Erfahren Sie, was Zwei-Faktor-Authentifizierung (2FA) ist, wie sie funktioniert und warum sie Ihre Online-Konten besser vor Hackern schützt.
Zwei-Faktor-Authentifizierung (2FA) ist eine Sicherheitsmethode, die Ihre Online-Konten durch einen zweiten Bestätigungsschritt schützt. Zusätzlich zum Passwort benötigen Sie dabei einen weiteren Nachweis Ihrer Identität. Deshalb ist 2FA heute einer der wirksamsten Schutzmechanismen gegen unbefugten Zugriff – selbst dann, wenn Ihr Passwort bereits gestohlen wurde.
Dieser Artikel erklärt Ihnen, wie 2FA funktioniert, welche Methoden es gibt und wie Sie 2FA richtig einrichten.
Was ist Zwei-Faktor-Authentifizierung genau?
Zwei-Faktor-Authentifizierung bedeutet, dass Sie sich bei einem Dienst in zwei aufeinanderfolgenden Schritten ausweisen müssen. Dabei reicht ein einzelnes Passwort nicht mehr aus. Stattdessen kombinieren Sie zwei verschiedene Sicherheitsfaktoren, um Ihre Identität zu beweisen.
Diese Faktoren stammen dabei aus unterschiedlichen Kategorien:
- Wissen – etwas, das nur Sie kennen, zum Beispiel ein Passwort oder eine PIN
- Besitz – etwas, das Sie physisch bei sich haben, zum Beispiel Ihr Smartphone oder ein Hardware-Token
- Biometrie – etwas, das Sie körperlich auszeichnet, zum Beispiel Fingerabdruck oder Gesichtserkennung
Deshalb ist 2FA so effektiv: Ein Angreifer müsste gleichzeitig Ihr Passwort kennen und Zugriff auf Ihr Gerät haben. Ebenso spricht man auch von Multi-Faktor-Authentifizierung (MFA), wenn mehr als zwei Faktoren kombiniert werden. Im Alltag sind die Begriffe 2FA und MFA jedoch häufig austauschbar.
Wie funktioniert 2FA? Der Ablauf Schritt für Schritt
Der Ablauf einer Zwei-Faktor-Authentifizierung ist in den meisten Fällen identisch. Zunächst geben Sie Ihren Benutzernamen und Ihr Passwort ein – also den ersten Faktor. Anschließend fordert der Dienst einen zweiten Bestätigungsschritt.
Dieser zweite Schritt kann je nach Methode unterschiedlich aussehen. Zum Beispiel erhalten Sie eine SMS mit einem Einmalpasswort (OTP), öffnen eine Authenticator-App auf Ihrem Smartphone oder bestätigen die Anmeldung per Fingerabdruck. Erst wenn beide Faktoren erfolgreich überprüft wurden, erhalten Sie Zugang zu Ihrem Konto.
Einmalpasswörter (OTP) sind dabei besonders weit verbreitet. Sie gelten nur für einen sehr kurzen Zeitraum – meistens 30 Sekunden – und werden danach automatisch ungültig. Deshalb ist es für Angreifer nahezu unmöglich, diese Codes im Nachhinein zu missbrauchen.
Die verschiedenen 2FA-Methoden im Überblick
Nicht alle Methoden der Zwei-Faktor-Authentifizierung sind gleich sicher. Deshalb ist es wichtig, die Unterschiede zu kennen.
SMS-basierte Authentifizierung
Die bekannteste und zugleich verbreitetste Methode ist die Bestätigung per SMS. Nach dem Login senden viele Dienste einen sechsstelligen Code direkt an Ihre Handynummer. Jedoch gilt SMS-2FA unter Sicherheitsexperten als die schwächste Form der Zwei-Faktor-Authentifizierung, weil sie für sogenannte SIM-Swapping-Angriffe anfällig ist. Dabei erschleichen sich Angreifer Ihre Telefonnummer und erhalten so Zugang zu den Bestätigungscodes.
Authenticator-Apps (TOTP)
Deutlich sicherer sind dagegen Authenticator-Apps, die auf dem TOTP-Standard (Time-based One-Time Password) basieren. Diese Apps generieren alle 30 Sekunden einen neuen Code – vollständig offline und ohne Internetverbindung. Empfehlenswert sind dabei folgende Apps:
Google Authenticator (Android/iOS) – kostenlos, weit verbreitet, einfach zu bedienen. So richten Sie ihn ein:
- Laden Sie Google Authenticator aus dem App Store oder Google Play herunter.
