Zwei-Faktor-Authentifizierung in Windows 11 und 10 einrichten: Schützen Sie Ihr Microsoft-Konto zuverlässig – mit unserer Schritt-für-Schritt-Anleitung.
Die Zwei-Faktor-Authentifizierung (2FA) schützt Ihr Windows-Konto zuverlässig vor unbefugtem Zugriff – selbst wenn Ihr Passwort gestohlen wurde. In Windows 11 und Windows 10 lässt sich die 2FA über das Microsoft-Konto, Windows Hello oder Authenticator-Apps aktivieren.
Dieser Artikel erklärt Ihnen Schritt für Schritt, wie Sie die Zwei-Faktor-Authentifizierung einrichten, welche Methoden es gibt und worauf Sie achten sollten.
Was ist Zwei-Faktor-Authentifizierung – und warum ist sie so wichtig?
Zwei-Faktor-Authentifizierung bedeutet, dass Sie sich bei einem Konto mit zwei unabhängigen Nachweisen identifizieren müssen. Dabei handelt es sich üblicherweise um etwas, das Sie wissen (Ihr Passwort), und etwas, das Sie besitzen (z. B. Ihr Smartphone). Zusätzlich gibt es biometrische Faktoren wie Ihren Fingerabdruck oder Ihr Gesicht.
Allein im Jahr 2025 wurden weltweit Milliarden von Zugangsdaten bei Datenpannen entwendet. Deshalb reicht ein starkes Passwort allein heute nicht mehr aus. Außerdem sind sogenannte Credential-Stuffing-Angriffe auf dem Vormarsch – dabei probieren Angreifer automatisch gestohlene Passwörter aus anderen Lecks an verschiedenen Diensten aus. Mit einer aktivierten Zwei-Faktor-Authentifizierung scheitern solche Angriffe jedoch zuverlässig, weil der zweite Faktor fehlt.
Besonders für Windows-Nutzer ist das relevant, da ein Microsoft-Konto mit OneDrive, Outlook, Microsoft 365 und dem Microsoft Store verknüpft ist. Wer also Zugriff auf Ihr Konto erhält, kann im schlimmsten Fall auf all Ihre Daten, E-Mails und Dokumente zugreifen. Deshalb sollten Sie die Zwei-Faktor-Authentifizierung in Windows 11 und 10 unbedingt aktivieren.
Welche Methoden gibt es für die Zwei-Faktor-Authentifizierung in Windows?
Grundsätzlich stehen Ihnen für Ihr Microsoft-Konto und Windows-System mehrere Möglichkeiten zur Verfügung. Jede Methode hat dabei ihre eigenen Vor- und Nachteile.
Authenticator-App (empfohlen)
Die Microsoft Authenticator App ist die empfohlene Vorgehensweise für die meisten Nutzer. Die App ist kostenlos für Android und iOS erhältlich und erzeugt alle 30 Sekunden einen neuen, sechsstelligen Code – einen sogenannten TOTP-Code (Time-based One-Time Password). Außerdem bietet sie eine komfortable Bestätigungsbenachrichtigung, bei der Sie die Anmeldung per Tippen auf Ihrem Smartphone genehmigen.
SMS/Telefon-Verifizierung
Als Alternative können Sie eine Telefonnummer hinterlegen. Bei der Anmeldung erhalten Sie dann einen Code per SMS oder Anruf. Diese Methode ist zwar bequem, jedoch weniger sicher als eine App. Denn sogenannte SIM-Swapping-Angriffe können dazu missbraucht werden, Ihre Telefonnummer zu kapern und so den SMS-Code abzufangen.
E-Mail-Verifizierung
Ebenso ist es möglich, einen Code an eine alternative E-Mail-Adresse senden zu lassen. Diese Methode ist jedoch nur dann sinnvoll, wenn das E-Mail-Konto selbst durch eine 2FA gesichert ist. Andernfalls entsteht lediglich eine scheinbare Sicherheit.
