Zwei-Faktor-Authentifizierung (2FA) ist eine zusätzliche Schutzebene für Online-Konten, die von dir verlangt, mehr als nur deinen Benutzernamen und dein Passwort zum Einloggen zu verwenden.
Mit aktivierter 2FA kannst du den Zugang zu deinen Online-Konten schützen, selbst wenn deine Passwörter geleakt werden. Wir erklären, was 2FA ist, wie es funktioniert und warum du es überall dort nutzen solltest, wo es möglich ist, um deine Privatsphäre und Sicherheit online zu schützen.
- Was ist Zwei-Faktor-Authentifizierung (2FA)?
- Warum 2FA nutzen?
- Wie funktioniert 2FA?
- Arten von 2FA
- Was ist der Unterschied zwischen 2FA und MFA?
- 2FA aktivieren
- 2FA-Backup-Codes
- Ist 2FA sicher?
- Überall 2FA verwenden
Was ist Zwei-Faktor-Authentifizierung (2FA)?
Zwei-Faktor-Authentifizierung (2FA), auch bekannt als Zwei-Schritt-Verifizierung, ist ein Sicherheitsverfahren, das zwei Formen der Identifikation verlangt, wenn du dich in einem Online-Konto anmeldest. Statt nur deinen Benutzernamen und dein Passwort zum Anmelden zu verwenden, verlangt 2FA, dass du deine Identität erneut verifizierst, um Zugriff auf dein Konto zu erhalten.
Nachdem du dein Passwort eingegeben hast, musst du möglicherweise einen Code eingeben, der von einer Authentifikator-App auf deinem Telefon generiert wird, einen physischen Sicherheitsschlüssel einstecken oder eine andere Methode verwenden, um zu beweisen, dass du es bist, der sich einloggt.
Wenn du jemals eine SMS mit einem Passcode erhalten hast, um dich auf einer Website anzumelden, nachdem du deinen Benutzernamen und dein Passwort eingegeben hast, ist das eine Art von 2FA.
Warum 2FA verwenden?
Passwörter allein reichen nicht aus, um deine Online-Konten zu schützen. Viele Menschen nutzen immer noch ein einzelnes, leicht zu erratendes Passwort für mehrere Konten. Aber selbst wenn du für all deine Konten starke, einzigartige Passwörter verwendest, könnten deine Passwörter immer noch in einem Datenleck veröffentlicht werden.
Da Datenlecks immer häufiger vorkommen und in den letzten Jahren Milliarden von Passwörtern geleakt wurden(neues Fenster), besteht die Chance, dass einige davon deine sind. Hier erfährst du, wie du überprüfen kannst, ob deine E-Mail oder Passwörter geleakt wurden.
Ähnlich nehmen Phishing-Angriffe zu(neues Fenster) und werden immer gezielter, sodass selbst erfahrene IT-Profis zum Opfer fallen können. Betrüger könnten dich dazu bringen, dein Passwort auf einer gefälschten Webseite einzugeben.
Mit aktiviertem 2FA bleibt dein Online-Konto auch dann sicher, wenn ein Passwort geknackt oder durch Phishing oder ein Datenleck offenbart wird.
Wie funktioniert 2FA?
2FA erfordert, dass du deine Identität beim Einloggen zweimal bestätigst – zuerst mit deinem Benutzernamen/Passwort und dann mit etwas Zusätzlichem wie einem einmaligen Sicherheitscode oder Fingerabdruck.
Zwei-Faktor-Authentifizierung
Hier sind die grundlegenden Schritte für 2FA, obwohl die Details je nach Webseite, App und verwendeter Authentifizierungsmethode variieren:
- Wenn du eine Webseite besuchst oder eine App öffnest, wirst du aufgefordert, deinen Benutzernamen und dein Passwort einzugeben, um dich einzuloggen.
- Die Server der Seite oder App erkennen deinen Benutzernamen und dein Passwort.
- Dann wirst du nach einer zweiten Form der Authentifizierung gefragt, wie einem einmaligen Sicherheitscode, einem Fingerabdruck, einem physischen Schlüssel, den du einsteckst, oder einer anderen Methode.
- Sobald du den zweiten Authentifizierungsprozess bestanden hast – indem du den richtigen Sicherheitscode, Fingerabdruck usw. bereitgestellt hast – erhältst du Zugang zu deinem Konto.
Kurz gesagt, mit 2FA musst du deinen Benutzernamen/Passwort und eine weitere Methode zur Bestätigung deiner Identität angeben, bekannt als ein Authentifizierungsfaktor.