- Öffnen Sie die Sicherheitseinstellungen des Dienstes, den Sie schützen möchten (z. B. Google-Konto > Sicherheit > Bestätigung in zwei Schritten).
- Wählen Sie „Authenticator-App“ und scannen Sie den angezeigten QR-Code mit der App.
- Geben Sie den generierten sechsstelligen Code zur Bestätigung ein. Fertig.
Authy (Android/iOS/Desktop) – ebenfalls kostenlos, bietet jedoch zusätzlich eine verschlüsselte Cloud-Sicherung Ihrer Tokens. So richten Sie Authy ein:
- Installieren Sie Authy aus dem App Store oder Google Play.
- Registrieren Sie sich mit Ihrer Telefonnummer.
- Gehen Sie zu den Sicherheitseinstellungen des gewünschten Dienstes und wählen Sie eine Authenticator-App als 2FA-Methode.
- Scannen Sie den QR-Code mit Authy, indem Sie auf das „+“-Symbol tippen.
- Bestätigen Sie die Einrichtung durch Eingabe des angezeigten Codes.
Der Vorteil von Authy gegenüber Google Authenticator liegt darin, dass Ihre Tokens gesichert werden. Deshalb verlieren Sie beim Gerätewechsel keinen Zugang zu Ihren Konten.
Hardware-Sicherheitsschlüssel (FIDO2/WebAuthn)
Die sicherste Methode ist ein physischer Hardware-Schlüssel wie der YubiKey von Yubico. Dabei stecken Sie einfach den Schlüssel in den USB-Port Ihres Computers und tippen auf den Knopf – fertig. Hardware-Schlüssel sind zudem vollständig phishing-resistent, weil sie die Website-Domain automatisch überprüfen. Empfehlenswert ist der YubiKey 5 NFC, der sowohl USB-A als auch NFC unterstützt. So richten Sie ihn ein:
- Kaufen Sie einen YubiKey 5 NFC (erhältlich auf yubico.com, ca. 55 €).
- Gehen Sie zum Sicherheitskonto des Dienstes (z. B. Google-Konto > Sicherheit > Bestätigung in zwei Schritten > Sicherheitsschlüssel).
- Klicken Sie auf „Sicherheitsschlüssel hinzufügen“ und folgen Sie den Anweisungen.
- Stecken Sie den YubiKey ein und berühren Sie den goldenen Kontakt, wenn Sie dazu aufgefordert werden.
Push-Benachrichtigungen
Ebenso verbreitet sind Push-Benachrichtigungen, wie sie zum Beispiel Microsoft Authenticator oder Duo Security nutzen. Dabei erscheint eine Meldung auf Ihrem Smartphone, die Sie mit einem Tipp auf „Genehmigen“ bestätigen. Diese Methode ist bequemer als die manuelle Code-Eingabe, jedoch etwas anfälliger für sogenannte „Fatigue-Angriffe“, bei denen Angreifer Nutzer mit wiederholten Anfragen überfluten.
Biometrische Authentifizierung
Zusätzlich bieten viele Geräte die Möglichkeit, Fingerabdruck oder Gesichtserkennung als zweiten Faktor einzusetzen. Diese Methode ist besonders komfortabel. Allerdings sollten Sie beachten, dass biometrische Daten – anders als ein Passwort – nicht geändert werden können, wenn sie kompromittiert wurden.
Warum ist 2FA so wichtig? Die Bedrohungslage heute
Laut aktuellen Berichten von Sicherheitsforschern sind über 80 % aller Datenschutzverletzungen auf gestohlene oder schwache Passwörter zurückzuführen. Deshalb reicht ein starkes Passwort allein heutzutage nicht mehr aus. Cyberkriminelle nutzen dabei vielfältige Methoden:
- Phishing – gefälschte Websites oder E-Mails, die zur Passworteingabe verleiten
- Credential Stuffing – automatisches Testen von Passwortlisten aus früheren Datenlecks
- Brute-Force-Angriffe – systematisches Ausprobieren von Passwörtern
- Keylogger und Malware – Software, die Tastatureingaben heimlich aufzeichnet
Jedoch schützt 2FA in all diesen Szenarien wirksam, weil ein gestohlenes Passwort allein keinen Zugang gewährt. Deshalb empfehlen unter anderem das Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie internationale Sicherheitsbehörden die Aktivierung der Zwei-Faktor-Authentifizierung für alle wichtigen Konten.