Hardware-Sicherheitsschlüssel (FIDO2)
Für besonders hohe Sicherheitsanforderungen empfiehlt sich ein FIDO2-Hardware-Schlüssel wie der YubiKey 5 NFC von Yubico. Dabei stecken Sie einen kleinen USB-Stick in Ihren Computer und bestätigen die Anmeldung durch Berühren des Geräts. Diese Methode ist nahezu phishing-sicher und deshalb besonders für Unternehmensumgebungen oder sicherheitsbewusste Privatnutzer geeignet.
Windows Hello (Biometrie)
Windows Hello ist Microsofts biometrisches Anmeldesystem und in Windows 10 sowie Windows 11 integriert. Es ermöglicht die Anmeldung per Fingerabdruck, Gesichtserkennung oder PIN. Zwar gilt Windows Hello allein technisch nicht als klassische 2FA, jedoch ist es in Kombination mit einem Microsoft-Konto und einer aktivierten zweistufigen Verifizierung ein wichtiger Teil eines umfassenden Sicherheitskonzepts.
Zwei-Faktor-Authentifizierung für das Microsoft-Konto aktivieren
Um die Zwei-Faktor-Authentifizierung in Windows 11 oder Windows 10 zu nutzen, müssen Sie zunächst die zweistufige Verifizierung für Ihr Microsoft-Konto einrichten. Das Microsoft-Konto ist dabei die zentrale Schaltstelle.
Schritt 1: Microsoft-Konto-Seite aufrufen
Öffnen Sie zunächst einen Browser und gehen Sie zu account.microsoft.com. Melden Sie sich dort mit Ihrer E-Mail-Adresse und Ihrem Passwort an.
Schritt 2: Sicherheitseinstellungen öffnen
Klicken Sie nach der Anmeldung oben im Menü auf „Sicherheit“. Anschließend wählen Sie „Erweiterte Sicherheitsoptionen“. Dort sehen Sie eine Übersicht aller aktiven Verifizierungsmethoden und können neue hinzufügen.
Schritt 3: Zweistufige Verifizierung aktivieren
Scrollen Sie zum Abschnitt „Zweistufige Überprüfung“ und klicken Sie auf „Aktivieren“. Daraufhin startet ein Assistent, der Sie durch die Einrichtung führt. Folgen Sie den Anweisungen auf dem Bildschirm.
Schritt 4: Zweiten Faktor festlegen
Jetzt wählen Sie Ihre bevorzugte Methode. Empfohlen ist die Microsoft Authenticator App. Falls Sie diese noch nicht installiert haben, laden Sie sie kostenlos im Google Play Store oder im Apple App Store herunter. Öffnen Sie die App auf Ihrem Smartphone, tippen Sie auf das „+“-Symbol und wählen Sie „Geschäfts-, Schul- oder anderes Konto“. Scannen Sie anschließend den QR-Code, der auf dem Bildschirm Ihres Computers erscheint. Die Verbindung wird damit automatisch hergestellt.
Schritt 5: Wiederherstellungscodes speichern
Sehr wichtig: Microsoft zeigt Ihnen nach der Aktivierung Wiederherstellungscodes an. Notieren Sie diese und bewahren Sie sie an einem sicheren Ort auf – beispielsweise in einem verschlüsselten Passwort-Manager wie Bitwarden oder 1Password. Denn wenn Sie Zugang zu Ihrem Smartphone verlieren, können Sie sich nur noch mit diesen Codes anmelden.
Windows Hello einrichten – die biometrische Anmeldung
Windows Hello ist in Windows 10 ab Version 1903 und in Windows 11 vollständig integriert. Die Einrichtung ist einfach und dauert nur wenige Minuten.
Windows Hello in Windows 11 einrichten
- Öffnen Sie die Einstellungen über das Startmenü (Zahnrad-Symbol oder die Tastenkombination Windows + I).
