„Doppelt gesichert hält besser“. Auf diesem Prinzip beruht die Zwei-Faktor-Authentifikation, kurz 2FA. Sie ist eines der wirk­samsten Verfahren, um einen Account abzu­sichern. Bei populären Online­diensten sind es bisher vor allem große amerikanische Konzerne, die ihren Kunden die doppelt gesicherte Zugangs­berechtigung anbieten. Wir erklären unterschiedliche Methoden der Zwei-Faktor-Authentifikation und sagen, welche bekannten Unternehmen Kunden zusätzliche Sicherung anbieten.

Pass­wörter allein nicht immer hundert­prozentig sicher

Bei herkömm­lichen Login-Verfahren fragen die meisten Online­dienste lediglich zwei Dinge ab: Den Login-Namen – oft ist das die E-Mail-Adresse – und das Pass­wort des Nutzers. Die E-Mail-Adresse ist normaler­weise öffent­lich, sprich: nicht geheim. Geheim ist nur das vom Nutzer gespeicherte Pass­wort. Gelangt dieses in die Hände eines unbe­fugten Dritten – etwa durch ein Daten­leck beim Anbieter oder weil man es unbe­dacht an Fremde weiterge­geben hat – erlangt dieser uneinge­schränkten Zugriff auf dieses Konto – und oft auch noch auf weitere. Denn auch wenn Sicher­heits­experten immer wieder warnen, verwenden viele Nutzer ein und dasselbe Pass­wort für mehrere Online­dienste.

Ein weiteres Sicher­heits­merkmal

Bei der Zwei-Faktor-Authentifikation wird zusätzlich zum Pass­wort ein weiteres Sicher­heits­merkmal abge­fragt. Oft ist dies ein sechs­stel­liger Zahlencode. Diesen Code erhält der Verbraucher exklusiv von dem Online­dienst – und zwar jedes Mal, wenn er sich einloggt. Dieses zweite Sicher­heits­merkmal sollte er nicht auf demselben Gerät empfangen, auf dem er sich einloggt, sondern auf einem weiteren Gerät. In vielen Fällen lassen sich 2FA-Nutzer den zweiten Zugangs­code auf ihr Handy senden, während sie sich beispiels­weise am PC oder Notebook beim Online­dienst anmelden.

2FA – wie Bank­karte plus Pin-Geheim­nummer

In manchen Bereichen des alltäglichen Lebens ist das Prinzip Zwei-Faktor-Authentifikation schon seit Jahr­zehnten Normalität, etwa bei Bank­karten. Wer am Geld­automaten Geld abheben will, benötigt außer seiner persönlichen Bank­karte zusätzlich das Wissen der dazu­gehörigen Pin-Geheim­nummer. Diese Kombination zweier voneinander unabhängiger Faktoren – der Karte (Faktor Besitz) plus der Pin-Nummer (Faktor Wissen) – bietet einen deutlich erhöhten Schutz vor Miss­brauch als ihn lediglich einer der beiden Faktoren bieten würde. Zunehmend mehr Unternehmen bieten ihren Nutzern inzwischen die Möglich­keit an, eine Zwei-Faktor-Authentifikation beim Einloggen zu nutzen. Sie bieten dafür mehrere Verfahren an. Wir stellen die gebräuchlichsten vor.

Zusatz­faktor SMS

Das am weitesten verbreitete Verfahren ist die Zwei-Faktor-Authentifikation mittels einer zusätzlichen Benach­richtigung via SMS auf dem Mobiltelefon. Dafür muss der Nutzer seine Mobil­funk­nummer beim jeweiligen Online­dienst hinterlegen. Wenn er sich dann mit seinem Nutzer­namen und seinem Pass­wort (erster Faktor: Wissen) bei einem Dienst — etwa am PC oder Notebook — einloggt, bekommt er von diesem eine SMS mit einem weiteren Code auf sein Mobiltelefon (zweiter Faktor: Besitz) geschickt. Diesen Code muss er darauf­hin in ein dafür vorgesehenes Feld auf der Internetseite des Online­dienstes eingeben – in der Regel inner­halb eines kurzen Zeitraums. Der Nutzer benötigt nicht zwangs­weise ein Smartphone. Das Verfahren funk­tioniert auch mit einfachen Tasten­handys. 15 der 42 von uns untersuchten Onlin­dienste bieten 2FA an — die SMS-Möglich­keit haben alle im Portfolio, von Amazon bis Whatsapp.

Zusatz­faktor Anruf

Anstatt sich den zusätzlichen Code per SMS zusenden zu lassen, kann der Nutzer sich auch anrufen lassen. Problem bei dieser Methode kann sein, dass der Nutzer die Computer­stimme, die den Code durch­gibt, eventuell schwer oder nicht richtig versteht. Vorteil: Auch für dieses Verfahren benötigt der Anwender nicht zwangs­läufig ein Smartphone. Ein einfaches Handy genügt. Immerhin elf der 42 von uns untersuchten Dienste bieten diese 2FA-Möglich­keit an.

Zusatz­faktor Einmalkenn­wort (OTP)

Ein weiteres, vergleichs­weise häufig verwendetes Verfahren nutzt OTP. Diese Buch­staben stehen für One-Time-Pass­word, auf Deutsch Einmalkenn­wort. Während der Registrierung wird auf der Webseite ein QR-Code ange­zeigt, der für den initialen Schlüssel­austausch benötigt wird. Dieser wird über die Kamera des Smartphone direkt in einer speziellen App (zweiter Faktor) fotografiert. Zu den bekann­testen zählt beispiels­weise die Authenticator-App von Google und Microsoft. Die App berechnet darauf­hin auf dem Smartphone einen 6stel­ligen Code, der dann in der Anmeldemaske auf der Webseite einge­geben werden muss. Dieser Code wird alle 30 Sekunden neu erzeugt und verliert nach Ablauf dieser Zeitspanne seine Gültig­keit. Dann wird auto­matisch ein neuer erzeugt. Das Verfahren ist stan­dardisiert, jeder Benutzer kann sich aus einer Vielzahl von Apps eine aussuchen, die dann bei jeder Webseite mit diesem Verfahren funk­tioniert.

