Zwei-Faktor-Authentisierung: So schützen Sie Ihre Accounts

Stand:
Auch im digitalen Raum möchten Sie Ihre Daten sicher wissen. Neben starken Passwörtern kann hier vor allem eine Zwei-Faktor-Authentisierung (2FA) helfen. Hier erfahren Sie, was das ist und wie Sie das Verfahren einrichten können.
Eine Person hält ein Telefon auf dem biometrische Identifikationssymbole sind. Daneben ein Laptop mit einer Anmeldemaske.

Das Wichtigste in Kürze:

  • Sie können sich besser vor Fremdzugriffen auf Nutzerkonten und Identitätsdiebstahl schützen, wenn Sie eine Zwei-Faktor-Authentisierung (2FA) nutzen. Sie wird teilweise auch als Zwei-Faktor-Authentifizierung bezeichnet.
  • Die 2FA bestätigt Ihre Identität aus zwei unterschiedlichen Quellen und erschwert es Kriminellen, auf Ihre Daten zuzugreifen.
  • Schützen Sie besonders sensible Accounts: Neben Online-Banking-Anwendungen, sollten Sie, wenn möglich, Ihr E-Mail-Postfach und Ihre Social-Media-Profile mit Zwei-Faktor-Authentisierung schützen.
  • Verfahren die SMS-TAN oder E-Mail als zweiten Faktor nutzen sind nicht mehr die sicherste und einfachste Variante. Erfahren Sie hier mehr über andere Methoden zur Zwei-Faktor-Authentiserung.
On

Nachdem Sie beim Login Ihre Nutzerdaten eingegeben haben, erhalten Sie noch einen Bestätigungscode per SMS oder E-Mail. Ist das der Fall, haben Sie sich per Zwei-Faktor-Authentisierung – häufig auch Zwei-Faktor-Authentifizierung oder 2FA genannt – eingeloggt. In dieser Form ist das Verfahren bereits weitestgehend bekannt. Dass es aber noch verschiedene weitere und sicherere Möglichkeiten der Zwei-Faktor-Authentisierung gibt, ist weniger geläufig. Dabei können diese erheblich zum Schutz Ihrer persönlichen Daten beitragen.

Was ist Zwei-Faktor-Authentisierung (2FA)?

Sind Passwort und Nutzername einmal in falsche Hände geraten, kann sich auch eine andere Person im Internet ohne Probleme in Ihre Accounts einloggen. Um das zu verhindern, gibt es die sogenannte Zwei-Faktor-Authentisierung. Das heißt: Zusätzlich zu den üblichen Log-In-Daten benötigen Sie noch einen zweiten Faktor, um sich einzuloggen.

Bei diesem zweiten Faktor kann es sich beispielsweise um einen Bestätigungscode per E-Mail, eine SMS-TAN oder ein Einmal-Passwort handeln. Eine Alternative zu SMS-TANs stellen Code-Generatoren  in Form von Smartphone-Apps dar, die beispielsweise genutzt werden können, wenn Sie einem Anbieter Ihre Handynummer nicht anvertrauen möchten. Mittlerweile sind auch biometrische Verfahren sehr verbreitet, beispielsweise Gesichts- oder Fingerabdrockscans über das Smartphone. Teilweise werden daneben auch sogenannte Hardware-Tokens verwendet. Das sind kleine separate Gegenstände mit einem verbauten Sicherheitschip, die meist in Form eines USB-Sticks oder einer Plastikkarte kommen. Aber: Nicht jeder Online-Dienst bietet alle Möglichkeiten an.

Wichtig ist, dass Sie sich mit nur einem Faktor – also nur dem Passwort oder nur dem Bestätigungscode aus anderer Quelle – nicht einloggen können. Gelangen fremde Personen an Ihr Passwort, ist Ihr Account nämlich dennoch geschützt, da sie nicht auch noch über den erforderlichen zweiten Faktor verfügen.

Wann ist die Zwei-Faktor-Authentisierung Pflicht?

Beim Online-Banking ist die Zwei-Faktor-Authentisierung vorgeschrieben. Daher ist sie in diesem Bereich besonders bekannt.

