Was ist Zwei-Faktor-Authentifizierung? Kontoschutz erklärt
Dieser Artikel geht tiefer als unsere üblichen Ratgeber. Oben steht die verständliche Erklärung mit dem praktischen Fazit, weiter unten der Abschnitt für alle, die genau wissen wollen, warum ein Zahlencode aus einer App sicherer ist als einer per SMS und was ein Passkey technisch anders macht. Mit Quellen vom BSI zum Nachlesen.
Ein Passwort ist wie ein einziger Schlüssel für deine Haustür. Kommt jemand an diesen Schlüssel, steht ihm alles offen. Zwei-Faktor-Authentifizierung, oft mit 2FA abgekürzt, baut ein zweites Schloss ein. Selbst wer dein Passwort kennt, sei es durch ein Datenleck, eine gefälschte Login-Seite oder schlichtes Raten, kommt ohne den zweiten Faktor nicht hinein. Genau darum empfiehlt das Bundesamt für Sicherheit in der Informationstechnik, kurz BSI, die Zwei-Faktor-Authentifizierung überall einzuschalten, wo ein Dienst sie anbietet. Dieser Artikel erklärt, was der zweite Faktor eigentlich ist, welche Verfahren es gibt, warum sie sich stark in der Sicherheit unterscheiden und welche Rolle dein Smartphone dabei spielt.
Das Wichtigste in Kürze
- Zwei Faktoren aus zwei verschiedenen Kategorien. Das BSI unterscheidet Wissen (Passwort, PIN), Besitz (Handy, Sicherheitsschlüssel) und Biometrie (Fingerabdruck, Gesicht). 2FA kombiniert zwei davon.
- Der Schutz greift, selbst wenn das Passwort weg ist. Ohne den zweiten Faktor bleibt das Konto zu. Das ist der ganze Sinn der Sache.
- Nicht jedes Verfahren ist gleich sicher. Vom schwächsten zum stärksten: SMS-Code, Authenticator-App, Push-Bestätigung, Sicherheitsschlüssel und Passkey.
- SMS ist das schwächste 2FA. Codes lassen sich abfangen oder über eine getauschte SIM umleiten, und sie schützen nicht vor gut gemachten Phishing-Seiten.
- Passkeys und Sicherheitsschlüssel sind phishing-resistent. Sie funktionieren nur auf der echten Website und geben nie ein Geheimnis heraus, das jemand abfischen könnte.
- Dein Smartphone ist meistens der zweite Faktor. Es trägt die Authenticator-App, empfängt die Push-Bestätigung oder speichert den Passkey.
Die einfache Erklärung: Wissen plus Besitz
Der Kern der Idee steckt im Namen. Ein Faktor ist ein Nachweis, dass du wirklich du bist. Das BSI teilt diese Nachweise in drei Kategorien ein:
- Wissen. Etwas, das nur du kennst. Das Passwort, eine PIN, die Antwort auf eine Sicherheitsfrage.
- Besitz. Etwas, das nur du hast. Dein Smartphone, ein kleiner USB-Sicherheitsschlüssel, eine Chipkarte.
- Biometrie. Etwas, das du bist. Dein Fingerabdruck, dein Gesicht.
Entscheidend ist, dass die zwei Faktoren aus verschiedenen Kategorien stammen. Passwort und Sicherheitsfrage sind beide nur Wissen, das ist keine echte Zwei-Faktor-Authentifizierung. Passwort (Wissen) plus ein Code auf deinem Handy (Besitz) dagegen schon. Ein Angreifer müsste dann beides gleichzeitig überwinden, und das ist ungleich schwerer, als eine geklaute Passwortliste durchzuprobieren.
Die gängigen Verfahren im Vergleich
In der Praxis begegnen dir vier bis fünf Arten, den zweiten Faktor zu liefern. Der SMS-Code kommt per Kurznachricht aufs Handy und ist bequem, aber das unsicherste Verfahren. Eine Authenticator-App erzeugt den Code direkt auf dem Gerät, ganz ohne Netz. Bei der Push-Bestätigung tippst du nur noch eine Meldung auf einem vertrauten Gerät an; Apple zeigt dir beim Anmelden an einem neuen Gerät einen sechsstelligen Bestätigungscode auf deinen vertrauten Geräten. Sicherheitsschlüssel und Passkeys nach dem FIDO-Standard schließlich bestätigen kryptografisch, dass du es bist, und gelten als das sicherste Verfahren.
| Verfahren | Faktor-Kategorie | So kommt der Code an | Einschätzung |
|---|---|---|---|
| Passwort allein | nur Wissen | – | kein zweiter Faktor |
| SMS-Code (mTAN) | Besitz (Handynummer) | SMS aufs Handy | schwächstes 2FA, besser als nichts |
| Authenticator-App (TOTP) | Besitz (Gerät) | App erzeugt Code offline | solide, unabhängig vom Mobilnetz |
| Push-Bestätigung | Besitz (vertrautes Gerät) | Antippen statt Abtippen | bequem, Vorsicht bei blindem Bestätigen |
| Sicherheitsschlüssel / Passkey | Besitz plus Biometrie/PIN | kryptografisch, an die Website gebunden | höchstes Niveau, phishing-resistent |
Für alle, die es genau wissen wollen: warum SMS schwächelt und Passkeys nicht
Ab hier wird es technisch. Wer nur den praktischen Teil wollte, kann zum Abschnitt über das Smartphone als Faktor springen.
