Was ist Zwei-Faktor-Authentifizierung?
Zwei-Faktor-Authentifizierung (2FA) ist eine Sicherheitsmethode, die zwei voneinander unabhängige Überprüfungsschritte erfordert, bevor der Zugang zu einem Konto gewährt wird. Selbst wenn ein Angreifer das Passwort kennt, kann er sich ohne den zweiten Schritt nicht anmelden. Kombiniert mit einem Passwort-Manager, der starke, einzigartige Passwörter erstellt und speichert, ist 2FA eine der wirksamsten Abwehrmaßnahmen gegen unbefugten Zugriff. Auf E-Mail-, Bank- und Social-Media-Konten aktiviert, reduziert sie das Kompromittierungsrisiko drastisch.
Im Detail
Die drei Authentifizierungsfaktoren
Authentifizierungsfaktoren lassen sich in drei Kategorien einteilen. Wissensfaktoren sind etwas, das man weiß – Passwörter, PINs, Sicherheitsfragen. Besitzfaktoren sind etwas, das man hat – ein Smartphone, ein Hardware-Sicherheitsschlüssel, eine Smartcard. Inhärenzfaktoren sind etwas, das man ist – Fingerabdrücke, Gesichtserkennung und andere Formen der biometrischen Authentifizierung. Echte Zwei-Faktor-Authentifizierung kombiniert Elemente aus zwei verschiedenen Kategorien und stellt so sicher, dass das Kompromittieren eines einzigen Faktors nicht ausreicht, um einzudringen.
Gängige 2FA-Methoden
Die verbreitetste Methode ist ein per SMS versandtes Einmalpasswort (OTP) – aber SMS ist anfällig für SIM-Swap-Angriffe und Abfangen, weshalb Sicherheitsexperten stärkere Alternativen empfehlen. Authenticator-Apps (Google Authenticator, Microsoft Authenticator, Authy) erzeugen zeitbasierte Einmalpasswörter (TOTP), die sich alle 30 Sekunden ändern und offline funktionieren. Hardware-Sicherheitsschlüssel (YubiKey, Google Titan) nutzen das FIDO2-Protokoll und sind die phishing-resistenteste Option: Der Schlüssel beweist kryptografisch, dass man sich auf der legitimen Website befindet – was es für Angreifer nahezu unmöglich macht, den zweiten Faktor zu stehlen.
Zweistufige vs. Zwei-Faktor-Authentifizierung
Die Begriffe werden oft gleichbedeutend verwendet, es gibt aber einen technischen Unterschied. Zweistufige Verifizierung erfordert lediglich zwei aufeinanderfolgende Prüfungen, die beide wissensbasiert sein können (Passwort + Sicherheitsfrage). Echte Zwei-Faktor-Authentifizierung verlangt zwei Prüfungen aus verschiedenen Faktorkategorien (Passwort + Authenticator-App). Letztere ist erheblich sicherer, weil das Kompromittieren einer einzigen Kategorie nicht ausreicht.
So wählst du richtig
1. Mit einer Authenticator-App starten
Google Authenticator, Microsoft Authenticator und Authy sind kostenlos, weit verbreitet und deutlich sicherer als SMS-Codes. Die Einrichtung dauert pro Konto nur wenige Minuten und ist das wirksamste einzelne Upgrade für die meisten Menschen in ihrer Online-Sicherheit.
2. Hardware-Sicherheitsschlüssel für kritische Konten nutzen
Für das primäre E-Mail-Konto, Banking und Kryptowährungskonten bietet ein FIDO2-kompatibler physischer Sicherheitsschlüssel den stärksten verfügbaren Schutz. Er widersteht Phishing, erfordert physische Anwesenheit und funktioniert auf allen gängigen Plattformen und Browsern.
3. Backup-Codes immer sichern
Jeder Dienst mit 2FA stellt auch Backup-Wiederherstellungscodes aus. Diese an einem sicheren Ort aufbewahren – in einem Passwort-Manager-Tresor, einem Ausdruck in einem Safe oder einer verschlüsselten Datei. Wer den zweiten Faktor verliert, ohne Backup-Codes zu haben, kann dauerhaft aus dem eigenen Konto ausgesperrt sein.
Fazit
Zwei-Faktor-Authentifizierung ist eine der einfachsten und wirksamsten Maßnahmen zum Schutz von Online-Konten. Eine Authenticator-App hebt die Hürde für Angreifer ohne Kosten dramatisch an; ein Hardware-Sicherheitsschlüssel hebt sie für die sensibelsten Anmeldungen noch weiter. 2FA bei jedem Dienst aktivieren, der es unterstützt, Backup-Codes sichern und mit einem Passwort-Manager kombinieren – das ergibt eine mehrschichtige Verteidigung, die die große Mehrheit der Angriffe im Keim erstickt.