2FA aktivieren: Einfach erklärt – so geht’s

2FA aktivieren leicht gemacht: Schützen Sie Ihre Konten bei Google, Apple und Microsoft mit Zwei-Faktor-Authentifizierung – so geht’s Schritt für Schritt.

Die Zwei-Faktor-Authentifizierung (kurz: 2FA) schützt Ihre Online-Konten zuverlässig vor unbefugtem Zugriff. Dabei benötigen Sie neben Ihrem Passwort einen zweiten Bestätigungsschritt – zum Beispiel einen Code aus einer App oder per SMS.

In diesem Artikel erfahren Sie Schritt für Schritt, wie Sie 2FA bei Google, Apple, Microsoft, Facebook, Instagram, WhatsApp und Amazon aktivieren, welche Methode die sicherste ist und worauf Sie dabei achten sollten.

Was ist die Zwei-Faktor-Authentifizierung (2FA)?

Die Zwei-Faktor-Authentifizierung ist ein Sicherheitsverfahren, das zwei unabhängige Nachweise bei der Anmeldung verlangt. Zunächst geben Sie Ihr Passwort ein. Anschließend bestätigen Sie Ihre Identität mit einem zweiten Faktor. Erst dann erhalten Sie Zugang zu Ihrem Konto.

Dabei unterscheiden Sicherheitsexperten grundsätzlich drei Faktortypen:

• Wissen: Etwas, das nur Sie kennen – also Ihr Passwort oder Ihre PIN.
• Besitz: Etwas, das nur Sie besitzen – zum Beispiel Ihr Smartphone mit einer Authenticator-App.
• Inhärenz: Etwas, das Sie einzigartig macht – etwa Ihr Fingerabdruck oder Ihr Gesicht.

In der Praxis kombiniert 2FA meistens Wissen und Besitz. Sie verwenden also Ihr Passwort gemeinsam mit einem Einmalcode, der auf Ihrem Smartphone erscheint. Dadurch entsteht eine doppelte Sicherheitsebene, die den Schutz Ihrer Konten erheblich verbessert.

Je nach Plattform wird die Zwei-Faktor-Authentifizierung auch unter anderen Namen angeboten. Bei Google heißt sie „Bestätigung in zwei Schritten“, bei Apple „Zwei-Faktor-Authentifizierung für die Apple ID“ und bei Microsoft „Sicherheitsüberprüfung“ oder „zweistufige Überprüfung“. Gemeint ist jedoch stets dasselbe Prinzip.

Warum ist 2FA so wichtig?

Passwörter allein bieten heute keinen ausreichenden Schutz mehr. Jedes Jahr gelangen durch Datenlecks, Phishing-Angriffe und unsichere WLAN-Netzwerke Millionen von Zugangsdaten in falsche Hände. Selbst ein komplexes Passwort kann kompromittiert werden, ohne dass Sie es sofort bemerken.

Deshalb empfiehlt das Bundesamt für Sicherheit in der Informationstechnik (BSI) ausdrücklich den Einsatz von Zwei-Faktor-Authentifizierung. Denn selbst wenn Angreifer Ihr Passwort kennen, können sie sich ohne den zweiten Faktor nicht in Ihr Konto einloggen. Zusätzlich ist 2FA besonders wichtig bei Konten, die mit vielen anderen Diensten verknüpft sind – zum Beispiel Ihre Google-ID, Ihre Apple-ID oder Ihr Microsoft-Konto.

Ab 2026 ist 2FA bei Google für alle Nutzer verpflichtend. Wer die Zwei-Faktor-Authentifizierung noch nicht aktiviert hat, wird bei der nächsten Anmeldung automatisch dazu aufgefordert. Außerdem ist die Einrichtung einfacher als viele Nutzer denken. Sie dauert meist nur wenige Minuten und schützt Sie danach dauerhaft.

Besonders kritisch: Ihre E-Mail-Adresse ist in der Regel der Generalschlüssel zu all Ihren anderen Konten. Wer Zugriff auf Ihr E-Mail-Konto erhält, kann über die Funktion „Passwort vergessen“ nahezu jeden anderen Dienst übernehmen. Deshalb sollte die 2FA zuerst dort aktiviert werden. Zudem zeigen Statistiken, dass Konten mit aktivierter Zwei-Faktor-Authentifizierung in über 99 Prozent der automatisierten Angriffe nicht kompromittiert werden. Das macht 2FA zur mit Abstand wirksamsten Einzelmaßnahme im Bereich der Kontosicherheit.

Die verschiedenen 2FA-Methoden im Überblick

Nicht jede 2FA-Methode ist gleich sicher. Deshalb sollten Sie die verschiedenen Optionen kennen, bevor Sie mit der Einrichtung beginnen.

