Zwei-Faktor-Authentifizierung in Windows 11 und 10 einrichten: Schützen Sie Ihr Microsoft-Konto zuverlässig – mit unserer Schritt-für-Schritt-Anleitung.
Die Zwei-Faktor-Authentifizierung (2FA) schützt Ihr Windows-Konto zuverlässig vor unbefugtem Zugriff – selbst wenn Ihr Passwort gestohlen wurde. In Windows 11 und Windows 10 lässt sich die 2FA über das Microsoft-Konto, Windows Hello oder Authenticator-Apps aktivieren.
Dieser Artikel erklärt Ihnen Schritt für Schritt, wie Sie die Zwei-Faktor-Authentifizierung einrichten, welche Methoden es gibt und worauf Sie achten sollten.
Was ist Zwei-Faktor-Authentifizierung – und warum ist sie so wichtig?
Zwei-Faktor-Authentifizierung bedeutet, dass Sie sich bei einem Konto mit zwei unabhängigen Nachweisen identifizieren müssen. Dabei handelt es sich üblicherweise um etwas, das Sie wissen (Ihr Passwort), und etwas, das Sie besitzen (z. B. Ihr Smartphone). Zusätzlich gibt es biometrische Faktoren wie Ihren Fingerabdruck oder Ihr Gesicht.
Allein im Jahr 2025 wurden weltweit Milliarden von Zugangsdaten bei Datenpannen entwendet. Deshalb reicht ein starkes Passwort allein heute nicht mehr aus. Außerdem sind sogenannte Credential-Stuffing-Angriffe auf dem Vormarsch – dabei probieren Angreifer automatisch gestohlene Passwörter aus anderen Lecks an verschiedenen Diensten aus. Mit einer aktivierten Zwei-Faktor-Authentifizierung scheitern solche Angriffe jedoch zuverlässig, weil der zweite Faktor fehlt.
Besonders für Windows-Nutzer ist das relevant, da ein Microsoft-Konto mit OneDrive, Outlook, Microsoft 365 und dem Microsoft Store verknüpft ist. Wer also Zugriff auf Ihr Konto erhält, kann im schlimmsten Fall auf all Ihre Daten, E-Mails und Dokumente zugreifen. Deshalb sollten Sie die Zwei-Faktor-Authentifizierung in Windows 11 und 10 unbedingt aktivieren.
Welche Methoden gibt es für die Zwei-Faktor-Authentifizierung in Windows?
Grundsätzlich stehen Ihnen für Ihr Microsoft-Konto und Windows-System mehrere Möglichkeiten zur Verfügung. Jede Methode hat dabei ihre eigenen Vor- und Nachteile.
Authenticator-App (empfohlen)
Die Microsoft Authenticator App ist die empfohlene Vorgehensweise für die meisten Nutzer. Die App ist kostenlos für Android und iOS erhältlich und erzeugt alle 30 Sekunden einen neuen, sechsstelligen Code – einen sogenannten TOTP-Code (Time-based One-Time Password). Außerdem bietet sie eine komfortable Bestätigungsbenachrichtigung, bei der Sie die Anmeldung per Tippen auf Ihrem Smartphone genehmigen.
SMS/Telefon-Verifizierung
Als Alternative können Sie eine Telefonnummer hinterlegen. Bei der Anmeldung erhalten Sie dann einen Code per SMS oder Anruf. Diese Methode ist zwar bequem, jedoch weniger sicher als eine App. Denn sogenannte SIM-Swapping-Angriffe können dazu missbraucht werden, Ihre Telefonnummer zu kapern und so den SMS-Code abzufangen.
E-Mail-Verifizierung
Ebenso ist es möglich, einen Code an eine alternative E-Mail-Adresse senden zu lassen. Diese Methode ist jedoch nur dann sinnvoll, wenn das E-Mail-Konto selbst durch eine 2FA gesichert ist. Andernfalls entsteht lediglich eine scheinbare Sicherheit.