Was sind Authentifizierungsfaktoren?
Bei 2FA sind Authentifizierungsfaktoren die Methoden, mit denen du nachweisen kannst, dass du es bist, der sich einloggen möchte. Es gibt drei Haupttypen von Authentifizierungsfaktoren, die für Online-Kundenkonten verwendet werden:
- Etwas, das du weißt (Wissensfaktor): ein Passwort oder eine Passphrase, persönliche Identifikationsnummer (PIN) oder Antwort auf eine Sicherheitsfrage
- Etwas, das du hast (Besitzfaktor): ein physischer Sicherheitsschlüssel, Mobiltelefon oder intelligente ID-Karte
- Etwas, das du bist (Inhärenzfaktor): dein Fingerabdruck, Gesicht, Iris, Netzhaut oder andere biometrische Daten
Einige Apps und Webseiten nutzen möglicherweise zwei weitere Faktoren, um Konten zu sichern:
- Wo du bist (Standortfaktor): der Ort, von dem aus du versuchst, dich einzuloggen, zum Beispiel wie durch deine IP-Adresse(neues Fenster) oder GPS auf deinem Mobiltelefon bestimmt
- Welche Zeit es ist (Zeitfaktor): die Zeit, zu der du versuchst, dich einzuloggen oder die Zeit, die du zum Einloggen benötigst, basierend auf der Annahme, dass das Einloggen eine begrenzte, vorhersehbare Zeit in Anspruch nimmt.
Wenn du die Zwei-Faktor-Authentifizierung für ein Online-Konto aktivierst, hat ein Krimineller, der nur einen dieser Faktoren kennt, wie dein Passwort, Pech gehabt. Er benötigt einen zweiten Faktor, um auf dein Konto zuzugreifen.
Arten der Zwei-Faktor-Authentifizierung
Webseiten und Apps bieten verschiedene Wege an, dein Konto mit 2FA zu sichern, und nicht alle sind gleich sicher. Hier sind die fünf Hauptarten der Zwei-Faktor-Authentifizierung und die Vor- und Nachteile jeder Methode.
SMS- oder sprachbasierte 2FA
Wenn du 2FA per SMS aktivierst, musst du eine Handynummer angeben. Beim nächsten Login wirst du gebeten, einen fünf- oder sechsstelligen Einmal-Passcode (OTP) einzugeben, der dir nach Eingabe deines Benutzernamens und Passworts per SMS an dein Telefon gesendet wird. Oder der Code wird dir per Sprachnachricht auf dein Telefon durchgesagt.
Obwohl es einfach ist, SMS für 2FA einzurichten und zu nutzen, empfehlen wir es überhaupt nicht, weil:
- SMS-Nachrichten sind unverschlüsselt und grundsätzlich unsicher. Hacker haben mehrere Wege gefunden, 2FA per SMS zu umgehen, einschließlich das Abfangen von 2FA-Codes durch Eindringen in das SS7-Netzwerk und das Umleiten von Telefonnummern mit SIM-Swap-Angriffen(neues Fenster).
- Du musst deine Telefonnummer der Webseite oder App offenlegen.
- Wenn du deine Handynummer als Methode zum Zurücksetzen des Passworts eingerichtet hast, könnte ein Krimineller potenziell ohne Kenntnis des Passworts auf dein Konto zugreifen.
Authentifikator-Apps
Die beliebteste Art der 2FA verwendet eine Authentifikator-App auf deinem Telefon oder Computer, um einen zeitbasierten Einmal-Passcode (TOTP) zu generieren. Die App generiert alle 30 bis 60 Sekunden einen neuen sechsstelligen Passcode (auch bekannt als Software-Token).
Um eine Authentifikator-App zu nutzen, musst du folgendes tun:
- Lade eine kostenlose 2FA-App auf dein Telefon oder deinen Computer herunter und installiere sie. Beliebte Authentifikator-Apps sind Authy, Google Authenticator und FreeOTP.
- Richte die App für jedes Konto ein, indem du einen QR-Code scannst und einen Passcode auf der Webseite oder in der App eingibst.
Von da an wirst du nach der Eingabe deines Benutzernamens und Passworts beim Login aufgefordert, den aktuellen sechsstelligen Passcode aus der App einzugeben.
Die Verwendung einer Authentifikator-App für 2FA ist sowohl sicherer als auch bequemer als SMS- und sprachbasierte 2FA, weil:
- Du kannst sie ohne Mobilfunknetz nutzen, da die Codes auf deinem Gerät generiert werden.