SMS-Code

Bei dieser Methode erhalten Sie nach der Passworteingabe einen Einmalcode per SMS auf Ihre hinterlegte Telefonnummer. Diese Methode ist weit verbreitet und leicht einzurichten. Allerdings weist sie bekannte Schwachstellen auf. Sogenanntes SIM-Swapping – also der missbräuchliche Umzug Ihrer Rufnummer auf eine andere SIM-Karte – kann dazu führen, dass Angreifer Ihre SMS-Codes abfangen. Zudem sind Schwachstellen im Telekommunikationsprotokoll SS7 seit Jahren bekannt. Deshalb gilt SMS als Notlösung, nicht als empfohlene Hauptmethode.

Authenticator-App

Eine Authenticator-App generiert zeitbasierte Einmalcodes (sogenannte TOTP-Codes), die sich alle 30 Sekunden automatisch ändern. Diese Codes werden lokal auf Ihrem Gerät erzeugt und können daher nicht über das Netz abgefangen werden. Außerdem funktioniert die App auch ohne Internetverbindung oder Mobilfunknetz. Deshalb gilt die Authenticator-App als die empfohlene Standardmethode für die meisten Nutzer.

Hardware-Sicherheitsschlüssel (FIDO2/WebAuthn)

Hardware-Sicherheitsschlüssel wie der YubiKey 5 oder der Google Titan Security Key bieten den höchsten Schutz. Sie stecken den kleinen USB-Stick in Ihren Computer oder halten ihn per NFC an Ihr Smartphone. Anschließend bestätigen Sie die Anmeldung per Knopfdruck. Diese Methode ist vollständig phishing-resistent, weil kein Code eingegeben oder übertragen wird. Sie eignet sich besonders für Nutzer mit hohem Schutzbedarf.

Push-Benachrichtigung

Bei dieser Methode erhalten Sie eine Benachrichtigung auf Ihrem Smartphone. Sie bestätigen die Anmeldung dann per Tipp auf „Ja“ oder „Zulassen“. Microsoft Authenticator und Google nutzen dieses Verfahren. Es ist komfortabel und schnell. Jedoch sollten Sie Push-Anfragen, die Sie nicht selbst ausgelöst haben, niemals bestätigen.

Passkey

Passkeys sind die moderne Weiterentwicklung der Zwei-Faktor-Authentifizierung. Dabei ersetzen sie Passwort und zweiten Faktor durch einen einzigen kryptografischen Schlüssel, der per Biometrie – also Fingerabdruck oder Gesichtserkennung – freigeschaltet wird. Google, Apple und Microsoft unterstützen Passkeys bereits vollständig. Passkeys gelten als besonders sicher und benutzerfreundlich, weil kein Passwort mehr eingegeben oder gemerkt werden muss.

Vor der Einrichtung: Das sollten Sie vorbereiten

Bevor Sie mit der Aktivierung beginnen, sollten Sie einige Vorbereitungen treffen. Dadurch vermeiden Sie spätere Probleme.

Prüfen Sie zunächst Folgendes:

• Zugangsdaten verfügbar: Sie müssen sich bei dem jeweiligen Dienst normal anmelden können. Das Passwort muss also bekannt sein.
• Aktuelle Telefonnummer hinterlegt: Mindestens eine erreichbare Mobilfunknummer sollte im Konto gespeichert sein – als Notfall-Rückfalloption.
• Authenticator-App installiert: Wenn Sie App-Codes nutzen möchten, installieren Sie vorab eine Authenticator-App auf Ihrem Smartphone. Empfehlenswert sind Google Authenticator, Microsoft Authenticator oder Authy von Twilio.
• Backup-Codes sichern: Fast jeder Dienst stellt nach der Aktivierung Backup-Codes bereit. Diese sollten Sie ausdrucken oder an einem sicheren Ort offline speichern. Im Notfall – etwa wenn Ihr Smartphone verloren geht – sind diese Codes Ihr einziger Zugang.

FA aktivieren bei Google

Google hat die Zwei-Faktor-Authentifizierung für alle Nutzer verpflichtend eingeführt. Dennoch lohnt es sich, die Einrichtung aktiv vorzunehmen und dabei die sicherste Methode zu wählen.

Empfohlen: Richten Sie den Google Authenticator oder einen kompatiblen Authenticator ein, zusätzlich zu den Google-Prompts.

Schritt-für-Schritt-Anleitung:

1. Öffnen Sie in Ihrem Browser myaccount.google.com.
2. Klicken Sie links auf „Sicherheit“.
3. Scrollen Sie zum Abschnitt „Wie Sie sich bei Google anmelden“.
4. Wählen Sie „Bestätigung in zwei Schritten“ aus.
5. Klicken Sie auf „Jetzt starten“ und melden Sie sich erneut an.
6. Wählen Sie Ihre bevorzugte Methode: Google-Prompt, Authenticator-App, SMS oder Sicherheitsschlüssel.
7. Folgen Sie den Anweisungen auf dem Bildschirm.
8. Klicken Sie abschließend auf „Aktivieren“.