Warum die SMS als schwächstes Verfahren gilt
Das BSI ordnet die Verfahren nach Sicherheit, und E-Mail- und SMS-Code stehen dabei am unteren Ende. Dafür gibt es drei Gründe. Der Code läuft durchs Mobilfunknetz, und über einen sogenannten SIM-Swap kann sich ein Angreifer deine Rufnummer auf eine eigene Karte umleiten lassen. Die SMS schützt außerdem nicht vor Phishing in Echtzeit: Gibst du deinen Code auf einer gefälschten Login-Seite ein, reicht der Betrüger ihn in Sekunden an die echte Seite weiter. Und oft tippst du den Code auf demselben Gerät ein, auf dem auch der Login läuft, sodass der zweite Faktor gar nicht von einem zweiten Gerät kommt. Deshalb rät das BSI, für den zweiten Faktor möglichst nicht dasselbe Gerät zu nutzen wie fürs Login.
Wie eine Authenticator-App den Code erzeugt
Eine TOTP-App löst zwei dieser Probleme. Beim Einrichten tauschst du mit dem Dienst einmalig ein Geheimnis aus, meist über einen QR-Code. Aus diesem Geheimnis und der aktuellen Uhrzeit rechnet die App alle 30 Sekunden einen neuen Code aus, ganz ohne Verbindung nach außen. Es gibt keine Rufnummer zum Umleiten, und weil der Code offline entsteht, kann ihn niemand auf dem Übertragungsweg abfangen. Gegen eine perfekt nachgebaute Phishing-Seite hilft aber auch die App nicht, denn den abgetippten Code kann ein Betrüger weiterreichen, solange er frisch ist.
Was Passkeys und Sicherheitsschlüssel anders machen
Genau diese letzte Lücke schließen die FIDO-Verfahren, zu denen Sicherheitsschlüssel und Passkeys gehören. Statt eines Codes zum Abtippen arbeiten sie mit einem Schlüsselpaar. Beim Einrichten erzeugt dein Gerät zwei zusammengehörige Schlüssel. Der öffentliche wandert zum Dienst, der private bleibt auf deinem Gerät und verlässt es nie. Beim Login beweist dein Gerät kryptografisch, dass es den privaten Schlüssel besitzt, ohne ihn herzugeben. Laut FIDO Alliance wird dabei kein Geheimnis übertragen, das jemand abfischen könnte.
Der entscheidende Punkt: Ein Passkey ist fest an die echte Adresse der Website gebunden. Landest du auf einer täuschend ähnlichen Fälschung, springt er schlicht nicht an, weil die Domain nicht passt. Damit ist das Verfahren von Haus aus phishing-resistent, während Code-Verfahren darauf bauen, dass du die Fälschung selbst erkennst. Deshalb stehen gerätegebundene Passkeys und Hardware-Sicherheitsschlüssel in der BSI-Bewertung ganz oben.
Ist ein Passkey überhaupt noch Zwei-Faktor?
Ein Passkey wirkt beim Anmelden wie ein einziger Schritt, du entsperrst nur dein Gerät. Trotzdem stecken zwei Faktoren darin: der Besitz des Geräts mit dem privaten Schlüssel und die Biometrie oder PIN, mit der du das Gerät freigibst. Bei Google entfällt der zweite Bestätigungsschritt darum sogar, weil der Passkey selbst schon nachweist, dass das Gerät in deinem Besitz ist. Die Idee dahinter ist dieselbe wie bei klassischem 2FA, nur eleganter verpackt.
Dein Smartphone ist der Dreh- und Angelpunkt
Bei fast allen dieser Verfahren spielt ein Gerät die Hauptrolle, und meist ist es dein Smartphone. Es trägt die Authenticator-App, empfängt die Push-Bestätigung und speichert deine Passkeys. Damit wird das Handy zum zentralen Schlüsselbund für dein digitales Leben, und das hat zwei praktische Folgen beim Gerätewechsel.