- Im Gegensatz zu SMS 2FA können deine 2FA-Codes nicht abgerufen werden, selbst wenn jemand dein Telefon auf ihre Nummer umleitet.
Wenn dein Telefon jedoch gestohlen wird oder kaputtgeht, wirst du auch aus deinen Konten ausgesperrt. Deshalb solltest du sicherstellen, dass du 2FA-Backup-Codes an einem verfügbaren Ort aufbewahrst.
2FA-Sicherheitsschlüssel
Eine dritte Option für 2FA ist die Verwendung eines physischen Sicherheitsschlüssels, auch bekannt als Hardware-Token. Nachdem du deinen Benutzernamen und dein Passwort eingegeben hast, wirst du aufgefordert, ein kleines USB-Gerät anzuschließen und einen Knopf darauf zu drücken oder zu berühren, um Zugang zu deinem Konto zu erhalten.
In allen Formen und Größen erhältlich, ähneln die meisten 2FA-Schlüssel USB-Sticks oder Schlüsselanhängern, wie diesem YubiKey von Yubico.
Sicherheitsschlüssel gelten weithin als eine der sichersten 2FA-Methoden und sind zudem praktisch. Du musst nicht jedes Mal dein Mobiltelefon herausnehmen und eine Authentifikator-App öffnen, wenn du dich anmeldest.
Wie die meisten beliebten 2FA-Schlüssel folgen auch YubiKeys den FIDO U2F und FIDO2 Authentifizierungsstandards.
Um einen Sicherheitsschlüssel zu verwenden, musst du:
- Einen Schlüssel kaufen und ihn mit der Website oder App registrieren, mit der du ihn verwenden möchtest.
- Nach Eingabe deines Benutzernamens und Passworts wirst du aufgefordert, den Schlüssel anzuschließen und normalerweise einen Knopf zu drücken oder zu berühren, um dich anzumelden. Zum Beispiel musst du das „Y“ auf dem oben gezeigten YubiKey berühren.
Um Sicherheitsschlüssel mit Mobiltelefonen zu verwenden, musst du zunächst überprüfen, ob dein Telefon oder dessen Betriebssystem dies unterstützt. Apple hat beispielsweise mit iOS 16.3, das im Januar 2023 veröffentlicht wurde, Unterstützung für Sicherheitsschlüssel eingeführt.
Dann kannst du entweder den Schlüssel einstecken (wenn du einen kompatiblen Schlüssel hast) oder das Telefon auf den Schlüssel tippen (wenn das Telefon und der Schlüssel NFC-fähig(neues Fenster) sind).
Obwohl längst nicht alle Seiten 2FA mit Sicherheitsschlüsseln anbieten, wird es immer beliebter und gilt als eine der sichersten Optionen für 2FA. Die Hauptnachteile von Sicherheitsschlüsseln sind:
- Du musst einen Schlüssel kaufen, und sie sind immer noch nicht billig.
- Wenn du den Schlüssel verlierst oder er gestohlen wird, verlierst du den Zugang zu deinen Konten, es sei denn, du hast ein Backup.
- Obwohl allgemein als sicher angesehen, sind hardwarebasierte 2FA wie YubiKeys nicht immun gegen Hacking(neues Fenster).
2FA-Push-Mitteilungen
Einige Plattformen senden jetzt 2FA-Zugriffsanfragen, bekannt als Push-Mitteilungen, direkt an dein Telefon oder deinen Computer. Du musst einfach die Anfrage überprüfen und mit Ja oder Nein antworten, wie im Beispiel von Google unten.
Keine Notwendigkeit, eine App zu installieren, einen Code einzugeben oder einen Sicherheitsschlüssel zu kaufen. Push-Mitteilungen gelten als eine der sichersten 2FA-Methoden, weil:
- Die Website oder App sendet die Mitteilung über eine sichere Verbindung direkt an dein Gerät, was das Risiko einer Abfangung erheblich reduziert.
- Mitteilungen können auch Details über den Anmeldeversuch für zusätzliche Sicherheit enthalten – wo du dich befindest, welches Gerät du verwendest usw. (siehe das Google-Beispiel oben).
Die zwei Hauptnachteile von Push-Mitteilungen sind jedoch:
- Dein Telefon muss mit dem Internet verbunden sein, um die Mitteilung zu empfangen.
- Bei so vielen Popup-Benachrichtigungen auf deinem Telefon ist es leicht, eine Mitteilung automatisch zu genehmigen, ohne die Details zu überprüfen.