Für die Authenticator-App scannen Sie den angezeigten QR-Code mit der Google Authenticator App (iOS/Android). Außerdem sollten Sie anschließend die Backup-Codes herunterladen und sicher aufbewahren. Google stellt zehn solcher Codes bereit, von denen jeder nur einmal nutzbar ist.

Hinweis zu Passkeys: Google empfiehlt inzwischen zusätzlich die Einrichtung eines Passkeys. Diesen finden Sie im selben Sicherheitsmenü unter „Passkeys und Sicherheitsschlüssel“.

FA aktivieren bei Apple (Apple ID)

Die Apple ID ist das Herzstück aller Apple-Dienste – von iCloud über den App Store bis hin zu Apple Pay. Deshalb ist es besonders wichtig, diese mit Zwei-Faktor-Authentifizierung zu schützen.

Apple nutzt ein eigenes System: Vertrauenswürdige Geräte und Telefonnummern. Dabei erscheint der sechsstellige Code direkt auf einem bereits angemeldeten iPhone, iPad oder Mac.

Auf dem iPhone oder iPad (iOS/iPadOS):

1. Öffnen Sie die Einstellungen.
2. Tippen Sie oben auf Ihren Namen (Apple ID).
3. Wählen Sie „Passwort & Sicherheit“.
4. Tippen Sie auf „Zwei-Faktor-Authentifizierung aktivieren“.
5. Folgen Sie den Schritten und hinterlegen Sie eine vertrauenswürdige Telefonnummer.
6. Bestätigen Sie mit dem Code, der an die hinterlegte Nummer gesendet wird.

Auf dem Mac (macOS):

1. Öffnen Sie Systemeinstellungen (bei älteren Versionen: Systemeinstellungen).
2. Klicken Sie oben auf Ihren Namen (Apple ID).
3. Wählen Sie „Passwort & Sicherheit“.
4. Klicken Sie neben „Zwei-Faktor-Authentifizierung“ auf „Aktivieren“.

Im Browser über iCloud.com:

1. Öffnen Sie appleid.apple.com.
2. Melden Sie sich an und navigieren Sie zu „Anmeldung und Sicherheit“.
3. Aktivieren Sie dort die Zwei-Faktor-Authentifizierung.

Wichtig: Bei Apple ist die 2FA nach der Aktivierung standardmäßig dauerhaft eingeschaltet und lässt sich in den meisten Fällen nicht mehr deaktivieren. Außerdem sollten Sie mindestens zwei vertrauenswürdige Telefonnummern hinterlegen – so bleiben Sie auch bei einem Geräteverlust handlungsfähig.

FA aktivieren bei Microsoft

Ein Microsoft-Konto verbindet Dienste wie Outlook, OneDrive, Xbox, Teams und Windows 11 miteinander. Deshalb ist der Schutz dieses Kontos besonders wichtig.

Empfohlen: Nutzen Sie den Microsoft Authenticator (kostenlos für iOS und Android). Dieser bietet neben TOTP-Codes auch Push-Benachrichtigungen und kann als Passwort-Manager genutzt werden.

Schritt-für-Schritt-Anleitung für persönliche Microsoft-Konten:

1. Öffnen Sie account.microsoft.com im Browser.
2. Klicken Sie auf „Sicherheit“, dann auf „Erweiterte Sicherheitsoptionen“.
3. Wählen Sie unter „Zweistufige Überprüfung“ den Punkt „Einrichten“.
4. Folgen Sie dem Einrichtungsassistenten.
5. Scannen Sie mit dem Microsoft Authenticator den angezeigten QR-Code.
6. Klicken Sie auf „Fertig stellen“.

Zusätzlich bietet Microsoft die Option, das Passwort komplett zu deaktivieren und sich ausschließlich per Authenticator-App oder Passkey anzumelden. Diese „passwortlose Anmeldung“ ist noch sicherer und inzwischen für alle persönlichen Konten verfügbar.

FA aktivieren bei Facebook

Facebook – beziehungsweise der übergeordnete Konzern Meta – bietet für Facebook, Instagram und WhatsApp jeweils eigene 2FA-Einstellungen an.