Kaufst du ein neues oder ein generalüberholtes Smartphone, richte deine wichtigsten Konten von Anfang an mit 2FA neu ein und erzeuge deine Passkeys auf dem neuen Gerät. Und bevor du dein altes Handy weggibst, entferne es in den Kontoeinstellungen als vertrautes Gerät, lösche die Authenticator-Einträge und setze es vollständig zurück, sonst bleibt es ein gültiger zweiter Faktor in fremder Hand. Ein sauber zurückgesetztes, im Haus geprüftes Gerät bringt umgekehrt keine fremden Konten mit. Wichtig ist außerdem ein Ersatz, falls das Gerät verloren geht: Das BSI rät ausdrücklich, mehrere zweite Faktoren zu hinterlegen, etwa Backup-Codes oder einen zusätzlichen Sicherheitsschlüssel.
Talkis Empfehlung
Zwei-Faktor-Authentifizierung ist der wirksamste Einzelschritt, mit dem du deine Konten absichern kannst, und sie kostet dich nach dem Einrichten kaum Zeit. Fang bei deinem E-Mail-Konto an, denn es ist der Generalschlüssel zu allem anderen, und arbeite dich dann zu Banking, Shopping und sozialen Netzwerken vor. Nutze wo möglich eine Authenticator-App oder einen Passkey statt der SMS, und leg dir für jedes Konto einen Ersatzweg zurecht, damit du dich nicht selbst aussperrst. Und behandle das Smartphone, auf dem all das liegt, entsprechend sorgsam: mit Displaysperre, aktuellen Updates und einem sauberen Zustand beim Weitergeben.
Häufige Fragen
Was ist Zwei-Faktor-Authentifizierung einfach erklärt? Ein zweiter Nachweis zusätzlich zum Passwort. Erst wenn beides stimmt, das Passwort und zum Beispiel ein Code auf deinem Handy, kommst du ins Konto. Selbst wenn jemand dein Passwort kennt, fehlt ihm der zweite Faktor.
Welches 2FA-Verfahren ist am sichersten? Gerätegebundene Passkeys und Hardware-Sicherheitsschlüssel nach dem FIDO-Standard. Sie sind an die echte Website gebunden und geben kein abfischbares Geheimnis heraus, also von Haus aus phishing-resistent. Danach folgen Authenticator-Apps, dann Push-Bestätigungen, am Ende die SMS.
Ist die Zwei-Faktor-Authentifizierung per SMS sicher genug? Sie ist besser als gar kein zweiter Faktor, gilt aber als das schwächste Verfahren, weil Codes über eine getauschte SIM umgeleitet oder über eine Phishing-Seite abgefangen werden können. Bietet ein Dienst eine Authenticator-App oder Passkeys an, nimm lieber die.
Was passiert, wenn ich mein Handy verliere? Dann brauchst du einen Ersatzweg. Das BSI rät, von vornherein mehrere zweite Faktoren zu hinterlegen, etwa Backup-Codes oder einen zusätzlichen Sicherheitsschlüssel. Ohne Ersatz kann es passieren, dass du dich selbst aussperrst.
Muss ich vor dem Verkauf meines alten Smartphones etwas beachten? Ja. Entferne das Gerät in den Kontoeinstellungen als vertrautes Gerät, lösche die Einträge in der Authenticator-App und setze das Handy vollständig zurück. Sonst bleibt es ein funktionierender zweiter Faktor, auch wenn es nicht mehr dir gehört.
Ist ein Passkey noch Zwei-Faktor-Authentifizierung? Im Kern ja. Auch wenn es sich wie ein Schritt anfühlt, kombiniert ein Passkey den Besitz deines Geräts mit der Biometrie oder PIN, mit der du es entsperrst. Bei Google ersetzt er den separaten zweiten Schritt, weil er den Gerätebesitz bereits nachweist.
Quellen und zum Weiterlesen
- BSI: Zwei-Faktor-Authentisierung (Definition der drei Faktor-Kategorien Wissen, Besitz, Biometrie; Empfehlung, 2FA überall zu aktivieren; mehrere zweite Faktoren hinterlegen).
- BSI: Technische Betrachtung: Sicherheit bei 2FA-Verfahren (Rangfolge der Verfahren, SMS-/E-Mail-TAN als schwächste, gerätegebundene Passkeys als stärkste, kein Geheimnis wird übertragen).
- FIDO Alliance: Passkeys (Schlüsselpaar aus öffentlichem und privatem Schlüssel, phishing-resistent, an die Domain gebunden).
- Apple Support: Zwei-Faktor-Authentifizierung für den Apple Account (sechsstelliger Bestätigungscode auf vertrauten Geräten, Passwort plus Code beim Login).
- Google-Konto-Hilfe: Bestätigung in zwei Schritten aktivieren (Passkeys ersetzen den zweiten Schritt, Sicherheitsschlüssel gegen Phishing, Codes nie weitergeben).