Auch bei anderen Dienstleistungen ist es aber durchaus sinnvoll, die eigenen Daten mit einem zweiten Faktor abzusichern. Dies gilt besonders für die eigene E-Mail-Adresse, da diese von der Mehrheit auch als Benutzername bei weiteren Accounts eingesetzt wird. Wird das Passwort des E-Mail-Accounts geknackt, können Kriminelle der Reihe nach die Passwörter anderer Accounts zurücksetzen und Sie von diesen ausschließen. Daher sollten Sie vor allem Ihre E-Mail-Adresse mit einem zweiten Faktor zusätzlich absichern.

Ähnlich sensibel wie die E-Mail-Adresse sind Social-Media-Accounts, da Täter:innen über diese Plattformen schnell Falschinformationen im Namen des Opfers verbreiten können.

Wie lange dauert der Login mit 2FA?

Da mit der Anzahl an Daten, die im digitalen Raum gespeichert werden, auch die Anzahl derer zunimmt, die diese abgreifen möchten, ist es sinnvoll, die eigenen Daten durch einen sicheren Login zu schützen.

In der Regel dauert es nicht lange, eine Zwei-Faktor-Authentisierung einzurichten. Ist sie einmal eingerichtet, verlängert sich der Login nur um wenige Sekunden – und je regelmäßiger Sie das Verfahren nutzen, desto leichter wird der Umgang mit der Methode.

Wie richte ich die Zwei-Faktor-Authentisierung ein?

Die Einrichtung der Zwei-Faktor-Authentifizierung hängt von der Anwendung ab. Typischerweise fragen Dienste bereits im Rahmen des Registrierungsvorgangs, ob Sie eine 2FA einrichten möchten. Manche Dienste schreiben sie auch verpflichtend vor.

Wollen Sie die 2FA im Nachhinein aktivieren, so finden Sie die Funktion häufig unter den Benutzereinstellungen. Wer nicht fündig wird, sollte sich nicht scheuen, den Kundenservice zu kontaktieren, da die Freischaltung leider manchmal sehr versteckt ist. Derzeit bieten auch nicht alle Portale ein solches Login-Verfahren an, wobei die Zahl stetig wächst.

Welche Accounts sollten Sie mit Zwei-Faktor-Authentisierung absichern?

Generell ist eine Zwei-Faktor-Authentisierung besonders sinnvoll, wenn in dem Account oder Portal persönliche und insbesondere sensible Daten gespeichert sind. Dazu zählt natürlich das Online-Banking, für das die 2FA bereits verpflichtendist, aber auch Bezahldienste, die das Verfahren optional anbieten. Beispiele sind PayPal oder Klarna.

Besonders schützenswert sind außerdem das E-Mail-Postfach und Social-Media-Profile. Grund dafür ist neben bereits genanntem, dass in E-Mails oder anderen privaten Nachrichten häufig sehr private Details preisgegeben werden. Diese Informationen sollten nicht von Kriminellen abgegriffen werden können.

Was muss ich tun, wenn ein "Faktor" verloren geht?

Sollte Ihnen der zweite Faktor verloren gehen – beispielsweise weil die App gelöscht wurde oder das Handy nicht mehr funktioniert –, können Sie das Authentisierungsverfahren wiederherstellen. Es kommt hierbei vor allem darauf an, welches Verfahren Sie gewählt haben und welche Möglichkeiten das Portal bietet.

Häufig werden schon bei der Einrichtung des Verfahrens Wiederherstellungsschlüssel erstellt, die Sie dann nutzen können. Meistens können Sie sich auch persönlich bei dem Portal melden, um Ihren Account wieder freizuschalten.

Erkundigen Sie sich direkt beim Portal, am besten schon bei der Einrichtung des Verfahrens. Dann wissen Sie im Ernstfall sofort, was zu tun ist.

Welche Verfahren zur Zwei-Faktor-Authentisierung gibt es?

Eine Umfrage im Auftrag des Verbraucherzentrale Bundesverbands im April 2021 ergab, dass zwar viele bereits von weitverbreiteten Varianten der 2FA gehört haben, das Verfahren an sich aber nicht sehr bekannt war.

