guide

Wie Zwei-Faktor-Authentifizierung funktioniert: Ein Einsteiger-Guide

5 Min. Lesezeit

Passwörter allein reichen nicht mehr

Das hast du wahrscheinlich schon mal gehört, und es ist wahr. Passwörter sind allein genommen ein schwacher Schutz für einen Account.

Menschen verwenden sie auf mehreren Seiten wieder. Sie wählen leicht zu erratende. Datenlecks veröffentlichen Millionen Anmeldedaten auf einmal. Und Phishing-Attacken täuschen Menschen, ihre Passwörter freiwillig herauszugeben.

Zwei-Faktor-Authentifizierung (2FA) existiert, weil selbst ein gutes Passwort kompromittiert werden kann. Die Idee ist einfach: Fordere einen zweiten Beweis an, bevor du Zugriff gewährst.

Etwas, das du weißt, etwas, das du hast

Authentifizierungsfaktoren fallen in drei Kategorien:

  • Etwas, das du weißt - ein Passwort, PIN oder Antwort auf eine Sicherheitsfrage
  • Etwas, das du hast - ein Telefon, ein Hardware-Schlüssel, eine Authenticator-App
  • Etwas, das du bist - ein Fingerabdruck, Gesichtsscan oder andere Biometrie

Das Standard-Login nutzt einen Faktor: dein Passwort (etwas, das du weißt). Zwei-Faktor-Authentifizierung fügt einen zweiten hinzu, meist etwas, das du hast. Also selbst wenn jemand dein Passwort stiehlt, kann er nicht rein, ohne auch dein physisches Gerät zu haben.

Das ist das ganze Konzept. Zwei separate Beweise aus zwei separaten Kategorien.

Arten von 2FA

Nicht alle Zweitfaktoren funktionieren gleich. Hier sind die gebräuchlichsten.

SMS-Codes

Der Dienst sendet eine Textnachricht mit einem numerischen Code an dein Telefon. Du gibst ihn ein, um das Login abzuschließen. Das ist die am weitesten verbreitete Form von 2FA und die einfachste einzurichten, da du nur eine Telefonnummer brauchst.

Der Nachteil ist, dass SMS bekannte Sicherheitsschwächen hat. Textnachrichten können abgefangen werden, und Angreifer können Telefonnummern durch SIM-Swapping kapern. Es ist immer noch besser als keine 2FA, aber es gibt stärkere Optionen.

Authenticator-Apps (TOTP)

Apps wie Google Authenticator, Authy oder 1Password generieren temporäre Codes auf deinem Gerät. Diese Codes ändern sich alle 30 Sekunden und werden mit einem gemeinsamen Geheimnis und der aktuellen Uhrzeit berechnet. Keine Textnachricht, keine Netzwerkverbindung nötig.

Das nennt man TOTP, oder Time-Based One-Time Password. Es ist sicherer als SMS, weil die Codes nie über ein Netzwerk übertragen werden. Sie werden lokal generiert und genutzt. Wenn du die Technik verstehen willst, gibt es eine detaillierte Erklärung in Was ist TOTP?.

Hardware-Sicherheitsschlüssel

Physische Geräte wie ein YubiKey oder Google Titan Key stecken im USB-Port deines Computers (oder verbinden sich via NFC oder Bluetooth). Bei der Aufforderung während des Logins tipptest du auf den Schlüssel, um dich zu authentifizieren.

Hardware-Schlüssel gelten als die stärkste Form der 2FA. Sie sind phishing-resistent, weil der Schlüssel direkt mit der Webseite über kryptografische Protokolle kommuniziert. Ein Angreifer müsste deinen Schlüssel physisch stehlen, um ihn zu nutzen.

Der Kompromiss sind die Kosten (typischerweise 25-50 $ pro Schlüssel) und die Notwendigkeit, das Gerät bei dir zu tragen.

Push-Benachrichtigungen

Manche Dienste senden eine Push-Benachrichtigung an dein Telefon und fragen, ob du einen Login-Versuch genehmigen oder ablehnen willst. Du tippst auf “Genehmigen” und bist drin. Microsoft Authenticator und Duo nutzen diesen Ansatz.

Es ist bequem, aber Push-basierte 2FA war Ziel von “MFA-Ermüdungsangriffen”, bei denen ein Angreifer wiederholt Login-Versuche auslöst, bis der Nutzer einen genehmigt, nur um die Benachrichtigungen zu stoppen. Manche Implementierungen verlangen nun, dass du eine auf dem Bildschirm angezeigte Nummer eingibst, um dem entgegenzuwirken.

