Besserer Schutz für Ihre Online-Konten

Zwei-Faktor-Authentifizierung

Gute Passwörter sind die halbe Miete. Die andere Hälfte ist der zweite Faktor.

Die Zwei-Faktor-Authentifizierung ist ein Anmeldeverfahren im Internet, bei dem die Identität eines Benutzers oder einer Benutzerin anhand zweier unterschiedlicher, voneinander unabhängiger Faktoren geprüft wird. Sie ist damit eine Art von Mehrfaktor-Authentifizierung. Bei besonders hohem Schutzbedarf können auch mehr als zwei Faktoren nötig sein. In diesem Artikel geht es nur um die häufigste Art: die Zwei-Faktor-Authentifizierung.

Inhalt:
1. Wozu soll Zwei-Faktor-Authentifizierung gut sein?
2. Woher kommt der zweite Faktor?
3. Erster und zweiter Faktor auf demselben Gerät
4. Zweiten Faktor erstmalig einrichten
5. Zweiten Faktor sichern und wiederherstellen

1. Wozu soll Zwei-Faktor-Authentifizierung gut sein?

Wir setzen uns für Ihre Privatsphäre und Grundrechte ein. Werden Sie Fördermitglied bei Digitalcourage.

Die Kombination eines persönlichen Passworts mit einem zweiten Anmeldegeheimnis erschwert Angreifenden den Zugang zu einem fremden Account. Der zweite Faktor muss im besten Fall über einen anderen Weg und mit einer anderen Methode erzeugt werden als der erste. Weil Angreifende hoffentlich weder Weg noch Methode des zweiten Anmeldegeheimnisses kennen, können sie den fremden Account auch dann nicht übernehmen, wenn sie das Passwort kennen. Das erhöht die Sicherheit für digitale Dienste und sensible Daten beträchtlich.

2. Woher kommt der zweite Faktor?

Die knappe Antwort ist: Man braucht immer beides – „Etwas das man hat und etwas das man weiß“. Doch es gibt alles in allem drei Möglichkeiten, den zweiten Faktor zu erzeugen und damit die eigene Identität sicherer nachzuweisen:

  • Besitz: mit einem Gegenstand, etwa einem Hardware-Token oder einer EC-Karte
  • Wissen: mit etwas, das niemand sonst weiß, ein Einmalkennwort erzeugen, zum Beispiel per App
  • Biometrie: mit körperlichen Merkmalen wie Fingerabdruck, Verhaltensmuster oder Gesicht

Diese Methoden können technisch unterschiedlich umgesetzt werden. Auch wenn nicht alle gleich sicher sind, gilt: Jedes Zwei-Faktor-Verfahren ist sicherer als nur ein Anmeldepasswort allein.

Digitalcourage wirkt. Wirken Sie mit!

Per SMS oder E-Mail

Bei dieser Methode erhält man einen – meist sechsstelligen – Einmalcode per SMS oder E-Mail. Für eine SMS muss man die Handynummer angeben. Es ist aber nicht gesagt, dass jeder Dienst verantwortungsvoll damit umgeht. Dazu kommt, dass SMS und E-Mail unsichere Methoden sind, denn SIM-Karten können kopiert werden (SIM-Swapping), SMS und E-Mail werden unverschlüsselt versandt.

Aus einer Smartphone-App

Mit einer PushTAN- oder einer TOTP-App (TOTP: „time-based one-time password“) wird der zweite Faktor per Smartphone generiert beziehungsweise übertragen. Während PushTAN-Apps eine Netzwerkverbindung brauchen und an einen Anbieter gebunden sind, gibt es für das TOTP-Verfahren verschiedene, auch freie Apps wie Aegis, die keine Netzwerkverbindung erfordern. Die Codes werden direkt auf dem Smartphone generiert und dann ins Login-Feld eingetragen.

Über Spezial-Hardware

Hardware-Tokens wie der YubiKey oder der Nitrokey sind physisch eigenständige Geräte, die einem USB-Stick ähneln. Wenn man sie an den Rechner anschließt, übertragen sie automatisch einen Code für den Login. Auch ChipTAN-Generatoren sind solche eigenständigen Geräte. Hardware-Tokens gelten als sicherster zweiter Faktor.