Schritt-für-Schritt-Anleitung für Facebook:

1. Öffnen Sie Facebook im Browser oder in der App.
2. Klicken Sie oben rechts auf Ihr Profilbild, dann auf „Einstellungen & Privatsphäre“ und anschließend auf „Einstellungen“.
3. Wählen Sie links „Passwort & Sicherheit“.
4. Klicken Sie auf „Zweistufige Authentifizierung“.
5. Wählen Sie Ihr Facebook-Konto aus (falls Sie mehrere Meta-Konten verwalten).
6. Geben Sie zur Bestätigung Ihr Passwort ein.
7. Wählen Sie Ihre Methode: Authenticator-App, SMS-Code oder Sicherheitsschlüssel.
8. Folgen Sie den Anweisungen und schließen Sie die Einrichtung ab.

Empfohlen: Wählen Sie eine Authenticator-App wie Google Authenticator oder Microsoft Authenticator. SMS ist zwar möglich, gilt jedoch als weniger sicher. Außerdem sollten Sie die angebotenen Backup-Codes sichern, sobald die Einrichtung abgeschlossen ist.

FA aktivieren bei Instagram

Instagram ist ebenfalls Teil von Meta. Deshalb ist die Einrichtung ähnlich wie bei Facebook, erfolgt aber direkt in der Instagram-App.

Schritt-für-Schritt-Anleitung:

1. Öffnen Sie die Instagram-App auf Ihrem Smartphone.
2. Tippen Sie unten rechts auf Ihr Profilbild.
3. Tippen Sie oben rechts auf das Hamburger-Menü (drei Striche).
4. Wählen Sie „Einstellungen und Aktivitäten“.
5. Tippen Sie auf „Sicherheit und Account-Zugang“, dann auf „Sicherheit“.
6. Wählen Sie „Zwei-Faktor-Authentifizierung“.
7. Tippen Sie auf „Jetzt starten“.
8. Wählen Sie Authenticator-App oder SMS.
9. Folgen Sie den Anweisungen und scannen Sie den QR-Code mit Ihrer Authenticator-App.

Hinweis: Seit 2023 ist die SMS-basierte 2FA bei Instagram nur noch für zahlende Nutzer verfügbar. Kostenlose Konten sollten daher unbedingt eine Authenticator-App einrichten. Außerdem empfiehlt Meta, die generierten Backup-Codes an einem sicheren Ort zu speichern.

FA aktivieren bei WhatsApp

WhatsApp nutzt eine etwas andere Bezeichnung: Dort heißt das Verfahren „Verifizierung in zwei Schritten“. Dabei legen Sie eine sechsstellige PIN fest, die WhatsApp bei der Neuregistrierung Ihrer Nummer regelmäßig abfragt.

Schritt-für-Schritt-Anleitung (iOS und Android):

1. Öffnen Sie WhatsApp.
2. Tippen Sie auf Einstellungen (iPhone: unten rechts, Android: oben rechts die drei Punkte).
3. Wählen Sie „Konto“.
4. Tippen Sie auf „Verifizierung in zwei Schritten“.
5. Tippen Sie auf „Aktivieren“.
6. Legen Sie eine sechsstellige PIN fest und wiederholen Sie diese.
7. Hinterlegen Sie optional eine E-Mail-Adresse zur Wiederherstellung.
8. Tippen Sie auf „Fertig“.

Empfohlen: Hinterlegen Sie unbedingt eine E-Mail-Adresse. Denn wenn Sie Ihre PIN vergessen, ist diese E-Mail der einzige Weg zur Wiederherstellung. Außerdem fragt WhatsApp die PIN regelmäßig ab, damit Sie sie nicht vergessen.

FA aktivieren bei Amazon

Amazon speichert Ihre Zahlungsdaten, Lieferadressen und Bestellhistorie. Deshalb ist es besonders ratsam, auch dieses Konto mit Zwei-Faktor-Authentifizierung abzusichern.

Schritt-für-Schritt-Anleitung:

1. Öffnen Sie amazon.de im Browser.
2. Fahren Sie oben rechts über „Mein Konto“ und klicken Sie auf „Mein Konto“.
3. Wählen Sie „Anmeldung und Sicherheit“.
4. Klicken Sie neben „Zweistufige Überprüfung“ auf „Bearbeiten“.
5. Klicken Sie auf „Erste Schritte“.
6. Wählen Sie Ihre Methode: Authenticator-App oder SMS.
7. Scannen Sie den QR-Code mit Ihrer Authenticator-App oder geben Sie Ihre Telefonnummer ein.
8. Geben Sie zur Bestätigung den angezeigten Code ein.
9. Klicken Sie auf „Code überprüfen und fortfahren“.
10. Aktivieren Sie die 2FA abschließend mit einem Klick auf „Zweistufige Überprüfung aktivieren“.

Tipp: Amazon erlaubt Ihnen außerdem, bestimmte Geräte vom zweiten Faktor auszunehmen. Das ist praktisch für Ihre eigenen, dauerhaft genutzten Geräte zu Hause.

