahrt die phishing-resistente 2FA auf dem neuen Domainkontext. Nutzen Sie das Zeitfenster bis zum 10. November, um Passkeys und Sicherheitsschlüssel auf x.com zu heben, die Anmeldung auf allen Geräten zu testen und bei Bedarf einen temporären, aber sicheren 2FA-Fallback zu konfigurieren. Solide Authentifizierung ist eine der einfachsten Maßnahmen, um kostspielige Sicherheitsvorfälle nachhaltig zu vermeiden.