Hardware-Sicherheitsschlüssel (FIDO2)
Für besonders hohe Sicherheitsanforderungen empfiehlt sich ein FIDO2-Hardware-Schlüssel wie der YubiKey 5 NFC von Yubico. Dabei stecken Sie einen kleinen USB-Stick in Ihren Computer und bestätigen die Anmeldung durch Berühren des Geräts. Diese Methode ist nahezu phishing-sicher und deshalb besonders für Unternehmensumgebungen oder sicherheitsbewusste Privatnutzer geeignet.
Windows Hello (Biometrie)
Windows Hello ist Microsofts biometrisches Anmeldesystem und in Windows 10 sowie Windows 11 integriert. Es ermöglicht die Anmeldung per Fingerabdruck, Gesichtserkennung oder PIN. Zwar gilt Windows Hello allein technisch nicht als klassische 2FA, jedoch ist es in Kombination mit einem Microsoft-Konto und einer aktivierten zweistufigen Verifizierung ein wichtiger Teil eines umfassenden Sicherheitskonzepts.
Zwei-Faktor-Authentifizierung für das Microsoft-Konto aktivieren
Um die Zwei-Faktor-Authentifizierung in Windows 11 oder Windows 10 zu nutzen, müssen Sie zunächst die zweistufige Verifizierung für Ihr Microsoft-Konto einrichten. Das Microsoft-Konto ist dabei die zentrale Schaltstelle.
Schritt 1: Microsoft-Konto-Seite aufrufen
Öffnen Sie zunächst einen Browser und gehen Sie zu account.microsoft.com. Melden Sie sich dort mit Ihrer E-Mail-Adresse und Ihrem Passwort an.
Schritt 2: Sicherheitseinstellungen öffnen
Klicken Sie nach der Anmeldung oben im Menü auf „Sicherheit“. Anschließend wählen Sie „Erweiterte Sicherheitsoptionen“. Dort sehen Sie eine Übersicht aller aktiven Verifizierungsmethoden und können neue hinzufügen.
Schritt 3: Zweistufige Verifizierung aktivieren
Scrollen Sie zum Abschnitt „Zweistufige Überprüfung“ und klicken Sie auf „Aktivieren“. Daraufhin startet ein Assistent, der Sie durch die Einrichtung führt. Folgen Sie den Anweisungen auf dem Bildschirm.
Schritt 4: Zweiten Faktor festlegen
Jetzt wählen Sie Ihre bevorzugte Methode. Empfohlen ist die Microsoft Authenticator App. Falls Sie diese noch nicht installiert haben, laden Sie sie kostenlos im Google Play Store oder im Apple App Store herunter. Öffnen Sie die App auf Ihrem Smartphone, tippen Sie auf das „+“-Symbol und wählen Sie „Geschäfts-, Schul- oder anderes Konto“. Scannen Sie anschließend den QR-Code, der auf dem Bildschirm Ihres Computers erscheint. Die Verbindung wird damit automatisch hergestellt.
Schritt 5: Wiederherstellungscodes speichern
Sehr wichtig: Microsoft zeigt Ihnen nach der Aktivierung Wiederherstellungscodes an. Notieren Sie diese und bewahren Sie sie an einem sicheren Ort auf – beispielsweise in einem verschlüsselten Passwort-Manager wie Bitwarden oder 1Password. Denn wenn Sie Zugang zu Ihrem Smartphone verlieren, können Sie sich nur noch mit diesen Codes anmelden.
Windows Hello einrichten – die biometrische Anmeldung
Windows Hello ist in Windows 10 ab Version 1903 und in Windows 11 vollständig integriert. Die Einrichtung ist einfach und dauert nur wenige Minuten.
Windows Hello in Windows 11 einrichten
- Öffnen Sie die Einstellungen über das Startmenü (Zahnrad-Symbol oder die Tastenkombination Windows + I).
- Navigieren Sie zu „Konten“ und wählen Sie dann „Anmeldeoptionen“.
- Unter dem Abschnitt „Möglichkeiten zur Anmeldung“ sehen Sie die verfügbaren Windows Hello-Methoden: Gesichtserkennung, Fingerabdruck und PIN.