FA aktivieren beim Online-Banking und bei Banking-Apps

Ihr Online-Banking-Konto gehört zu den sensibelsten digitalen Zugängen überhaupt. Deshalb ist der Schutz durch einen zweiten Faktor hier besonders bedeutsam. Erfreulicherweise ist 2FA im Bankbereich in Deutschland seit der Einführung der PSD2-Richtlinie (Payment Services Directive 2) für alle Zahlungsvorgänge gesetzlich vorgeschrieben. Das bedeutet: Jede Transaktion über einen bestimmten Betrag muss durch einen zweiten Faktor bestätigt werden.

Allerdings unterscheiden sich die Verfahren je nach Bank deutlich:

• Sparkasse und Volksbanken/Raiffeisenbanken nutzen die eigene S-pushTAN- bzw. VR-SecureGo-App, die auf dem Smartphone installiert wird. Diese App erzeugt TANs für Transaktionen und ersetzt die früher verwendeten TAN-Listen und SMS-TANs.
• Deutsche Bank, Postbank und Commerzbank setzen ebenfalls auf eigene Authenticator-Apps, die Sie im jeweiligen App Store herunterladen können.
• ING und DKB bieten Bestätigungen per App oder iTAN-Verfahren an.
• N26 und Revolut nutzen ausschließlich App-basierte Verfahren und bieten keine SMS-TANs an.

Empfohlene Vorgehensweise beim Banking: Richten Sie die App Ihrer Bank als primären zweiten Faktor ein. Notieren Sie außerdem die telefonische Sperrnummer Ihrer Bank (oft 116 116 für deutsche Bankkarten) und bewahren Sie diese gut zugänglich auf. So können Sie im Notfall Ihren Zugang sofort sperren lassen.

FA aktivieren bei PayPal

PayPal ist für viele Nutzer die zentrale Zahlungsplattform. Deshalb ist es besonders wichtig, auch dieses Konto mit 2FA zu schützen.

Schritt-für-Schritt-Anleitung:

1. Melden Sie sich bei paypal.com an.
2. Klicken Sie oben rechts auf das Zahnrad-Symbol (Einstellungen).
3. Wählen Sie den Reiter „Sicherheit“.
4. Klicken Sie neben „Bestätigung in 2 Schritten“ auf „Einrichten“.
5. Wählen Sie Ihre Methode: Authenticator-App oder SMS.
6. Folgen Sie den Anweisungen und schließen Sie die Einrichtung ab.

PayPal unterstützt sowohl Authenticator-Apps als auch SMS-Codes. Empfehlenswert ist hier die Authenticator-App, da SMS anfälliger für SIM-Swapping-Angriffe ist. Außerdem erhalten Sie durch 2FA bei PayPal oft Zugang zu einem erweiterten Käuferschutz.

FA aktivieren bei GitHub

Für Entwickler ist GitHub ein zentrales Arbeitszeug. Deshalb hat GitHub die Zwei-Faktor-Authentifizierung bereits ab Ende 2023 für alle aktiven Nutzer verpflichtend eingeführt. Falls Sie 2FA noch nicht aktiviert haben, sind Ihr Konto und Ihre Repositories möglicherweise eingeschränkt.

Schritt-für-Schritt-Anleitung:

1. Melden Sie sich bei github.com an.
2. Klicken Sie oben rechts auf Ihr Profilbild, dann auf „Settings“.
3. Wählen Sie in der linken Seitenleiste „Password and authentication“.
4. Klicken Sie unter „Two-factor authentication“ auf „Enable two-factor authentication“.
5. Wählen Sie Authenticator-App (empfohlen) oder SMS.
6. Scannen Sie den QR-Code mit Ihrer Authenticator-App.
7. Laden Sie die Recovery Codes herunter und bewahren Sie sie sicher auf.
8. Klicken Sie auf „I have saved my recovery codes“ und dann auf „Enable two-factor authentication“.

GitHub unterstützt außerdem Hardware-Sicherheitsschlüssel (FIDO2) und GitHub Mobile als zweiten Faktor. Letzteres ist besonders komfortabel, wenn Sie die GitHub-App bereits auf Ihrem Smartphone nutzen.

FA aktivieren bei weiteren Diensten

Neben den bereits genannten Plattformen bieten auch viele weitere Dienste eine Zwei-Faktor-Authentifizierung an. Deshalb lohnt es sich, regelmäßig zu prüfen, ob Ihre genutzten Dienste 2FA unterstützen.