Biometrische 2FA
Biometrische 2FA, bei der du selbst der Sicherheitstoken bist, wird immer gebräuchlicher. Deine Fingerabdrücke, Stimmprofile oder ein Scan deines Gesichts, deiner Iris oder deiner Netzhaut können alle verwendet werden, um zu beweisen, dass du es bist, der sich anmeldet.
Zum Beispiel erlauben viele Bank-Apps, dass du Touch ID beim iPhone oder Fingerabdruck-Entsperrung bei Android nutzt, um auf dein Bankkonto zuzugreifen, nachdem du deine Anmeldeinformationen eingegeben hast.
Biometrische Verifizierung wird oft als dritte Möglichkeit zur Identitätsbestätigung für Mehrfaktor-Authentifizierung (MFA) verwendet.
Da biometrische Daten schwer zu fälschen sind, werden sie auch zunehmend für Zugangsmethoden verwendet, die die Verwendung von Passwörtern ganz abschaffen, auch bekannt als passwortlose Authentifizierung(neues Fenster).
Allerdings ist biometrische Authentifizierung nicht ohne Risiko. Wenn ein biometrisches 2FA-System gehackt wird und dein Fingerabdruck oder Gesichtsscan geleakt oder repliziert wird, kannst du sie nicht ändern.
Was ist der Unterschied zwischen 2FA und MFA?
Zwei-Faktor-Authentifizierung (2FA) ist eine Art von Mehrfaktor-Authentifizierung (MFA).
2FA erfordert, dass du deine Identität auf zwei Arten verifizierst, um dich bei einem Konto anzumelden. MFA bedeutet einfach, dass du deine Identität mindestens zweimal verifizieren musst, um dich anzumelden – in der Regel auf drei Arten.
Zum Beispiel musst du dich bei MFA möglicherweise so anmelden:
- Ein Passwort eingeben
- Eine Sicherheitsfrage beantworten
- Einen Fingerabdruck bereitstellen, einen Passcode aus einer Authenticator-App eingeben oder einen physischen Sicherheitsschlüssel verwenden
Organisationen, die ein höheres Sicherheitsniveau benötigen, verwenden MFA. Zum Beispiel verlangen Banken, Gesundheitseinrichtungen und Behörden oft, dass du MFA einrichtest, wenn du dich bei ihnen registrierst.
2FA aktivieren
Immer mehr Websites und Apps bieten jetzt mindestens eine Methode für 2FA an. Hier ist, wie du 2FA für Proton und andere große Technologieplattformen einrichtest.
Proton 2FA aktivieren
Um 2FA zu aktivieren und eine Authenticator-App mit deinem Proton-Konto einzurichten:
- Melde dich bei deinem Proton-Konto unter account.proton.me an.
- Klicke auf Einstellungen → Alle Einstellungen → Konto und Passwort → Zwei-Faktor-Authentifizierung und aktiviere den Authenticator-App Schalter.
- Folge den Anweisungen auf dem Bildschirm, um die Einrichtung abzuschließen.
Erfahre, wie du 2FA mit Proton einrichtest
Du kannst auch einen 2FA-Sicherheitsschlüssel mit Proton einrichten.
Google 2FA aktivieren
Google bezeichnet 2FA als Zwei-Faktor-Authentifizierung. So aktivierst du die Zwei-Faktor-Authentifizierung für dein Google-Konto:
- Melde dich in deinem Google-Konto unter myaccount.google.com(neues Fenster) an.
- Wähle im linken Menü die Option Sicherheit.
- Gehe zu Bei Google anmelden und wähle Zwei-Schritt-Verifizierung.
- Folge den Anweisungen auf dem Bildschirm, um die Einrichtung abzuschließen.
Wenn du deine Authenticator-App einrichtest, schlägt Google vor, die Google Authenticator-App zu verwenden. Du kannst aber jede App nutzen, die TOTP unterstützt.
Aktiviere Apple 2FA (iPhone/iPad/Mac)
So aktivierst du 2FA für deine Apple-Geräte:
- Melde dich mit deiner Apple-ID unter appleid.apple.com(neues Fenster) an.
- Beantworte deine Sicherheitsfragen und klicke dann auf Weiter.
- Wenn du aufgefordert wirst, die Sicherheit deines Kontos zu verbessern, klicke auf Weiter.
- Klicke auf Sicherheit des Kontos verbessern und befolge die Anweisungen auf dem Bildschirm.
Du kannst 2FA auch über dein iPhone, iPad oder Mac aktivieren, indem du diese Anleitung befolgst(neues Fenster).