- Klicken Sie auf die gewünschte Methode und folgen Sie dem Einrichtungsassistenten.
Für die Gesichtserkennung benötigen Sie eine kompatible Infrarotkamera (IR-Kamera). Außerdem müssen Sie ein Passwort oder eine PIN als Fallback-Option hinterlegen.
Windows Hello in Windows 10 einrichten
Der Vorgang in Windows 10 ist nahezu identisch:
- Öffnen Sie Einstellungen (Windows + I).
- Gehen Sie zu „Konten“ → „Anmeldeoptionen“.
- Wählen Sie die gewünschte Methode unter „Windows Hello“ und klicken Sie auf „Einrichten“.
Beachten Sie: Für Windows Hello in Windows 10 benötigen Sie zwingend ein Microsoft-Konto oder ein Azure Active Directory-Konto (in Unternehmen). Lokale Konten werden zwar unterstützt, bieten jedoch eingeschränkte Funktionen.
FIDO2-Sicherheitsschlüssel einrichten – maximale Sicherheit
Für diejenigen, die höchste Sicherheitsanforderungen haben, ist ein FIDO2-Sicherheitsschlüssel die empfohlene Vorgehensweise. Dieser Hardware-Token ersetzt das Passwort vollständig oder dient als zweiter Faktor.
Empfohlener Sicherheitsschlüssel: YubiKey 5 NFC
Der YubiKey 5 NFC von Yubico ist derzeit einer der meistgenutzten und zuverlässigsten FIDO2-Schlüssel auf dem Markt. Er unterstützt USB-A, NFC und ist mit Windows 10 sowie Windows 11 kompatibel. Der Preis liegt bei etwa 55–65 Euro. Ebenso bietet Yubico den YubiKey 5C NFC für USB-C-Anschlüsse an – ideal für moderne Laptops.
FIDO2-Schlüssel für das Microsoft-Konto einrichten
- Gehen Sie auf account.microsoft.com → „Sicherheit“ → „Erweiterte Sicherheitsoptionen“.
- Klicken Sie unter „Windows Hello und Sicherheitsschlüssel“ auf „Sicherheitsschlüssel einrichten“.
- Schließen Sie Ihren YubiKey an den USB-Anschluss an.
- Folgen Sie den Anweisungen und vergeben Sie eine PIN für den Schlüssel.
- Berühren Sie abschließend den goldenen Kontaktbereich des YubiKey, um die Einrichtung abzuschließen.
Danach können Sie sich bei Microsoft-Diensten einfach durch Einstecken des Schlüssels und Berühren des Sensors anmelden – ohne Passwort eingeben zu müssen.
Passwortlose Anmeldung in Windows 11 aktivieren
Windows 11 bietet eine besondere Funktion: die vollständig passwortlose Anmeldung. Das bedeutet, dass Sie sich nur noch per Windows Hello, Authenticator-App oder Sicherheitsschlüssel anmelden – ganz ohne klassisches Passwort.
So aktivieren Sie die passwortlose Anmeldung
- Gehen Sie auf account.microsoft.com → „Sicherheit“ → „Erweiterte Sicherheitsoptionen“.
- Scrollen Sie zum Abschnitt „Passwortloses Konto“ und klicken Sie auf „Aktivieren“.
- Bestätigen Sie die Aktion in der Microsoft Authenticator App auf Ihrem Smartphone.
Damit ist die passwortlose Anmeldung aktiviert. Außerdem empfiehlt Microsoft selbst, diese Funktion zu nutzen, da Passwörter häufig der schwächste Punkt in der Kontosicherheit sind. Durch den Wegfall des Passworts eliminieren Sie zudem das Risiko, dass Ihr Kennwort kompromittiert wird.
Zwei-Faktor-Authentifizierung für lokale Windows-Konten
Viele Nutzer verwenden in Windows 10 oder Windows 11 ein lokales Konto statt eines Microsoft-Kontos. Für lokale Konten steht die klassische zweistufige Verifizierung über Microsoft leider nicht direkt zur Verfügung. Dennoch gibt es sinnvolle Alternativen.