- Navigieren Sie zu „Konten“ und wählen Sie dann „Anmeldeoptionen“.
- Unter dem Abschnitt „Möglichkeiten zur Anmeldung“ sehen Sie die verfügbaren Windows Hello-Methoden: Gesichtserkennung, Fingerabdruck und PIN.
- Klicken Sie auf die gewünschte Methode und folgen Sie dem Einrichtungsassistenten.
Für die Gesichtserkennung benötigen Sie eine kompatible Infrarotkamera (IR-Kamera). Außerdem müssen Sie ein Passwort oder eine PIN als Fallback-Option hinterlegen.
Windows Hello in Windows 10 einrichten
Der Vorgang in Windows 10 ist nahezu identisch:
- Öffnen Sie Einstellungen (Windows + I).
- Gehen Sie zu „Konten“ → „Anmeldeoptionen“.
- Wählen Sie die gewünschte Methode unter „Windows Hello“ und klicken Sie auf „Einrichten“.
Beachten Sie: Für Windows Hello in Windows 10 benötigen Sie zwingend ein Microsoft-Konto oder ein Azure Active Directory-Konto (in Unternehmen). Lokale Konten werden zwar unterstützt, bieten jedoch eingeschränkte Funktionen.
FIDO2-Sicherheitsschlüssel einrichten – maximale Sicherheit
Für diejenigen, die höchste Sicherheitsanforderungen haben, ist ein FIDO2-Sicherheitsschlüssel die empfohlene Vorgehensweise. Dieser Hardware-Token ersetzt das Passwort vollständig oder dient als zweiter Faktor.
Empfohlener Sicherheitsschlüssel: YubiKey 5 NFC
Der YubiKey 5 NFC von Yubico ist derzeit einer der meistgenutzten und zuverlässigsten FIDO2-Schlüssel auf dem Markt. Er unterstützt USB-A, NFC und ist mit Windows 10 sowie Windows 11 kompatibel. Der Preis liegt bei etwa 55–65 Euro. Ebenso bietet Yubico den YubiKey 5C NFC für USB-C-Anschlüsse an – ideal für moderne Laptops.
FIDO2-Schlüssel für das Microsoft-Konto einrichten
- Gehen Sie auf account.microsoft.com → „Sicherheit“ → „Erweiterte Sicherheitsoptionen“.
- Klicken Sie unter „Windows Hello und Sicherheitsschlüssel“ auf „Sicherheitsschlüssel einrichten“.
- Schließen Sie Ihren YubiKey an den USB-Anschluss an.
- Folgen Sie den Anweisungen und vergeben Sie eine PIN für den Schlüssel.
- Berühren Sie abschließend den goldenen Kontaktbereich des YubiKey, um die Einrichtung abzuschließen.
Danach können Sie sich bei Microsoft-Diensten einfach durch Einstecken des Schlüssels und Berühren des Sensors anmelden – ohne Passwort eingeben zu müssen.
Passwortlose Anmeldung in Windows 11 aktivieren
Windows 11 bietet eine besondere Funktion: die vollständig passwortlose Anmeldung. Das bedeutet, dass Sie sich nur noch per Windows Hello, Authenticator-App oder Sicherheitsschlüssel anmelden – ganz ohne klassisches Passwort.
So aktivieren Sie die passwortlose Anmeldung
- Gehen Sie auf account.microsoft.com → „Sicherheit“ → „Erweiterte Sicherheitsoptionen“.
- Scrollen Sie zum Abschnitt „Passwortloses Konto“ und klicken Sie auf „Aktivieren“.
- Bestätigen Sie die Aktion in der Microsoft Authenticator App auf Ihrem Smartphone.
Damit ist die passwortlose Anmeldung aktiviert. Außerdem empfiehlt Microsoft selbst, diese Funktion zu nutzen, da Passwörter häufig der schwächste Punkt in der Kontosicherheit sind. Durch den Wegfall des Passworts eliminieren Sie zudem das Risiko, dass Ihr Kennwort kompromittiert wird.
