Zwei-Faktor-Authentifizierung, verständlich erklärt

Die Zwei-Faktor-Authentifizierung ist die wirkungsvollste Sicherheitseinstellung, die die meisten Menschen nicht nutzen. Veröffentlichten Zahlen von Microsoft zufolge blockiert sie mehr als 99 % der automatisierten Kontoübernahmen. Dennoch gilt sie als umständlich — auch weil die drei gängigen Varianten („SMS-Code", „Authenticator-App", „Sicherheitsschlüssel") oft so behandelt werden, als wären sie austauschbar. Das sind sie nicht. Hier die praktische Fassung.

Was 2FA wirklich tut

Passwörter leaken ständig. Datenbank-Dumps, Phishing-Seiten, Browser-Malware, Mehrfachverwendung — es gibt zu viele Wege, wie eines Ihrer Passwörter in fremden Tabellen landet. 2FA fügt eine zweite Prüfung hinzu, die an etwas geknüpft ist, das Sie haben, nicht nur an etwas, das Sie wissen. Wer Ihr Passwort stiehlt, muss zusätzlich diesen zweiten Faktor in Echtzeit auf demselben Gerät erbeuten — deutlich schwerer.

SMS-2FA

Ein sechsstelliger Code kommt per SMS. Sie tippen ihn ein. Es ist die einfachste Variante, weil jedes Telefon sie bereits beherrscht, und genau deshalb auch das Mindestmaß an akzeptabler Sicherheit: ausreichend gegen Credential-Stuffing-Bots, aber anfällig für SIM-Swap-Angriffe (jemand bringt den Provider dazu, Ihre Nummer zu übernehmen) sowie für stilles Mitlesen von SMS in schwächeren Netzen.

Gut für: Konten geringen Wertes, bei denen Sie keine zusätzliche App installieren wollen. Foren, Shopping-Sites, Mailinglisten.

Schlecht für: E-Mail, Bank, Behördenportale, alles, was andere Konten steuert.

Authenticator-Apps (TOTP)

Apps wie Google Authenticator, 1Password, Bitwarden und Authy erzeugen alle 30 Sekunden einen neuen sechsstelligen Code, abgeleitet aus einem Geheimnis, das nur auf Ihrem Gerät liegt. Keine SMS, kein Mobilfunkanbieter beteiligt — die Codes funktionieren offline. Phishing-Angriffe, die Ihr Passwort und einen einzelnen Code abgreifen, können weiterhin gelingen, aber SIM-Swap ist hier kein Thema mehr.

Tipp zur Einrichtung: Wenn eine Seite den QR-Code zeigt, sichern Sie zusätzlich den textuellen Seed (die meisten Authenticator-Apps exportieren ihn). Wenn Sie Ihr Telefon ohne Seed und ohne Wiederherstellungscodes verlieren, müssen Sie jedes Konto von Grund auf neu einrichten.

Gut für: fast alles. Die meisten E-Mail-Anbieter, sozialen Plattformen, Krypto-Börsen und Entwicklertools unterstützen TOTP, und es ist kostenlos.

Sicherheitsschlüssel (FIDO2 / WebAuthn / Passkeys)

Ein USB- oder NFC-Schlüssel (YubiKey, Titan, neuerdings auch in iOS- und Android-Schlüsselbund eingebaute „Passkeys"), der die Anmeldung kryptografisch signiert. Entscheidend: Er ist an die Domain der Seite gebunden — eine Phishing-Seite, die identisch aussieht, bekommt schlicht keine Signatur. Das ist die einzige verbreitete 2FA-Methode, die gut gemachtes Phishing zuverlässig abwehrt.

Gut für: primäre E-Mail, Passwortmanager, alles, was Sie sich nicht leisten können zu verlieren. Kaufen Sie zwei Schlüssel; registrieren Sie beide; legen Sie einen in eine Schublade.

Wo temporäre Nummern hineinpassen

Temporäre SMS-Nummern sind großartig für die erstmalige Anmeldung, aber nicht geeignet für laufende SMS-2FA — bis Sie einen Code empfangen müssten, ist die Nummer längst wieder im Pool. Beste Vorgehensweise: mit einer temporären Nummer anmelden, sofort in den Sicherheitseinstellungen TOTP einrichten und die Wiederherstellungscodes sicher ablegen. Danach darf die temporäre Nummer verschwinden.

Wiederherstellungscodes verdienen eine Erwähnung

Nahezu jeder 2FA-Einrichtungsbildschirm bietet eine Liste einmalig nutzbarer Wiederherstellungscodes. Drucken Sie sie aus oder legen Sie sie im Passwortmanager ab. Sie sind Ihr Weg zurück, wenn Sie alle Geräte verlieren. Überspringen Sie diesen Schritt nicht — eine Wiederherstellung ohne Codes erfordert oft Ausweisdokumente und dauert Wochen.

Schnelle Empfehlungen

• E-Mail und Passwortmanager: Sicherheitsschlüssel an erster Stelle, TOTP als Backup.
• Bank, Broker, Börse: was immer das höchste Niveau ist, das sie bieten.
• Social, Dev-Tools, Arbeits-SaaS: TOTP.
• Beliebiges Forum, das eine Nummer verlangt: temporäre SMS, danach TOTP einrichten.