Zusatz­faktor Tan-Liste

Manche Unternehmen wie beispiels­weise Facebook, Youtube und Google Drive bieten ihren Nutzern auch die Verwendung von TAN-Nummern als zweiten Authentifikations­faktor an. TAN-Listen kennen viele Verbraucher, die Online­banking praktizieren Banken-Tan-Verfahren im Überblick. Diese Listen werden beim Einrichten eines Zugangs zu einem Webdienst ange­zeigt. Nutzer müssen diese Liste dann ausdrucken oder abschreiben. Jede TAN-Nummer von der Liste ist nur ein Mal gültig.

Herstel­lergebundene Verfahren

Vor allem einige populäre Social-Media-Dienste bieten auch sogenannte proprietäre, das heißt herstel­lergebundene Lösungen zur Authentifikation an. Für den Nutzer ist bei solchen Verfahren nicht immer ersicht­lich, wie diese umge­setzt sind. Manche Dienste bieten beispiels­weise ein „One-Click-Login“ an, bei dem kein zweiter Code einge­geben werden muss. Ein simples Bestätigen eines Pop-Ups auf dem Smartphone genügt. Wegen möglicher Unsicherheiten sollten Nutzer deshalb andere 2FA-Verfahren bevor­zugen.

Zusatz­faktor USB-Sicher­heits­schlüssel

Ein weiteres Verfahren funk­tioniert mit einem persönlichen, sogenannten USB-Token als zweitem Identifikations­faktor. Das ist im Grunde ein USB-Stick mit einem integrierten Hard­ware-Knopf, auf dem ein digi­taler Sicher­heits­schlüssel einprogrammiert ist. Daten lassen sich darauf nicht speichern. Nach Eingabe von Nutzer­namen und Pass­wort wird der Nutzer aufgefordert, die Hard­ware­taste auf dem in der USB-Schnitt­stelle steckenden Stick zu betätigen. Das war‘s. Allzu verbreitet ist dieses 2FA-Verfahren nicht. Von den von uns untersuchten 42 Diensten bieten es bisher lediglich fünf an.

Zusatz­faktor E-Mail

Noch seltener angeboten wird das 2FA-Verfahren mittels E-Mail. Beim E-Mail-Verfahren bekommt der Nutzer als zweiten Faktor eine E-Mail mit einem Code oder Zusatz­pass­wort an seine E-Mail-Adresse gesendet. Sinn­voll ist, dafür eine andere E-Mail-Adresse anzu­geben als diejenige, die man als Nutzer­name beim Login verwendet. Von den von uns untersuchten Diensten bieten lediglich Skype und Onedrive dieses 2FA-Verfahren an.

Deutsche Online­dienste bieten selten 2FA an

Mitt­lerweile unterstützen weit mehr Onlinedienste die Zwei-Faktor-Authentifikation als noch vor wenigen Jahren. Allerdings sind es vorwiegend amerikanische Social-Media-Unternehmen und Cloud-Dienste, die diesen erhöhten Sicher­heits­service anbieten. Von Facebook über Twitter bis zu Linkedin ist Zwei-Faktor-Authentifikation möglich, beim deutschen Branchenprimus Xing nicht. Bei den großen Onlineshops ist Amazon bisher der einzige 2FA-Anbieter. Deutsche Unternehmen wie Mediamarkt, Saturn und Co bieten die Möglich­keit nicht. Und auch bei den großen E-Mail- und Bezahl­diensten ist die Möglich­keit der Zwei-Faktor-Authentifikation nicht weit verbreitet. Fehl­anzeige bei 2FA besteht bei den großen, bekannten Paket­diensten sowie Trans­port­unternehmen wie der Bahn, Luft­hansa, Easyjet und Ryanair. Unternehmen, die Zwei-Faktor-Authentifikation anbieten, bieten meist mehrere Varianten an. In der Tabelle können Sie sehen, welcher Online­dienst welche Möglich­keiten der Zwei-Faktor-Authentifikation anbietet.

Fazit: Gutes Verfahren, zu selten im Angebot

Sichere Pass­wörter plus ein zusätzliches, zweites Sicher­heits­merkmal sind eine sehr wirk­same Methode, sich vor möglichem Miss­brauch seiner Online­konten durch Kriminelle zu schützen. Selbst wenn man auf einen Phishing-Angriff herein­gefallen ist, können Fremde nicht auf Ihre Online­dienste zugreifen, weil ihnen der notwendige zweite Faktor für einen erfolg­reichen Login fehlt. Bedauerlicher­weise bieten die meisten großen deutschen Online­dienste ihren Kunden diese Möglich­keit der Authentifikation nicht an.

Newsletter: Keinen Schnell­test verpassen

Mit den Newslettern der Stiftung Warentest sind Sie stets bestens informiert über neue Schnell­tests. Sie haben die Möglich­keiten, Newsletter aus verschiedenen Themen­gebieten auszuwählen test.de-Newsletter bestellen.

Dieser Artikel ist hilfreich. 28 Nutzer finden das hilfreich.