Weitere wichtige Dienste mit 2FA:

• Dropbox: Einstellungen → Sicherheit → Bestätigung in zwei Schritten → Aktivieren.
• LinkedIn: Einstellungen & Datenschutz → Anmeldung und Sicherheit → Zweistufige Überprüfung.
• X (ehemals Twitter): Einstellungen → Sicherheit und Datenschutz → Sicherheit → Zwei-Faktor-Authentifizierung. Hinweis: SMS-basierte 2FA ist bei X seit 2023 nur für zahlende Abonnenten verfügbar.
• Slack: Über die Workspace-Einstellungen oder das persönliche Konto unter „Sicherheit“ → „Zweistufige Authentifizierung“.
• Discord: Nutzereinstellungen → Mein Konto → Zwei-Faktor-Authentifizierung → Aktivieren.
• Nintendo Switch/Nintendo Account: Nintendo-Konto-Website → Anmelde- und Sicherheitseinstellungen → Bestätigung in zwei Schritten.
• Steam: Steam Guard unter Kontodetails → Steam Guard verwalten → Steam Guard Mobile Authenticator aktivieren.

In all diesen Fällen gilt: Wählen Sie, wenn möglich, eine Authenticator-App anstelle von SMS. Außerdem sollten Sie stets die angebotenen Backup-Codes oder Wiederherstellungsschlüssel sichern.

Für die meisten Nutzer ist eine Authenticator-App die empfohlene Lösung. Im Jahr 2026 stehen mehrere ausgereifte Apps zur Auswahl:

Google Authenticator (kostenlos, iOS/Android)

Der Google Authenticator ist einfach zu bedienen und weit verbreitet. Seit dem Update 2024 können Codes optional mit Ihrem Google-Konto synchronisiert werden. Das ist praktisch bei einem Gerätewechsel. Allerdings bedeutet die Cloud-Synchronisierung auch, dass die Codes mit Ihrem Google-Konto verknüpft sind – das sollten Sie bei der Sicherheitsbewertung berücksichtigen.

Microsoft Authenticator (kostenlos, iOS/Android)

Der Microsoft Authenticator bietet neben TOTP-Codes auch Push-Benachrichtigungen für Microsoft-Konten. Außerdem kann er als Passwort-Manager fungieren. Er ist besonders empfehlenswert, wenn Sie viele Microsoft-Dienste nutzen.

Authy von Twilio (kostenlos, iOS/Android/Desktop)

Authy ist eine besonders nutzerfreundliche Wahl. Die App unterstützt Multi-Gerät-Synchronisierung und bietet eine Desktop-Version für Windows und macOS. Dadurch können Sie Ihre Codes auch am Computer abrufen. Außerdem sind die Codes durch ein Passwort gesichert, was eine zusätzliche Schutzebene bietet.

FAS (kostenlos, Open Source, iOS/Android)

2FAS ist eine Open-Source-Alternative, die zunehmend an Beliebtheit gewinnt. Sie ist werbefrei, speichert keine Daten in der Cloud und gilt als besonders datenschutzfreundlich. Zudem gibt es eine Browser-Extension für Chrome und Firefox.

Backup-Codes: Der wichtigste Rettungsanker

Backup-Codes sind vorgenerierte Einmalcodes, die Sie bei der Einrichtung von 2FA erhalten. Jeder Code ist nur einmal verwendbar. Mit diesen Codes können Sie sich anmelden, wenn Sie Ihren zweiten Faktor verloren haben – etwa nach einem Smartphone-Verlust.

Empfohlene Vorgehensweise für Backup-Codes:

• Sofort sichern: Laden Sie die Backup-Codes direkt nach der 2FA-Einrichtung herunter.
• Offline aufbewahren: Drucken Sie die Codes aus oder schreiben Sie sie auf Papier. Bewahren Sie dieses Dokument an einem sicheren, physischen Ort auf.
• Nicht digital speichern: Backup-Codes im E-Mail-Postfach oder in der Cloud zu speichern schwächt den Schutz erheblich.
• Regelmäßig erneuern: Sobald Sie einen Backup-Code verwendet haben, erstellen Sie umgehend einen neuen Satz Codes.

Dienste wie Google, Facebook und Amazon stellen in der Regel zehn Backup-Codes zur Verfügung. Bei Microsoft heißt diese Option „Wiederherstellungscode“.

Empfohlene Vorgehensweisen für mehr Kontosicherheit

Die Aktivierung von 2FA ist ein wichtiger erster Schritt. Dennoch gibt es weitere Maßnahmen, die Ihre Sicherheit zusätzlich verbessern.

Verwenden Sie einen Passwort-Manager. Programme wie Bitwarden (kostenlos, Open Source), 1Password oder KeePassXC (kostenlos, lokal) helfen Ihnen, für jeden Dienst ein einzigartiges, starkes Passwort zu verwenden. Außerdem erleichtern sie die Verwaltung vieler Zugangsdaten erheblich.

Schützen Sie prioritär die wichtigsten Konten zuerst. Beginnen Sie mit Ihren E-Mail-Konten, denn diese dienen oft als Zurücksetzen-Adresse für alle anderen Dienste. Danach folgen Bankkonten, Cloud-Dienste und soziale Netzwerke.

