Was ist Zwei-Faktor-Authentifizierung (2FA)?

  • WeThePurple
  • Schützen
  • 7 Min. Lesezeit

Die Zwei-Faktor-Authentifizierung fügt ein zweites Schloss hinzu: Ein gestohlenes Passwort allein reicht nicht mehr, um dein Konto zu öffnen. Was die beiden Faktoren sind, wie sie funktionieren, welche am stärksten sind und wie du sie in wenigen Minuten aktivierst.

Du tippst dein Passwort ein und bist drin. Das ist die Ein-Faktor-Authentifizierung, und sie hat eine offensichtliche Schwäche: Wenn jemand anderes dein Passwort erfährt — durch ein Datenleck, eine Phishing-Mail oder einen wiederverwendeten Login —, ist er ebenfalls drin. Die Zwei-Faktor-Authentifizierung, meist als 2FA abgekürzt, fügt ein zweites Schloss hinzu, sodass ein gestohlenes Passwort allein nicht mehr genügt, um dein Konto zu öffnen.

Zwei-Faktor-Authentifizierung bedeutet, deine Identität mit zwei verschiedenen Arten von Nachweisen zu belegen, bevor du eingelassen wirst. Sicherheitsfachleute fassen diese Nachweise in drei Kategorien oder Faktoren zusammen: etwas, das du weißt (ein Passwort oder eine PIN), etwas, das du hast (ein Telefon, ein physischer Sicherheitsschlüssel oder eine App, die Codes erzeugt) und etwas, das du bist (ein Fingerabdruck, das Gesicht oder ein anderes biometrisches Merkmal). 2FA kombiniert zwei dieser Kategorien — deshalb zählt ein Code, der an dein Telefon geschickt wird, aber zwei Passwörter nicht: Zwei Passwörter sind derselbe Faktor.

Wie die Zwei-Faktor-Authentifizierung funktioniert

Eine Hand nähert sich einem Smartphone, das einen leuchtenden Fingerabdruck auf blauem Hintergrund anzeigt — Biometrie als zweiter Authentifizierungsfaktor.
Eine Hand nähert sich einem Smartphone, das einen leuchtenden Fingerabdruck auf blauem Hintergrund anzeigt — Biometrie als zweiter Authentifizierungsfaktor.

In der Praxis läuft es meist so ab. Du gibst Benutzernamen und Passwort wie gewohnt ein. Der Dienst verlangt dann einen zweiten Nachweis: einen sechsstelligen Code aus einer Authenticator-App, ein Tippen auf eine Benachrichtigung, einen Code per SMS oder eine Berührung eines physischen Schlüssels. Erst wenn beide Prüfungen bestanden sind, bist du angemeldet. Da sich der zweite Faktor ständig ändert oder physisch an ein Gerät gebunden ist, das du besitzt, wird ein Angreifer, der nur dein Passwort hat, beim zweiten Schritt gestoppt.

Nicht alle zweiten Faktoren sind gleich stark. Per SMS verschickte Codes sind am weitesten verbreitet und weit besser als nichts, doch Textnachrichten können abgefangen oder über eine Technik namens SIM-Swapping umgeleitet werden, bei der ein Angreifer deinen Mobilfunkanbieter dazu bringt, deine Nummer auf sein Gerät zu übertragen. Authenticator-Apps — in Passwortmanager integriert oder eigenständig — erzeugen die Codes auf deinem eigenen Gerät mithilfe eines offenen Standards (TOTP), sodass es keine Nachricht zum Abfangen gibt. Physische Sicherheitsschlüssel und Passkeys, die auf den Standards FIDO2 und WebAuthn beruhen, gehen noch weiter: Sie sind darauf ausgelegt, Phishing zu widerstehen, weil der Schlüssel die echte Adresse der Website prüft, bevor er antwortet.

Welche zweiten Faktoren am stärksten sind

Phishing ist genau die Lücke, die die stärksten zweiten Faktoren schließen sollen. Eine überzeugende gefälschte Anmeldeseite kann sowohl dein Passwort als auch einen eingetippten Code abgreifen, wenn man dich dazu bringt, sie einzugeben. Ein physischer Schlüssel oder ein Passkey ist an die echte Website gebunden, sodass selbst eine perfekt aussehende Kopie ihn nicht verwenden kann. Deshalb empfehlen viele Sicherheitsteams inzwischen, von SMS-Codes wegzugehen — mindestens hin zu einer Authenticator-App und zu Schlüsseln oder Passkeys für die wichtigsten Konten.