Zwei-Faktor-Authentifizierung für lokale Windows-Konten
Viele Nutzer verwenden in Windows 10 oder Windows 11 ein lokales Konto statt eines Microsoft-Kontos. Für lokale Konten steht die klassische zweistufige Verifizierung über Microsoft leider nicht direkt zur Verfügung. Dennoch gibt es sinnvolle Alternativen.
Option 1: Umstieg auf ein Microsoft-Konto
Die einfachste Lösung ist der Wechsel zu einem Microsoft-Konto. Damit erhalten Sie Zugriff auf alle 2FA-Funktionen. Den Wechsel führen Sie über Einstellungen → „Konten“ → „Ihre Infos“ → „Stattdessen mit einem Microsoft-Konto anmelden“ durch.
Option 2: Windows Hello PIN
Auch für lokale Konten können Sie eine Windows Hello PIN einrichten. Diese PIN ist gerätespezifisch und wird nicht im Netzwerk übertragen. Sie ist daher sicherer als ein gewöhnliches Passwort, da sie ohne Internetverbindung funktioniert und nur auf Ihrem Gerät gilt.
Option 3: Drittanbieter-Software
Für Unternehmensumgebungen gibt es spezialisierte Software wie Duo Security von Cisco oder Silverfort, die eine Multi-Faktor-Authentifizierung auch für lokale Windows-Anmeldungen ermöglichen. Diese Tools sind jedoch primär für den Unternehmenseinsatz konzipiert und erfordern eine entsprechende Konfiguration durch IT-Administratoren.
Drittanbieter-Authenticator-Apps im Vergleich
Neben der Microsoft Authenticator App stehen Ihnen weitere Authenticator-Apps zur Verfügung. Jede bietet dabei unterschiedliche Funktionen.
Microsoft Authenticator
Die Microsoft Authenticator App ist optimal für Microsoft-Konten geeignet, da sie Push-Benachrichtigungen und die passwortlose Anmeldung unterstützt. Außerdem bietet sie eine Cloud-Sicherung der Kontodaten – allerdings nur für Nicht-Microsoft-Konten.
Google Authenticator
Der Google Authenticator ist eine einfache, werbungsfreie App, die TOTP-Codes für nahezu alle Dienste generiert. Seit 2023 bietet die App zudem eine optionale Kontosynchronisierung über ein Google-Konto an. Für Microsoft-Konten ist sie jedoch eingeschränkter als die Microsoft-eigene App.
Authy (von Twilio)
Authy ist besonders dann empfehlenswert, wenn Sie Ihre Authenticator-Daten auf mehreren Geräten nutzen möchten. Die App ermöglicht eine verschlüsselte Cloud-Sicherung und läuft auf Android, iOS, Windows und macOS. Deshalb ist Authy eine gute Wahl, wenn Sie häufig das Gerät wechseln.
Aegis Authenticator (Android, Open Source)
Aegis ist eine kostenlose, quelloffene Authenticator-App ausschließlich für Android. Sie unterstützt TOTP und HOTP, bietet eine verschlüsselte lokale Sicherung und erlaubt den Export in andere Apps. Für datenschutzbewusste Nutzer ist Aegis deshalb besonders empfehlenswert.
Tipps für mehr Sicherheit bei der Zwei-Faktor-Authentifizierung
Die Aktivierung der 2FA ist ein wichtiger Schritt. Zusätzlich sollten Sie jedoch einige weitere Punkte beachten, um Ihr Konto optimal zu schützen.
Verwenden Sie einen Passwort-Manager. Starke, einzigartige Passwörter in Kombination mit 2FA bieten den besten Schutz. Empfehlenswert sind Bitwarden (kostenlos und Open Source) oder 1Password (kostenpflichtig, sehr benutzerfreundlich).