Option 1: Umstieg auf ein Microsoft-Konto
Die einfachste Lösung ist der Wechsel zu einem Microsoft-Konto. Damit erhalten Sie Zugriff auf alle 2FA-Funktionen. Den Wechsel führen Sie über Einstellungen → „Konten“ → „Ihre Infos“ → „Stattdessen mit einem Microsoft-Konto anmelden“ durch.
Option 2: Windows Hello PIN
Auch für lokale Konten können Sie eine Windows Hello PIN einrichten. Diese PIN ist gerätespezifisch und wird nicht im Netzwerk übertragen. Sie ist daher sicherer als ein gewöhnliches Passwort, da sie ohne Internetverbindung funktioniert und nur auf Ihrem Gerät gilt.
Option 3: Drittanbieter-Software
Für Unternehmensumgebungen gibt es spezialisierte Software wie Duo Security von Cisco oder Silverfort, die eine Multi-Faktor-Authentifizierung auch für lokale Windows-Anmeldungen ermöglichen. Diese Tools sind jedoch primär für den Unternehmenseinsatz konzipiert und erfordern eine entsprechende Konfiguration durch IT-Administratoren.
Drittanbieter-Authenticator-Apps im Vergleich
Neben der Microsoft Authenticator App stehen Ihnen weitere Authenticator-Apps zur Verfügung. Jede bietet dabei unterschiedliche Funktionen.
Microsoft Authenticator
Die Microsoft Authenticator App ist optimal für Microsoft-Konten geeignet, da sie Push-Benachrichtigungen und die passwortlose Anmeldung unterstützt. Außerdem bietet sie eine Cloud-Sicherung der Kontodaten – allerdings nur für Nicht-Microsoft-Konten.
Google Authenticator
Der Google Authenticator ist eine einfache, werbungsfreie App, die TOTP-Codes für nahezu alle Dienste generiert. Seit 2023 bietet die App zudem eine optionale Kontosynchronisierung über ein Google-Konto an. Für Microsoft-Konten ist sie jedoch eingeschränkter als die Microsoft-eigene App.
Authy (von Twilio)
Authy ist besonders dann empfehlenswert, wenn Sie Ihre Authenticator-Daten auf mehreren Geräten nutzen möchten. Die App ermöglicht eine verschlüsselte Cloud-Sicherung und läuft auf Android, iOS, Windows und macOS. Deshalb ist Authy eine gute Wahl, wenn Sie häufig das Gerät wechseln.
Aegis Authenticator (Android, Open Source)
Aegis ist eine kostenlose, quelloffene Authenticator-App ausschließlich für Android. Sie unterstützt TOTP und HOTP, bietet eine verschlüsselte lokale Sicherung und erlaubt den Export in andere Apps. Für datenschutzbewusste Nutzer ist Aegis deshalb besonders empfehlenswert.
Tipps für mehr Sicherheit bei der Zwei-Faktor-Authentifizierung
Die Aktivierung der 2FA ist ein wichtiger Schritt. Zusätzlich sollten Sie jedoch einige weitere Punkte beachten, um Ihr Konto optimal zu schützen.
Verwenden Sie einen Passwort-Manager. Starke, einzigartige Passwörter in Kombination mit 2FA bieten den besten Schutz. Empfehlenswert sind Bitwarden (kostenlos und Open Source) oder 1Password (kostenpflichtig, sehr benutzerfreundlich).
Sichern Sie Ihre Wiederherstellungscodes. Bewahren Sie diese Codes offline – zum Beispiel auf Papier in einem Tresor oder in einem verschlüsselten USB-Stick – auf. Denn wenn Sie Ihr Smartphone verlieren, sind diese Codes Ihr einziger Rettungsanker.
Aktualisieren Sie Ihre Sicherheitsinformationen regelmäßig. Überprüfen Sie Ihr Microsoft-Konto alle paar Monate auf veraltete Telefonnummern oder E-Mail-Adressen. Außerdem sollten Sie inaktive Anmeldemethoden entfernen.