Wo sollten Sie 2FA unbedingt aktivieren?
Grundsätzlich gilt: Je sensibler das Konto, desto wichtiger ist 2FA. Deshalb sollten Sie zunächst folgende Dienste absichern:
E-Mail-Konten sind besonders kritisch, weil sie als Wiederherstellungsoption für fast alle anderen Konten dienen. Schützen Sie deshalb Ihr Gmail-, Outlook- oder iCloud-Konto als Erstes.
Ebenso wichtig sind Online-Banking und Finanzdienstleistungen. Hier ist 2FA in vielen Ländern sogar gesetzlich vorgeschrieben (PSD2-Richtlinie in der EU).
Darüber hinaus sollten Sie 2FA aktivieren bei:
- Social-Media-Konten (Instagram, Facebook, X/Twitter, LinkedIn)
- Cloud-Speicher (Google Drive, Dropbox, OneDrive)
- Passwort-Manager (Bitwarden, 1Password, KeePass)
- Online-Shopping-Konten (Amazon, PayPal, eBay)
- Arbeit und Unternehmens-Software (Microsoft 365, Slack, GitHub)
Empfohlene Vorgehensweisen für 2FA im Alltag
Damit Sie das Beste aus der Zwei-Faktor-Authentifizierung herausholen, sollten Sie folgende Punkte beachten:
Sichern Sie Ihre Backup-Codes. Wenn Sie 2FA einrichten, bieten die meisten Dienste Einmal-Wiederherstellungscodes an. Drucken Sie diese aus oder speichern Sie sie in einem sicheren, verschlüsselten Passwort-Manager wie Bitwarden (kostenlos, Open Source). Andernfalls riskieren Sie, dauerhaft aus Ihrem Konto ausgesperrt zu werden.
Verwenden Sie eine Authenticator-App statt SMS, wann immer es möglich ist. Zudem empfiehlt es sich, Authy zu nutzen, weil die App eine verschlüsselte Sicherung bietet und so bei Geräteverlust keinen Datenverlust verursacht.
Nutzen Sie für jeden Dienst ein eigenes, starkes Passwort in Kombination mit 2FA. Empfehlenswert ist dafür Bitwarden als Passwort-Manager. So richten Sie Bitwarden ein:
- Registrieren Sie sich kostenlos unter bitwarden.com.
- Installieren Sie die Browser-Erweiterung für Chrome, Firefox oder Edge.
- Aktivieren Sie in den Bitwarden-Einstellungen ebenfalls 2FA mit einem Authenticator (z. B. Authy).
- Speichern Sie fortan alle Passwörter direkt im Tresor.
Seien Sie außerdem vorsichtig bei unerwarteten 2FA-Anfragen. Wenn Sie eine Bestätigung erhalten, obwohl Sie sich gerade nicht anmelden, deutet das auf einen laufenden Angriff hin. Lehnen Sie die Anfrage ab und ändern Sie umgehend Ihr Passwort.
FA vs. Passwort-Manager: Was ist der Unterschied?
Häufig werden 2FA und Passwort-Manager verwechselt oder als Alternativen betrachtet. Jedoch ergänzen sich diese beiden Sicherheitswerkzeuge. Ein Passwort-Manager hilft dabei, starke, einzigartige Passwörter für jeden Dienst zu erstellen und zu speichern. 2FA wiederum schützt das Konto zusätzlich für den Fall, dass ein Passwort gestohlen wird. Deshalb sollten Sie beide Methoden kombinieren.
Passkeys: Die Zukunft nach dem Passwort
Zunehmend setzen große Unternehmen wie Google, Apple und Microsoft auf sogenannte Passkeys – eine Weiterentwicklung der passwortlosen Anmeldung, die auf dem FIDO2-Standard basiert. Dabei wird kein Passwort mehr benötigt. Stattdessen authentifizieren Sie sich mit einem kryptografischen Schlüsselpaar, das sicher auf Ihrem Gerät gespeichert ist. Passkeys kombinieren dabei die Vorteile von 2FA und Passwort in einem einzigen Schritt und gelten deshalb als phishing-resistent und extrem benutzerfreundlich. Jedoch ist die Unterstützung aktuell noch nicht flächendeckend verfügbar, weshalb 2FA weiterhin die wichtigste sofort umsetzbare Sicherheitsmassnahme bleibt.
Häufige Fragen zur Zwei-Faktor-Authentifizierung
Was passiert, wenn ich meinen zweiten Faktor verliere?