  • Aktiviere 2FA zuerst für deine wichtigsten Konten: Haupt-E-Mail, Banking und Passwortmanager
  • Bevorzuge eine Authenticator-App (TOTP) oder einen physischen Sicherheitsschlüssel gegenüber SMS-Codes, die per SIM-Swapping abgefangen werden können
  • Nutze physische Schlüssel oder Passkeys (FIDO2/WebAuthn) für wichtige Konten — sie widerstehen Phishing, indem sie die echte Website prüfen
  • Bewahre die einmaligen Backup-/Wiederherstellungscodes offline auf, damit du wieder hineinkommst, falls du dein Telefon verlierst
  • Kombiniere 2FA mit einem Passwortmanager: Jedes Passwort bleibt einzigartig und stark, und ein einzelnes Leck öffnet nichts

Das Argument, 2FA einzuschalten, ist einfach: Passwörter werden ständig geleakt. Milliarden gestohlener Zugangsdaten kursieren aus früheren Datenlecks online, und viele Menschen verwenden dasselbe Passwort auf zahlreichen Seiten, sodass ein einziges Leck mehrere Konten aufschließen kann. Ein zweiter Faktor durchbricht diese Kette. Selbst wenn dein Passwort in einem Leck auftaucht, kann ein Angreifer sich ohne den Code oder das Gerät, das nur du besitzt, immer noch nicht anmelden. Genau deshalb ergänzen sich ein Passwortmanager und 2FA gut: Der Manager hält jedes Passwort einzigartig und stark, und 2FA schützt die wichtigen Konten, selbst wenn ein Passwort offengelegt wird.

Warum du sie aktivieren solltest, und wie

Das Einrichten von 2FA dauert pro Konto wenige Minuten und findet sich in den Sicherheits- oder Anmeldeeinstellungen der meisten Dienste. Beginne mit den Konten, deren Verlust am meisten wehtäte: deine Haupt-E-Mail (weil sie alles andere zurücksetzen kann), deine Banking- und Bezahl-Apps und dein Passwortmanager selbst. Wo du die Wahl hast, bevorzuge eine Authenticator-App oder einen physischen Schlüssel gegenüber SMS. Wenn du 2FA aktivierst, zeigt der Dienst meist eine Reihe einmaliger Backup- oder Wiederherstellungscodes an — bewahre sie sicher und offline auf, denn damit kommst du wieder hinein, falls du dein Telefon verlierst.

Den Zugang zum zweiten Faktor zu verlieren ist die Sorge, die viele zurückhält, und man sollte sie einplanen statt vermeiden. Bewahre deine Backup-Codes auf, registriere eine zweite Methode, wo der Dienst es erlaubt (etwa einen Ersatzschlüssel oder ein zweites Gerät), und manche Authenticator-Apps können deine Codes sicher zwischen deinen eigenen Geräten synchronisieren, sodass ein verlorenes Telefon keine Aussperrung bedeutet. Die wenigen Minuten für Wiederherstellungsoptionen sind weit weniger schmerzhaft als der Verlust eines Kontos an jemanden, der ein einziges Passwort erraten oder gestohlen hat.

Den Zugang zum zweiten Faktor zu verlieren ist die Sorge, die viele zurückhält, und man sollte sie einplanen statt vermeiden. Bewahre deine Backup-Codes auf, registriere eine zweite Methode, wo der Dienst es erlaubt (etwa einen Ersatzschlüssel oder ein zweites Gerät), und manche Authenticator-Apps können deine Codes sicher zwischen deinen eigenen Geräten synchronisieren, sodass ein verlorenes Telefon keine Aussperrung bedeutet. Die wenigen Minuten für Wiederherstellungsoptionen sind weit weniger schmerzhaft als der Verlust eines Kontos an jemanden, der ein einziges Passwort erraten oder gestohlen hat.

— WeThePurple

Was, wenn du deinen zweiten Faktor verlierst?

Die Zwei-Faktor-Authentifizierung ist einer der wertvollsten Schritte für Privatsphäre und Sicherheit, die du gehen kannst, und sie ist weitgehend kostenlos. Sie behebt kein schwaches oder wiederverwendetes Passwort, und SMS-Codes sind nicht kugelsicher, doch das Hinzufügen irgendeines zweiten Faktors verwandelt dein Passwort von einem einzelnen Schwachpunkt in eines von zwei Schlössern. Für die Konten, die deine Identität, dein Geld und deine Nachrichten enthalten, ist dieses zweite Schloss die paar Minuten zum Einrichten allemal wert.

#SchützenPrivatsphäredigitale RechteWeThePurple

Auch lesenswert

Eine Hand hält eine rote Karte neben einem Laptop, der eine Online-Shopping-Seite zeigt
Rechte

Was ist Surveillance Pricing (überwachungsbasierte Preisgestaltung)?

Ein Laptop, ein Smartphone und ein Kaffee auf einem Schreibtisch mit geöffneten sozialen Medien
Rechte

Was ist ein digitaler Fußabdruck?

Ein aufgeklapptes Notebook auf einem Schreibtisch, das nachts einen Webbrowser zeigt
Schützen

Was ist der Inkognito-Modus?