Misstrauen Sie Phishing-Mails. Selbst mit aktivierter 2FA können Sie Opfer von Real-Time-Phishing werden, bei dem Angreifer Ihren Einmalcode in Echtzeit abgreifen. Deshalb empfiehlt sich die Verwendung eines FIDO2-Schlüssels, der gegen Phishing nahezu immun ist.
Prüfen Sie aktive Sitzungen regelmäßig. Unter account.microsoft.com → „Sicherheit“ → „Anmeldeaktivität“ sehen Sie alle letzten Anmeldungen. Unbekannte Anmeldungen sollten Sie umgehend melden und Ihr Passwort ändern.
Zwei-Faktor-Authentifizierung in Windows 11 vs. Windows 10 – die wichtigsten Unterschiede
Grundsätzlich sind die Möglichkeiten zur 2FA in beiden Systemen sehr ähnlich. Dennoch gibt es einige Unterschiede, die für die Wahl des richtigen Systems relevant sein können.
Windows 11 bietet eine tiefere Integration von Windows Hello und unterstützt die vollständig passwortlose Anmeldung direkt über die Systemeinstellungen. Ebenso wurde die FIDO2-Unterstützung in Windows 11 weiter verbessert und ermöglicht eine reibungslosere Einrichtung von Sicherheitsschlüsseln. Zusätzlich unterstützt Windows 11 den Windows Credential Guard standardmäßig auf kompatiblen Geräten, was den Diebstahl von Anmeldedaten im Hintergrund erschwert.
Windows 10 unterstützt ebenfalls Windows Hello und FIDO2, jedoch ist die Benutzeroberfläche weniger einheitlich und einige Funktionen sind tiefer in den Einstellungen vergraben. Außerdem endet der offizielle Support für Windows 10 am 14. Oktober 2025 – Microsoft stellt ab diesem Datum keine Sicherheitsupdates mehr bereit. Deshalb empfiehlt es sich, baldmöglichst auf Windows 11 zu aktualisieren, um auch langfristig von Sicherheitsverbesserungen zu profitieren.
Was tun, wenn Sie keinen Zugang mehr zum zweiten Faktor haben?
Es kann vorkommen, dass Sie Ihr Smartphone verlieren, eine neue Telefonnummer erhalten oder Ihre Authenticator-App nicht mehr funktioniert. In solchen Fällen gibt es mehrere Möglichkeiten, wieder Zugang zu Ihrem Konto zu erhalten.
Wiederherstellungscodes verwenden: Falls Sie beim Einrichten der 2FA Wiederherstellungscodes gespeichert haben, geben Sie diese auf der Microsoft-Anmeldeseite ein. Klicken Sie dazu auf „Andere Möglichkeiten zur Anmeldung“ → „Wiederherstellungscode verwenden“.
Alternative Verifizierungsmethode: Falls Sie mehrere Methoden hinterlegt haben (z. B. sowohl App als auch SMS), wählen Sie einfach die alternative Methode aus.
Microsoft-Kontowiederherstellung: Falls keine dieser Optionen verfügbar ist, starten Sie den Kontowiederherstellungsprozess unter account.live.com/acsr. Dabei müssen Sie Ihre Identität durch Angabe von Kontoinformationen nachweisen. Dieser Prozess kann mehrere Tage dauern, deshalb ist die Sicherung von Wiederherstellungscodes so wichtig.
Häufige Fragen zur Zwei-Faktor-Authentifizierung in Windows
Ist die Zwei-Faktor-Authentifizierung in Windows 11 und 10 kostenlos?
Ja, die Zwei-Faktor-Authentifizierung für Microsoft-Konten ist vollständig kostenlos. Ebenso sind die empfohlenen Apps wie Microsoft Authenticator, Google Authenticator und Authy kostenlos erhältlich. Nur für Hardware-Sicherheitsschlüssel wie den YubiKey entstehen einmalige Anschaffungskosten.
Muss ich für die 2FA ein Microsoft-Konto haben?