Aktiviere Microsoft 2FA
Microsoft bezeichnet 2FA als Zwei-Schritt-Verifizierung. So aktivierst du die Zwei-Schritt-Verifizierung für dein Microsoft-Konto:
- Melde dich in deinem Microsoft-Konto unter account.microsoft.com(neues Fenster) an.
- Gehe zu Sicherheit → Sicherheitsgrundlagen → Erweiterte Sicherheitsoptionen.
- Unter Zwei-Schritt-Verifizierung wählst du Zwei-Schritt-Verifizierung einrichten, um sie zu aktivieren.
- Folge den Anweisungen auf dem Bildschirm, um die Einrichtung abzuschließen.
Wie bei Google schlägt Microsoft vor, seine eigene Authenticator-App (Microsoft Authenticator) zu verwenden. Du kannst jedoch jede Authenticator-App verwenden, die TOTP unterstützt.
2FA-Backup-Codes
Wenn du eine Authenticator-App auf einem mobilen Gerät oder einen 2FA-Sicherheitsschlüssel verwendest und dein Gerät verloren geht, gestohlen wird oder anderweitig kompromittiert ist, kannst du den Zugriff auf deine Konten verlieren. Deshalb bieten dir die meisten Seiten 2FA-Backup-Codes an — einen Passcode (oder mehrere Passcodes), den du verwenden kannst, um dich anzumelden, falls deine 2FA-Methoden versagen.
Lade die Passcodes herunter oder drucke sie aus und bewahre sie an einem sicheren Ort auf. Du kannst auch eine Hardcopy der Passcodes mitnehmen, wenn du an Orte reist, wo das Mobilfunknetz oder das Aufladen von Batterien unzuverlässig ist.
Für wichtige Konten ist es eine gute Idee, mehr als eine 2FA-Methode einzurichten, sodass du im Falle eines Ausfalls die andere verwenden kannst.
Ist 2FA sicher?
Keine Anmeldeart ist 100% sicher, aber jede Art von 2FA ist deutlich sicherer als die Nutzung eines Passworts allein.
Aber nicht alle 2FA-Methoden sind gleich sicher. Wir empfehlen die Verwendung von Authentifikator-Apps und/oder Sicherheitsschlüsseln für die 2FA, nicht jedoch SMS, die abgefangen werden können.
Biometrische Methoden, wie Fingerabdrücke und Gesichtserkennung, gelten ebenfalls allgemein als sicher. Allerdings ist es in den Vereinigten Staaten noch nicht klar, ob ein Gericht dich zwingen kann, dein Gerät mit Biometrie zu entsperren(neues Fenster).
Egal welche 2FA-Methode du verwendest, sie ist nur so stark wie das schwächste Glied, und das ist meistens das Passwort. In Zukunft werden Online-Plattformen wahrscheinlich auf Authentifizierungsmethoden umsteigen, die einen hochsicheren Faktor nutzen, der nicht wissensbasiert ist, und so Passwörter komplett eliminieren(neues Fenster).
Beispielsweise hat Apple Passkeys(neues Fenster) eingeführt, die Face ID oder Touch ID verwenden, um dich zu identifizieren, wenn du dich bei unterstützenden Websites und Apps anmeldest – kein Passwort erforderlich. Passkeys sind sehr sicher, da sie auf deinen Geräten gespeichert sind und kryptografisch mit der Website oder App verknüpft sind, für die sie erstellt wurden.
Nutze überall 2FA
Immer mehr Websites und Apps bieten Zwei-Faktor-Authentifizierung an, um deine persönlichen Daten online zu sichern.
Obwohl manche 2FA-Methoden, wie SMS, weniger sicher sind als andere, ist jede 2FA viel sicherer als nur ein Passwort zu verwenden. Aktiviere also überall 2FA, wo du kannst, und wähle die sicherste und bequemste Methode für dich.
Wenn du 2FA für Konten einrichtest, vergiss nicht, Backup-Codes herunterzuladen oder auszudrucken, wo sie verfügbar sind. Viele Plattformen, wie Proton, erlauben dir auch, 2FA mit einer Authentifikator-App und einem Sicherheitsschlüssel einzurichten, sodass du immer eine Backup-Möglichkeit hast.
Wenn du deinen Datenschutz online weiter stärken möchtest, warum nicht deine persönlichen Informationen mit einem kostenlosen Proton-Konto sichern? Mit Ende-zu-Ende-verschlüsseltem Proton Mail, Proton Calendar, Proton Drive und Proton VPN(neues Fenster) kann außer dir niemand auf deine Daten zugreifen. Nicht einmal Proton. Bleib sicher!