Überprüfen Sie regelmäßig Ihre hinterlegten Sicherheitsinformationen. Telefonnummern und Backup-E-Mail-Adressen sollten stets aktuell sein. Veraltete Kontaktdaten können den Zugang zu Ihrer Zwei-Faktor-Authentifizierung blockieren.

Reagieren Sie sofort auf unbekannte Anmeldeversuche. Wenn Sie eine 2FA-Anfrage erhalten, die Sie nicht selbst ausgelöst haben, lehnen Sie diese ab und ändern Sie umgehend Ihr Passwort. Außerdem sollten Sie dann alle aktiven Sitzungen beenden.

Nutzen Sie Hardware-Sicherheitsschlüssel für besonders kritische Konten. Der YubiKey 5C NFC (erhältlich ab ca. 55 Euro) eignet sich für USB-C-Geräte und unterstützt NFC für Smartphones. Er ist kompatibel mit Google, Microsoft, Apple, GitHub, Facebook und vielen weiteren Diensten. Kaufen Sie stets zwei Schlüssel und registrieren Sie beide – einer dient als Reserve.

Deaktivieren Sie SMS als einzige 2FA-Methode, sobald Sie eine Authenticator-App eingerichtet haben. SMS kann als Backup-Option verbleiben, sollte aber nicht die einzige Absicherung sein.

Häufige Fehler bei der 2FA-Einrichtung – und wie Sie diese vermeiden

Viele Nutzer begehen bei der Einrichtung typische Fehler, die den Schutz deutlich schwächen oder im schlimmsten Fall zum Ausschluss aus dem eigenen Konto führen. Deshalb sollten Sie folgende Stolpersteine kennen:

Fehler 1: Keine Backup-Codes gesichert. Das ist der häufigste Fehler. Ohne Backup-Codes sind Sie bei einem Geräteverlust auf den Kundendienst angewiesen – ein zeitaufwendiger und teils unsicherer Prozess. Deshalb: Backup-Codes immer sofort nach der Aktivierung sichern.

Fehler 2: Nur SMS als zweiten Faktor hinterlegt. SMS ist besser als nichts, jedoch anfällig für SIM-Swapping. Außerdem funktioniert SMS ohne Mobilfunkempfang nicht. Deshalb: Immer zusätzlich eine Authenticator-App einrichten.

Fehler 3: Veraltete Telefonnummer hinterlegt. Bei einem Rufnummernwechsel vergessen viele Nutzer, die hinterlegte Nummer in ihren Sicherheitseinstellungen zu aktualisieren. Deshalb: Nach jedem Rufnummernwechsel sofort alle Konten aktualisieren.

Fehler 4: Authenticator-App nicht gesichert. Wenn Sie Ihr Smartphone verlieren und die Authenticator-App kein Cloud-Backup hat, sind alle gespeicherten Konten unzugänglich. Deshalb: Entweder eine App mit Cloud-Sync (Authy, Google Authenticator) nutzen oder bei der Einrichtung den Original-QR-Code zusätzlich speichern.

Fehler 5: Codes falsch synchronisiert. Wenn Ihre Smartphone-Uhr nicht korrekt eingestellt ist, stimmen die generierten TOTP-Codes nicht. Deshalb: Stellen Sie sicher, dass Ihr Smartphone die Uhrzeit automatisch synchronisiert. In den meisten Authenticator-Apps gibt es zudem eine manuelle Zeitkorrektur-Funktion.

Fehler 6: Gleiche Authenticator-App für alle Konten auf einem Gerät. Wenn Ihr Smartphone verloren geht oder gestohlen wird und keine Backup-Methode vorhanden ist, verlieren Sie den Zugang zu allen Konten gleichzeitig. Deshalb: Immer mindestens eine zweite Backup-Methode pro Konto einrichten.

Kann ich 2FA auch ohne Smartphone nutzen?

Ja, das ist möglich. Einerseits gibt es Desktop-Versionen von Authenticator-Apps wie Authy für Windows und macOS. Andererseits können Sie einen Hardware-Sicherheitsschlüssel wie den YubiKey nutzen, der per USB mit Ihrem Computer verbunden wird. Außerdem bieten manche Dienste auch E-Mail-basierte Codes als Alternative an.

Was passiere ich, wenn ich mein Smartphone verliere?

In diesem Fall sind Ihre Backup-Codes entscheidend. Wenn Sie diese sicher aufbewahrt haben, können Sie sich damit anmelden und anschließend einen neuen zweiten Faktor einrichten. Falls Sie keine Backup-Codes haben, müssen Sie den Kundendienst des jeweiligen Dienstes kontaktieren und Ihre Identität per Ausweisdokument nachweisen.