Wenn Sie Ihr Smartphone verlieren oder keinen Zugriff mehr auf Ihre Authenticator-App haben, benötigen Sie Ihre Backup-Wiederherstellungscodes. Diese erhalten Sie bei der 2FA-Einrichtung und sollten sicher aufbewahrt werden. Außerdem können Sie den Dienst direkt kontaktieren, um Ihre Identität anderweitig zu bestätigen. Deshalb ist das Sichern der Wiederherstellungscodes so wichtig.
Ist SMS-2FA besser als gar keine 2FA?
Ja. Obwohl SMS als schwächste 2FA-Methode gilt, bietet sie dennoch deutlich mehr Sicherheit als ein Passwort allein. Deshalb empfiehlt sich SMS-2FA überall dort, wo keine Authenticator-App unterstützt wird.
Kann 2FA auch geknackt werden?
Theoretisch ja, jedoch ist der Aufwand für Angreifer extrem hoch. Besonders phishing-resistent sind Hardware-Schlüssel wie der YubiKey, weil sie die Echtheit einer Website automatisch überprüfen. Authenticator-Apps bieten ebenfalls sehr hohen Schutz. SMS-2FA ist hingegen anfälliger, aber dennoch weitaus besser als kein zweiter Faktor.
Welche 2FA-App ist die beste?
Für die meisten Nutzer ist Authy die empfohlene Wahl, weil sie eine verschlüsselte Cloudsicherung der Tokens bietet. Wer dagegen maximale Kontrolle ohne Cloud möchte, sollte Google Authenticator oder die quelloffene App Aegis (Android) verwenden.
Verlangsamt 2FA den Login-Prozess erheblich?
Nein. Der zweite Schritt dauert in der Regel nur wenige Sekunden. Außerdem bieten viele Dienste die Option, vertrauenswürdige Geräte zu speichern, sodass Sie 2FA auf dem eigenen Computer seltener eingeben müssen.
Ist 2FA auch für kleine Unternehmen sinnvoll?
Unbedingt. Deshalb empfehlen BSI und Datenschutzbehörden 2FA ausdrücklich auch für kleine und mittelständische Unternehmen. Insbesondere der Schutz von Unternehmens-E-Mail-Konten und Cloud-Diensten ist dabei entscheidend.
Funktioniert 2FA ohne Internetverbindung?
TOTP-basierte Authenticator-Apps wie Authy oder Google Authenticator funktionieren vollständig offline, weil die Codes zeitbasiert berechnet werden. Lediglich die initiale Einrichtung erfordert eine Verbindung. SMS-basierte Methoden benötigen hingegen Mobilfunkempfang.
Muss ich 2FA für jeden Dienst separat einrichten?
Ja. Jeder Dienst hat seine eigene 2FA-Einrichtung in den Sicherheitseinstellungen. Jedoch können Sie alle Codes zentral in einer einzigen Authenticator-App wie Authy verwalten. Das macht die Verwaltung erheblich einfacher.
Was ist der Unterschied zwischen 2FA und Single Sign-On (SSO)?
Single Sign-On (SSO) ermöglicht die Anmeldung bei mehreren Diensten über ein einziges Konto, zum Beispiel über „Mit Google anmelden“. 2FA und SSO schließen sich dabei nicht aus, sondern ergänzen sich. Deshalb empfiehlt sich die Kombination beider Methoden: SSO für Komfort, 2FA für Sicherheit.
Wie aktiviere ich 2FA bei Google?
So richten Sie 2FA bei Google ein: Gehen Sie zu myaccount.google.com, klicken Sie auf „Sicherheit“ und wählen Sie „Bestätigung in zwei Schritten“. Anschließend folgen Sie dem Einrichtungsassistenten. Empfohlen wird dabei die Verwendung von Google Authenticator oder Authy als App, anstatt SMS zu nutzen.
Fazit
Zwei-Faktor-Authentifizierung ist kein optionaler Luxus, sondern eine Notwendigkeit. Deshalb sollten Sie 2FA sofort für Ihre wichtigsten Konten aktivieren – angefangen mit E-Mail, Banking und Cloud-Diensten. Als Authenticator-App empfiehlt sich Authy wegen der integrierten Backup-Funktion.
Wer maximale Sicherheit sucht, investiert zusätzlich in einen YubiKey 5 NFC. Kombiniert mit einem Passwort-Manager wie Bitwarden ist Ihre digitale Identität damit umfassend und alltagstauglich geschützt.