guide

Wie man 2FA-Backup-Codes sicher aufbewahrt

5 Min. Lesezeit

Backup-Codes sind das, was du wünschst, du hättest sie

Wenn du Zwei-Faktor-Authentifizierung einrichtest, geben dir die meisten Dienste eine Reihe von Einmal-Backup-Codes. Das sind deine Notfall-Schlüssel. Wenn dein Telefon kaputtgeht, gestohlen wird oder du aus Versehen deine Authenticator-App löschst, sind Backup-Codes dein Weg zurück rein.

Viele Leute überspringen diesen Schritt während der Einrichtung. Sie denken, sie kümmern sich später darum, oder sie machen einen Screenshot der Codes und vergessen, wo das Bild hingegangen ist. Dann sechs Monate später sind sie aus ihrer E-Mail ausgesperrt und stellen Support-Tickets.

Sei nicht diese Person. Backup-Codes zu speichern dauert zwei Minuten und kann dir Stunden an Wiederherstellungs-Kopfschmerzen ersparen.

Was Backup-Codes eigentlich sind

Backup-Codes sind vorgenerierte, Einmal-Nutzungs-Strings (normalerweise 8-12 Zeichen), die als Ersatz für deinen TOTP-Code funktionieren. Jeder Code kann genau einmal genutzt werden. Die meisten Dienste geben dir irgendwo zwischen 5 und 10 davon.

Sie werden generiert, wenn du 2FA aktivierst, und sind an deinen Account gebunden. Sie laufen nicht ab, es sei denn, du generierst eine neue Reihe, was die alten ungültig macht.

Denk an sie als Ersatz-Hausschlüssel. Du nutzt sie nicht jeden Tag, aber wenn du einen brauchst, brauchst du ihn wirklich.

Wo man sie aufbewahrt

Es gibt einige vernünftige Ansätze, jeder mit Abwägungen.

In einem Passwort-Manager

Das ist wahrscheinlich die praktischste Option für die meisten Leute. Wenn du bereits einen Passwort-Manager nutzt (1Password, Bitwarden, KeePass, etc.), füge deine Backup-Codes als Notiz zu dem relevanten Login-Eintrag hinzu.

Warum das funktioniert: Dein Passwort-Manager ist verschlüsselt, synchronisiert über Geräte, und du öffnest ihn bereits, wenn du dich einloggst. Die Codes sind genau da, wenn du sie brauchst.

Das Risiko: Wenn du den Zugriff auf deinen Passwort-Manager und deine Authenticator gleichzeitig verlierst, steckst du fest. Das ist unwahrscheinlich, wenn dein Passwort-Manager eine andere Entsperrmethode nutzt (wie ein Master-Passwort oder Passkey) als deine Authenticator-App, aber es lohnt sich, darüber nachzudenken.

Abschwächung: Halte mindestens eine Backup-Methode außerhalb deines Passwort-Managers (wie eine ausgedruckte Kopie).

Auf Papier gedruckt, an einem sicheren Ort aufbewahrt

Drucke deine Backup-Codes aus und lege sie an einem physisch sicheren Ort: ein Heim-Tresor, eine verschlossene Schublade, eine feuerfeste Box. Irgendwo, wo du einen Pass oder Geburtsurkunde aufbewahrst.

Warum das funktioniert: Papier kann nicht remote gehackt werden. Es braucht keine Batterien oder Internetverbindung. Es wird in zehn Jahren noch lesbar sein.

Das Risiko: Papier kann verbrennen, überschwemmt werden oder von jemandem weggeworfen werden, der nicht weiß, was es ist. Es ist auch nicht großartig, wenn du deine Codes brauchst, während du unterwegs bist.

Abschwächung: Beschrifte das Papier klar (aber nicht so klar, dass ein Fremder wüsste, wofür die Codes sind). Etwas wie “Account-Wiederherstellungs-Codes” ist in Ordnung. Schreib nicht die dazugehörigen Passwörter daneben.

Auf einem verschlüsselten USB-Laufwerk

Kopiere deine Backup-Codes in eine Textdatei, lege sie auf ein USB-Laufwerk und verschlüssele das Laufwerk (oder mindestens die Datei). Bewahre das Laufwerk an einem sicheren Ort auf, neben deinen ausgedruckten Kopien.