Sichern Sie Ihre Wiederherstellungscodes. Bewahren Sie diese Codes offline – zum Beispiel auf Papier in einem Tresor oder in einem verschlüsselten USB-Stick – auf. Denn wenn Sie Ihr Smartphone verlieren, sind diese Codes Ihr einziger Rettungsanker.
Aktualisieren Sie Ihre Sicherheitsinformationen regelmäßig. Überprüfen Sie Ihr Microsoft-Konto alle paar Monate auf veraltete Telefonnummern oder E-Mail-Adressen. Außerdem sollten Sie inaktive Anmeldemethoden entfernen.
Misstrauen Sie Phishing-Mails. Selbst mit aktivierter 2FA können Sie Opfer von Real-Time-Phishing werden, bei dem Angreifer Ihren Einmalcode in Echtzeit abgreifen. Deshalb empfiehlt sich die Verwendung eines FIDO2-Schlüssels, der gegen Phishing nahezu immun ist.
Prüfen Sie aktive Sitzungen regelmäßig. Unter account.microsoft.com → „Sicherheit“ → „Anmeldeaktivität“ sehen Sie alle letzten Anmeldungen. Unbekannte Anmeldungen sollten Sie umgehend melden und Ihr Passwort ändern.
Zwei-Faktor-Authentifizierung in Windows 11 vs. Windows 10 – die wichtigsten Unterschiede
Grundsätzlich sind die Möglichkeiten zur 2FA in beiden Systemen sehr ähnlich. Dennoch gibt es einige Unterschiede, die für die Wahl des richtigen Systems relevant sein können.
Windows 11 bietet eine tiefere Integration von Windows Hello und unterstützt die vollständig passwortlose Anmeldung direkt über die Systemeinstellungen. Ebenso wurde die FIDO2-Unterstützung in Windows 11 weiter verbessert und ermöglicht eine reibungslosere Einrichtung von Sicherheitsschlüsseln. Zusätzlich unterstützt Windows 11 den Windows Credential Guard standardmäßig auf kompatiblen Geräten, was den Diebstahl von Anmeldedaten im Hintergrund erschwert.
Windows 10 unterstützt ebenfalls Windows Hello und FIDO2, jedoch ist die Benutzeroberfläche weniger einheitlich und einige Funktionen sind tiefer in den Einstellungen vergraben. Außerdem endet der offizielle Support für Windows 10 am 14. Oktober 2025 – Microsoft stellt ab diesem Datum keine Sicherheitsupdates mehr bereit. Deshalb empfiehlt es sich, baldmöglichst auf Windows 11 zu aktualisieren, um auch langfristig von Sicherheitsverbesserungen zu profitieren.
Was tun, wenn Sie keinen Zugang mehr zum zweiten Faktor haben?
Es kann vorkommen, dass Sie Ihr Smartphone verlieren, eine neue Telefonnummer erhalten oder Ihre Authenticator-App nicht mehr funktioniert. In solchen Fällen gibt es mehrere Möglichkeiten, wieder Zugang zu Ihrem Konto zu erhalten.
Wiederherstellungscodes verwenden: Falls Sie beim Einrichten der 2FA Wiederherstellungscodes gespeichert haben, geben Sie diese auf der Microsoft-Anmeldeseite ein. Klicken Sie dazu auf „Andere Möglichkeiten zur Anmeldung“ → „Wiederherstellungscode verwenden“.
Alternative Verifizierungsmethode: Falls Sie mehrere Methoden hinterlegt haben (z. B. sowohl App als auch SMS), wählen Sie einfach die alternative Methode aus.
Microsoft-Kontowiederherstellung: Falls keine dieser Optionen verfügbar ist, starten Sie den Kontowiederherstellungsprozess unter account.live.com/acsr. Dabei müssen Sie Ihre Identität durch Angabe von Kontoinformationen nachweisen. Dieser Prozess kann mehrere Tage dauern, deshalb ist die Sicherung von Wiederherstellungscodes so wichtig.