Warum 2FA wichtig ist

Die Zahlen sprechen eine klare Sprache. Google berichtete, dass das Hinzufügen jeglicher Form von 2FA 100% der automatisierten Bot-Attacken, 99% der Massen-Phishing-Attacken und 66% der gezielten Attacken blockiert. Microsoft fand ähnliche Ergebnisse: Accounts mit aktivierter 2FA sind zu 99,9% weniger wahrscheinlich kompromittiert.

Das sind keine Marketing-Claims von Sicherheitsanbietern. Sie basieren auf Daten von Milliarden Login-Versuchen über echte Accounts.

Selbst wenn du ein starkes, eindeutiges Passwort für jeden Account nutzt (und die meisten Menschen tun das nicht), bietet 2FA ein Sicherheitsnetz. Dein Passwort kann in einem Leck auftauchen, durch einen Keylogger erfasst oder über eine Phishing-Seite geleakt werden. Der zweite Faktor stoppt den Angreifer davon, tatsächlich reinzukommen.

Wie man es einrichtet

Die Einrichtung von 2FA variiert leicht je nach Dienst, aber der allgemeine Prozess ist derselbe:

  1. Gehe zu den Sicherheitseinstellungen deines Accounts
  2. Suche nach “Zwei-Faktor-Authentifizierung”, “2-Stufen-Verifizierung” oder “Multi-Faktor-Authentifizierung”
  3. Wähle deine Methode (Authenticator-App wird empfohlen)
  4. Wenn du eine Authenticator-App nutzt, scanne den QR-Code, den der Dienst dir zeigt
  5. Gib den Code aus deiner App ein, um zu bestätigen, dass es funktioniert
  6. Speichere die Sicherheitscodes, die der Dienst bereitstellt, an einem sicheren Ort, getrennt von deinem Passwort

Das Ganze dauert etwa eine Minute pro Account.

Welche Accounts priorisieren

Du hast wahrscheinlich Dutzende Online-Accounts. Beginne mit denen, die am meisten zählen:

  • E-Mail (wenn jemand in deine E-Mail kommt, kann er Passwörter für alles andere zurücksetzen)
  • Banken und Finanzdienstleistungen
  • Cloud-Speicher (Google Drive, iCloud, Dropbox)
  • Social-Media-Accounts
  • Passwort-Manager (falls deiner 2FA unterstützt, und das sollte er)

Häufige Bedenken

“Was, wenn ich mein Telefon verliere?” Das ist die häufigste Sorge. Dafür sind Sicherheitscodes da. Wenn du 2FA einrichtest, gibt dir der Dienst eine Reihe von Einmal-Wiederherstellungscodes. Drucke sie aus oder speichere sie an einem sicheren Ort. Manche Authenticator-Apps bieten auch Cloud-Backup.

“Ist das nicht lästig?” Ein bisschen. Das Einloggen dauert etwa 10 Sekunden länger. Die meisten Dienste merken sich dein Gerät für 30 Tage, also brauchst du den Code nicht jedes Mal. Die Unannehmlichkeit ist gering im Vergleich zu einem kompromittierten Account.

“Ich bin nicht wichtig genug, um gezielt angegriffen zu werden.” Die meisten Account-Kompromittierungen sind nicht gezielt. Sie sind automatisiert. Angreifer kaufen geleakte Anmeldedaten-Listen und probieren sie auf Tausenden Seiten. 2FA stoppt diese Massenattacken kalt.

Leg los

Wenn du das bisher aufgeschoben hast, wähle jetzt einen Account – deine E-Mail ist ein guter Startpunkt – und schalte 2FA ein. Der Prozess ist schnell, und du verringerst dein Risiko spürbar.

Wenn du TOTP-Codes ausprobieren willst, bevor du etwas einrichtest, kannst du mit 2fa.zip experimentieren. Es läuft in deinem Browser, speichert nichts auf einem Server und gibt dir ein Gefühl dafür, wie Authenticator-Codes funktionieren.

Schützen Sie Ihre Konten mit Zwei-Faktor-Authentifizierung

Erzeugen Sie TOTP-Codes sofort direkt in Ihrem Browser.

Probieren Sie unseren kostenlosen 2FA-Code-Generator aus

Verwandte Beiträge

Wie man 2FA-Backup-Codes sicher aufbewahrt

Deine Backup-Codes sind dein Sicherheitsnetz. Hier erfährst du, wie du sie aufbewahrst, damit sie verfügbar sind, wenn du sie brauchst, und vor allen anderen…

Weiterlesen