Die folgenden Verfahren waren den meisten Befragten bereits ein Begriff:

85 % SMS-TAN 76 % Code per E-Mail 70 % eTAN, chipTAN, photoTAN 61 % Fingerabdruck oder Gesichtsscan

Nur wenige der Befragten kannten andere Verfahren. Dabei sind diese nicht so bekannten Verfahren sicherer als das Standardvorgehen, bei dem eine SMS mit Bestätigungscode verschickt wird. Einen Überblick über die verschiedenen Verfahren finden Sie hier:

Zwei-Faktor-Authentisierung per E-Mail

Beim Login erhalten Sie zur Bestätigung Ihrer Identität einen Bestätigungscode an Ihre E-Mail-Adresse. Diese müssen Sie zuvor bei dem Online-Dienst registriert haben. Es kann sein, dass derartige Mails im Spam-Ordner verschwinden und von dort wieder herausgesucht werden müssen.

SMS-TAN

Beim Login erhalten Sie zur Bestätigung Ihrer Identität einen Bestätigungscode per SMS. Ihre Handynummer müssen Sie zuvor bei dem Dienst registriert haben. Da eine SMS-TAN theoretisch leichter von unbefugten Dritten abgefangen werden kann, gilt das System als nicht so sicher wie andere 2FA-Verfahren.

Softwarebasierte Verfahren zur Zwei-Faktor-Authentisierung

Während der Anmeldung müssen Sie einen weiteren Code eingeben – beispielsweise ein sogenanntes TOTP (Time-based One-Time Password). Dieses ist zeitlich begrenzt und wird bei jedem Login neu generiert. Im besten Fall wird dieses Einmalpasswort von einer Software generiert, die auf einem separaten Gerät installiert ist. Apps von Banken verwenden oft eine solche softwarebasierte Methode.

Typischerweise wird diese Technik im Rahmen der sogenannten Authentifizierungsapps verwandt, wie etwa dem Microsoft oder Google Authenticator.

Hardwarebasierte Verfahren zur Zwei-Faktor-Authentisierung

Zum Login verwenden Sie einen sogenannten Token. Das kann eine Chipkarte sein, die Sie über einen Kartenleser verwenden oder ein Token, der einem USB-Stick ähnelt und über den USB-Anschluss an Ihr Gerät angeschlossen wird.

Derartige Token kosten gerne um die 30 Euro in der Anschaffung und haben naturgemäß den physischen Nachteil, dass man sie stets dabei haben sollte und, dass sie auch mal verloren gehen können. Es bieten sich daher Schlüsselanhängerlösungen an und Sie sollten sich Gedanken um eine Wiederherstellungsfunktion im Verlustfalle machen.

Personalausweis als Authentisierungsmethode (eID)

Sie nutzen Ihren Personalausweis, um sich bei einem Dienst zu identifizieren. Die Funktion ist in der Regel schon aktiviert, wenn der Personalausweis ausgestellt wird. Expert:innen halten diese Methode für sehr sicher.

Bislang führte der Personalausweis als Authentisierungsmethode (eID) leider ein wenig beachtetes Nischendasein, da es kaum praktische Anwendungsfälle gab. Dies soll sich nach dem Willen der Bundesregierung in Zukunft mit Blick auf die Digitalisierung der Verwaltungsleistungen und der Einrichtung des Bürgerkontos ändern.

Biometrie als PIN- oder Passwort-Ersatz

Beim Login verwenden Sie ein biometrisches Merkmal, beispielsweise einen Fingerabdruck oder Ihr Gesicht, um sich zu identifizieren. Diese Verfahren werden von Expert:innen als sehr sicher und empfehlenswert erachtet.

Empfehlungen für die Zwei-Faktor-Authentisierung

Um Ihre Daten bestmöglich zu schützen, empfehlen die Verbraucherzentralen (wenn möglich) die Zwei-Faktor-Authentisierung zu verwenden. Beachten Sie außerdem Folgendes:

  • Schützen Sie besonders Ihre E-Mail-Konten und Social-Media-Profile.
  • Nutzen Sie auch zur Wiederherstellung Ihres Accounts oder Ihrer Nutzungsdaten – auch "Recovery" genannt – ein sicheres Verfahren.
  • Nutzen Sie nach Möglichkeit keine SMS-TAN oder E-Mail als zweiten Faktor. Richten Sie ein sichereres Verfahren ein.
    Dennoch gilt: auch Zwei-Faktor-Verfahren mit SMS-TAN und E-Mail sind sicherer als ein Login mit nur einem Faktor.
  • Nutzen Sie für ein richtiges Zwei-Faktor-Verfahren mehrere Geräte: z.B. die TAN-App auf einem anderen Gerät als die Banking-Anwendung.
  • Wenn Sie biometrische Verfahren nutzen, verwenden Sie verschiedene Merkmale für verschiedene Anwendungen.
  • Scheuen Sie sich nicht davor, ein für Sie noch unbekanntes Verfahren zu verwenden. Nutzen Sie das Verfahren regelmäßig, werden Sie sich schnell daran gewöhnen.
  • Verfahren, die derzeit noch selten angeboten werden, aber sicher sind, werden sich vermutlich in Zukunft durchsetzen. Wenn Sie schon jetzt diese Verfahren verwenden, ist die Umstellung später nicht so schwierig.
  • Sollten Sie ein neueres Verfahren verwenden, können Sie mit Ihren Anregungen und Kommentaren an die Online-Dienste zur Verbesserung der Gebrauchstauglichkeit des Verfahrens beitragen.

Keine absolute Sicherheit

Auch mit einem zweiten Faktor wie E-Mail oder SMS sind Sie nicht absolut sicher vor Kriminellen. Die Grafik zeigt, warum Sie sich nicht komplett auf diese Verfahren verlassen sollten. Wichtig ist immer, dass Sie genau auf die Adresse der Internetseite in Ihrem Browser achten! Prüfen Sie, ob sie tatsächlich zu der Seite gehören kann, die auf Ihrem Bildschirm dargestellt wird. Sehen Sie zum Beispiel die Seite einer Bank mit dem Namen Musterbank und lautet die Adresse beispielsweise 12345.com statt etwa musterbank.de, ist mit Sicherheit etwas faul. Sie sollten dann auf der Internetseite nichts eingeben und den Browser schließen!

So können Hacker die Zwei-Faktor-Authentisierung (2FA) aushebeln
Opfer meldet sich mit Nutzernamen & Passwort auf gefälschter Angreiferseite an
Gefälschte Angreiferseite, Login-Daten werdenvom Angreifer in Echtzeit abgefangen
Tipp prüfen Sie immer die Adresse in der Adressleiste des Browsers
Angreifer meldet sich mit Login-Daten auf der echten Seite an
Webportal sendet  SMS oder E-Mail als 2FA an Opfer
Opfer gibt Code aus SMS/E-Mail auf gefälschter Angreiferseite ein
Angreifer nutzt Code  von der Phishing-Seite für  Login auf der echten Seite
Täter ist im echten Konto  des Opfers
MFA
MFA
Grafische Darstellung der Möglichkeiten sich vor Cybercrime zu schützen

Sicher im Internet - Handy, Tablet und PC schützen

Cybercrime betrifft längst nicht mehr nur eine geringe Anzahl von Menschen. Wie Sie sich vor Datenklau, Viren und unsicheren Netzwerken schützen können, lesen Sie hier. 

Ein Handydisplay, auf dem Prime Video steht

Sammelklage gegen Amazon Prime: Klageregister geöffnet

Im Januar 2024 kündigte Amazon an, ab Februar Werbung auf seinem Video-Streaming-Angebot zu schalten. Nur gegen einen Aufpreis von 2,99 Euro pro Monat blieb Amazon Prime werbefrei. Die Verbraucherzentralen hielten das für unzulässig. Nun ist das Klageregister für eine Sammelklage geöffnet.
Kopf aus Glas mit Tabletten und Pillen

Endlich Höchstmengen für Vitamine und Mineralstoffe?

Es ist eine langjährige Forderung der Verbraucherzentralen: Einheitliche europäische Höchstmengen für Vitamine und Mineralstoffe in Nahrungsergänzungsmitteln.
Hausfront mit mehreren Balkonen mit Steckersolarmodulen

Neue Gesetze und Normen für Steckersolar: Was gilt heute, was gilt (noch) nicht?

Für Balkonkraftwerke gelten zahlreiche Vorgaben, die politisch oder technisch definiert sind. Was ist heute erlaubt und was nicht? Verschaffen Sie sich einen Überblick über Änderungen und Vereinfachungen.