Ist 2FA per SMS sicher genug?

SMS-basierte 2FA ist besser als gar kein zweiter Faktor. Jedoch ist sie anfällig für SIM-Swapping und Angriffe auf das SS7-Protokoll. Deshalb empfiehlt das BSI, möglichst eine Authenticator-App oder einen Hardware-Sicherheitsschlüssel zu verwenden. SMS sollte nur als Notfall-Rückfallmethode dienen.

Verlangsamt 2FA das Einloggen?

Kurzfristig ja – Sie benötigen zusätzlich einige Sekunden für den zweiten Faktor. Allerdings gilt: Viele Dienste merken sich vertrauenswürdige Geräte für 30 bis 90 Tage. Dadurch müssen Sie den zweiten Faktor auf Ihren eigenen Geräten nur selten eingeben. Auf unbekannten Geräten oder nach einem Browser-Cache-Löschen wird der Code jedoch erneut verlangt.

Kann ein Angreifer meine 2FA-Codes abfangen?

Codes aus einer Authenticator-App lassen sich deutlich schwerer abfangen als SMS. Dennoch gibt es sogenannte Echtzeit-Phishing-Angriffe: Dabei wird das Opfer auf eine gefälschte Login-Seite gelockt, die Code und Anmeldedaten in Echtzeit an Angreifer weiterleitet. Deshalb gelten Hardware-Sicherheitsschlüssel (FIDO2) als phishing-resistent – sie funktionieren nur auf der echten Website des Dienstes.

Muss ich 2FA bei jedem Login eingeben?

Nein, nicht zwangsläufig. Die meisten Dienste bieten die Option, ein Gerät als „vertrauenswürdig“ zu markieren. Dann wird der zweite Faktor auf diesem Gerät nur bei ungewöhnlichen Anmeldeversuchen oder nach einer definierten Frist erneut abgefragt. Auf unbekannten Geräten oder in fremden Browsern ist der zweite Faktor jedoch stets erforderlich.

Was ist der Unterschied zwischen 2FA und MFA?

2FA (Zwei-Faktor-Authentifizierung) verwendet exakt zwei Faktoren. MFA (Multi-Faktor-Authentifizierung) ist der übergeordnete Begriff und kann drei oder mehr Faktoren umfassen. In der Praxis meinen beide Begriffe jedoch meist dasselbe Verfahren, da die meisten Dienste zwei Faktoren verlangen. Unternehmen nutzen MFA häufig im Unternehmensumfeld mit Microsoft 365 oder Google Workspace.

Funktioniert 2FA auch ohne Internetverbindung?

Ja, jedenfalls für Authenticator-Apps. Die zeitbasierten Codes (TOTP) werden lokal auf Ihrem Smartphone generiert und benötigen dafür keine Internetverbindung. Allerdings braucht Ihr Smartphone die korrekte Systemzeit, da die Codes zeitabhängig sind. SMS-Codes hingegen erfordern Mobilfunkempfang. Hardware-Schlüssel funktionieren ebenfalls ohne Internetverbindung.

Wie richte ich 2FA auf einem neuen Smartphone ein?

Bei einem Gerätewechsel gehen App-basierte Codes nicht automatisch auf das neue Gerät über. Empfehlenswert ist deshalb Folgendes: Entweder nutzen Sie eine App mit Cloud-Backup wie Authy oder Google Authenticator (mit aktivierter Google-Kontosynchronisierung). Oder Sie scannen den Original-QR-Code in Ihrem Konto erneut. Bei manchen Diensten können Sie außerdem bestehende App-Codes im Sicherheitsbereich Ihres Kontos entfernen und neu hinzufügen.

Sollte ich 2FA für alle meine Konten aktivieren?

Grundsätzlich ja – zumindest für alle Konten, die sensible Daten, Zahlungsinformationen oder persönliche Kommunikation enthalten. Starten Sie mit E-Mail, Cloud-Diensten, sozialen Netzwerken und Banking. Diese Konten sind am häufigsten Ziel von Angriffen. Anschließend können Sie weitere Dienste nach und nach absichern.

Fazit

Die Zwei-Faktor-Authentifizierung ist eine der wirksamsten Maßnahmen zum Schutz Ihrer Online-Konten. Dabei lohnt sich der geringe Einrichtungsaufwand in jedem Fall – insbesondere für Google, Apple, Microsoft, Facebook, Instagram, WhatsApp und Amazon. Empfehlenswert ist eine Authenticator-App wie Authy oder Microsoft Authenticator.

Beginnen Sie noch heute mit der Aktivierung und sichern Sie unbedingt Ihre Backup-Codes. Wer seine Konten jetzt absichert, schützt damit nicht nur seine Daten, sondern auch seine digitale Identität zuverlässig vor unbefugtem Zugriff.