Für die klassische zweistufige Verifizierung über Microsoft ist ein Microsoft-Konto erforderlich. Windows Hello mit PIN funktioniert jedoch auch mit lokalen Konten. Für Unternehmensumgebungen gibt es zudem Drittanbieter-Lösungen, die eine 2FA ohne Microsoft-Konto ermöglichen.
Was ist der Unterschied zwischen 2FA und MFA?
2FA (Zwei-Faktor-Authentifizierung) ist eine spezifische Form der MFA (Multi-Faktor-Authentifizierung), bei der genau zwei Faktoren verwendet werden. MFA ist der Oberbegriff und kann auch drei oder mehr Faktoren einschließen. Beide Begriffe werden im Alltag jedoch häufig synonym verwendet.
Kann ich mehrere Verifizierungsmethoden gleichzeitig hinterlegen?
Ja, das ist ausdrücklich empfohlen. Hinterlegen Sie sowohl eine Authenticator-App als auch eine Telefonnummer als Backup. Zusätzlich sollten Sie Wiederherstellungscodes abspeichern. Dadurch haben Sie immer eine Alternative, falls eine Methode nicht verfügbar ist.
Was passiert, wenn ich mein Smartphone verliere?
In diesem Fall können Sie sich mit Ihren Wiederherstellungscodes, einer alternativen Verifizierungsmethode (z. B. SMS) oder über die Microsoft-Kontowiederherstellung anmelden. Deshalb ist es so wichtig, von Anfang an mehrere Methoden einzurichten und die Wiederherstellungscodes sicher aufzubewahren.
Ist die SMS-Verifizierung sicher genug?
SMS-Verifizierung ist deutlich sicherer als gar keine 2FA. Sie ist jedoch anfällig für SIM-Swapping-Angriffe und SS7-Schwachstellen. Deshalb sollten Sie, wann immer möglich, eine Authenticator-App oder einen FIDO2-Schlüssel bevorzugen.
Kann ich Windows Hello als alleinige 2FA nutzen?
Windows Hello ersetzt das Passwort auf Geräteebene durch Biometrie oder PIN. In Kombination mit einem Microsoft-Konto, für das die zweistufige Verifizierung aktiviert ist, ergibt sich ein umfassendes Sicherheitskonzept. Windows Hello allein gilt technisch jedoch nicht als vollständige 2FA, sondern als starke Einzelanmeldung.
Wie sicher ist die Microsoft Authenticator App?
Die Microsoft Authenticator App gilt als sehr sicher. Sie speichert die geheimen Schlüssel verschlüsselt auf Ihrem Gerät und verwendet das TOTP-Verfahren nach RFC 6238. Außerdem bietet sie Push-Benachrichtigungen mit Standort- und Geräteinformationen, sodass Sie verdächtige Anmeldeversuche sofort erkennen können.
Kann ich die 2FA auch wieder deaktivieren?
Ja, das ist technisch möglich. Sie können die zweistufige Verifizierung unter account.microsoft.com → „Sicherheit“ → „Erweiterte Sicherheitsoptionen“ deaktivieren. Allerdings ist das ausdrücklich nicht empfohlen, da Sie damit Ihren Kontoschutz erheblich reduzieren.
Funktioniert die Zwei-Faktor-Authentifizierung auch ohne Internetverbindung?
TOTP-Codes (z. B. aus der Microsoft Authenticator App) werden lokal auf dem Gerät generiert und benötigen keine Internetverbindung. Sie sind also auch offline verfügbar. Lediglich Push-Benachrichtigungen und SMS-Codes erfordern eine aktive Verbindung.
Fazit
Die Zwei-Faktor-Authentifizierung ist in Windows 11 und Windows 10 schnell eingerichtet und bietet einen erheblichen Sicherheitsgewinn. Empfohlen ist die Kombination aus Microsoft-Konto-2FA und der Microsoft Authenticator App – für maximale Sicherheit ergänzt durch einen YubiKey 5 NFC.
Sichern Sie außerdem Ihre Wiederherstellungscodes und hinterlegen Sie mehrere Verifizierungsmethoden. So schützen Sie Ihr Windows-System zuverlässig vor unberechtigtem Zugriff.