Biometrische Verfahren

Die Authentifizierung durch biometrische Merkmale ist eine Methode, die immer mehr Verbreitung findet. Das Entsperren des Smartphones per Fingerabdruck oder Gesichtsscan ist einfach bequem. Allerdings sind biometrische Merkmale zur Authentifizierung kritisch zu bewerten:

Ein unsicheres oder bekannt gewordenes Passwort kann man jederzeit ersetzen, persönliche Eigenschaften nicht. Fingerabdrücke, Stimme oder Gesichtszüge lassen sich nicht dauerhaft ändern, jedenfalls nicht mit vertretbarem Aufwand. Erschwerend kommt hinzu, dass sie leicht abgegriffen werden können. Menschen hinterlassen Fingerabdrücke an Gegenständen. Oder sie lassen sich filmen und die Kamera kann daraus biometrische Daten ableiten.

Der Missbrauch biometrischer Daten ist eine große Gefahr. Wer solche Verfahren benutzt, sollte seine biometrischen Daten deshalb nur lokal, in einer abgeschotteten Umgebung auf dem eigenen Gerät speichern. Smartphones haben dafür ein sogenanntes „Secure Element“.

3. Erster und zweiter Faktor auf demselben Gerät

Weil es praktisch ist, wird der zweite Faktor oft auf demselben Gerät generiert, mit dem man sich anmeldet. Das unterläuft allerdings das Prinzip des zweiten Faktors. Wird das Smartphone gestohlen, kann der Täter unter Umständen sowohl auf das Passwort zugreifen, falls es auf dem Gerät gespeichert ist, als auch auf den zweiten Faktor, der zum Beispiel in einer App generiert oder über die eingelegte SIM-Karte empfangen wird. Wer beide Faktoren auf einem Gerät haben muss, sollte den zweiten Faktor zusätzlich schützen, zum Beispiel mit einem eigenen App-Kennwort. Wer das Smartphone erbeutet, hat dann wenigstens nicht automatisch beide Faktoren.

4. Zweiten Faktor erstmalig einrichten

Vor dem Einrichten muss man prüfen, ob der Dienst die Option „zweiter Faktor“ überhaupt anbietet. Das ist nicht immer einfach. Meistens findet man die Zwei-Faktor-Einstellung im Menü unter „Einstellungen“, „Konto“ oder „Sicherheit“. Wenn es die Option gibt, sollte man sie auf jeden Fall nutzen. Auch mit einem eher unsicheren zweiten Faktor, wie dem per SMS, ist die Anmeldung sicherer als mit einem Passwort allein.

5. Zweiten Faktor sichern und wiederherstellen

Wer seine Telefonnummer wechselt, sollte die neue Nummer nicht nur seinen Kontakten mitteilen, sondern sie auch bei den Accounts ändern, bei denen sie hinterlegt ist. Um eine neue Nummer einzutragen, braucht man natürlich noch Zugriff auf den Account. Wer eine App benutzt, sollte regelmäßig eine Sicherung der Datenbank erstellen. Geht das Smartphone verloren oder wird die App deinstalliert, sperrt man sich sonst im schlimmsten Fall aus seinen Accounts aus. Um das zu verhindern, bieten viele Websites Wiederherstellungscodes für den zweiten Faktor an. Diese Codes muss man gut aufbewahren: zum Einloggen, wenn der zweite Faktor verloren gegangen ist. Darüber hinaus lassen sich bei manchen Diensten auch mehrere Methoden der Zwei-Faktor-Authentifizierung hinterlegen.


Digitalcourage setzt sich für Ihre Privatsphäre und Ihre Grundrechte ein. Unterstützen Sie unsere Arbeit mit einer Spende oder mit einer Fördermitgliedschaft.


Hinweis: Hundertprozentige Sicherheit gibt es nicht, auch nicht durch unsere Empfehlungen. Programme können unentdeckte Fehler haben, Datenschnüffeltechniken entwickeln sich weiter. Bleiben Sie aufmerksam!

Wir aktualisieren unsere Texte in unregelmäßigen Abständen. Prüfen Sie das Datum der letzten Überarbeitung unter „Letztes Update“. Sollten Sie Fehler finden, Ergänzungen haben oder Empfehlungen bei Ihnen nicht funktionieren, geben Sie uns Bescheid.