Warum das funktioniert: Du bekommst eine digitale Kopie, die portabel und verschlüsselt ist. Wenn du mit deinen Codes reisen musst, kannst du das Laufwerk mitbringen.

Das Risiko: USB-Laufwerke fallen aus. Sie gehen auch leicht verloren, weil sie klein sind. Verschlüsselung funktioniert nur, wenn du das Passwort erinnerst. Und wenn du die Art Person bist, die eine Schublade voller mysteriöser USB-Laufwerke hat, viel Glück, das richtige zu finden.

Abschwächung: Beschrifte das Laufwerk. Teste es regelmäßig, um sicherzustellen, dass es noch funktioniert. Speichere das Verschlüsselungspasswort in deinem Passwort-Manager (ja, das schafft eine Abhängigkeit, aber es ist eine vernünftige, wenn du auch ein gedrucktes Backup hast).

Wo man sie nicht aufbewahren sollte

Ein paar Orte, die bequem erscheinen, aber nicht so großartig sind:

  • Eine normale Textdatei auf deinem Desktop. Jeder, der Zugriff auf deinen Computer bekommt, bekommt deine Codes. Malware kann sie lesen. Du wirst die Datei wahrscheinlich während einer Bereinigung aus Versehen löschen.
  • Ein Screenshot in deiner Foto-Rolle. Telefon-Foto-Bibliotheken synchronisieren in die Cloud, werden in Alben geteilt und tauchen an unerwarteten Orten auf. Es ist nicht verschlüsselt.
  • Eine E-Mail an dich selbst. Wenn jemand deine E-Mail kompromittiert, bekommt er deine Backup-Codes, was besonders schlimm ist, da E-Mail normalerweise der Hauptschlüssel ist, um alles andere zurückzusetzen.
  • Ein Post-it auf deinem Monitor. Ich wünschte, das müsste nicht gesagt werden.

Wie viele Backup-Methoden solltest du haben?

Zwei ist eine gute Zahl. Eine digitale (Passwort-Manager) und eine physische (ausgedruckte Kopie an einem sicheren Ort). Das deckt die Haupt-Ausfallarten ab: Wenn die digitale Kopie unzugänglich ist, hast du Papier; wenn das Papier nicht verfügbar ist, hast du die digitale Kopie.

Über zwei hinaus fügt Komplexität hinzu ohne viel Nutzen, es sei denn, du schützt etwas ungewöhnlich Hochwertiges.

Codes neu generieren, wenn du sie nutzt

Jedes Mal, wenn du einen Backup-Code nutzt, ist er verbraucht. Er wird nicht wieder funktionieren. Wenn du in deine Codes gegriffen hast, logge dich in den Dienst ein und generiere eine neue Reihe. Dann aktualisiere all die Orte, wo du die alten aufbewahrt hast.

Manche Dienste zeigen dir, wie viele Backup-Codes dir noch bleiben. Überprüfe das gelegentlich. Wenn du nur noch ein oder zwei hast, generiere neu.

Eine schnelle Routine für neue Accounts

Wann immer du 2FA auf einem neuen Account aktivierst:

  1. Schließe die Einrichtung ab und bestätige, dass deine Authenticator funktioniert
  2. Kopiere die Backup-Codes
  3. Füge sie als Notiz in deinem Passwort-Manager ein
  4. Drucke eine Kopie für dein physisches Backup
  5. Mach weiter mit deinem Leben

Es dauert zwei Minuten. Mach das zur Gewohnheit, und du wirst nie die Person sein, die verzweifelt um Mitternacht “aus Account ausgesperrt Telefon verloren” googelt.

Wenn du dein TOTP-Setup testen und sicherstellen willst, dass Codes korrekt generiert werden, kannst du 2fa.zip ausprobieren. Es läuft in deinem Browser und sendet nichts an einen Server.

Schützen Sie Ihre Konten mit Zwei-Faktor-Authentifizierung

Erzeugen Sie TOTP-Codes sofort direkt in Ihrem Browser.

Probieren Sie unseren kostenlosen 2FA-Code-Generator aus

Verwandte Beiträge

Wie Zwei-Faktor-Authentifizierung funktioniert: Ein Einsteiger-Guide

Eine verständliche Erklärung der Zwei-Faktor-Authentifizierung für Einsteiger in Online-Sicherheit. Was 2FA ist, warum sie wichtig ist und wie man sie…

Weiterlesen