USB-Sicher­heits­schlüssel gelten als besonders sicher. Hier im Bild der Titan Security Key von Google. Modelle mit NFC-Chip funk­tionieren sogar mit Smartphones.

„Doppelt gesichert hält besser“. Auf diesem Prinzip beruht die Zwei-Faktor-Authentisierung (auch „Authentifizierung“), kurz 2FA. Dieser Schutz fehlte den kürzlich gehackten Promi-Accounts meist. Doch immer mehr Internet­services bieten ihn an, wie die Stiftung Warentest bei einer Unter­suchung von 45 Diensten fest­gestellt hat. Nutzer sollten den Schutz akti­vieren. Lesen Sie hier, wie 2FA funk­tioniert und welche Unternehmen – von Amazon bis YouTube – diese Sicherung anbieten.

Pass­wort allein garan­tiert keine Sicherheit

Beim herkömm­lichen Login-Verfahren fragen die meisten Online­dienste lediglich zwei Dinge ab: Das Pass­wort des Nutzers und den Login-Namen – oft ist das eine E-Mail-Adresse. Die E-Mail-Adresse ist normaler­weise öffent­lich, sprich: nicht geheim. Geheim ist nur das vom Nutzer gespeicherte Pass­wort. Gelangt dieses in die Hände eines unbe­fugten Dritten – etwa durch ein Daten­leck beim Anbieter oder weil Nutzer es unbe­dacht an Fremde weiterge­geben haben – erlangt dieser uneinge­schränkten Zugriff auf dieses Konto – und oft auch noch auf weitere.

Hacker haben oft leichtes Spiel

Fatal: Trotz Warnung von Sicher­heits­experten verwenden viele Nutzer ein und dasselbe Pass­wort für mehrere Online­dienste. Ein erfolg­reicher Angriff gefährdet dann mehrere Online-Services. Unsichere Pass­wörter sind ein will­kommenes Einfalls­tor für Hacker. Angreifer arbeiten in einem ersten Schritt Listen beliebter Pass­wörter ab und knacken so im Hand­umdrehen etwa das E-Mail-Post­fach, den Twitter-Account oder einen Bezahl­dienst.

Tipp: Nutzen Sie für jeden Dienst ein eigenes, starkes Pass­wort, meiden Sie simple Zeichen­folgen wie „0000“, „12345678“ und „pass­wort“. Mehr zum Thema in unserem Special Datenklau: Zehn Tipps gegen Hacks und Lecks.

2FA funk­tioniert wie Bank­karte plus Pin-Geheim­nummer

Banken nutzen die Zwei-Faktor-Authentisierung seit Jahr­zehnten. Wer am Geld­automaten Geld abheben will, benötigt außer seiner persönlichen Bank­karte zusätzlich die dazu­gehörige Pin-Geheim­nummer. Diese Kombination zweier voneinander unabhängiger Faktoren – Wissen (Pin-Nummer) plus Besitz (Karte) – bietet einen deutlich erhöhten Schutz vor Miss­brauch. Zunehmend mehr Internet-Unternehmen ermöglichen ihren Nutzern die Zwei-Faktor-Authentifikation beim Einloggen.

GMX und Web.de mit zweitem Faktor sichern

[Update 17. Juli 2019] Seit kurzem bieten auch die beiden in Deutsch­land sehr populären E-Mail-Dienste von GMX und Web.de die Extra-Absicherung per App an. Um sie einzurichten, müssen Kunden sich in ihr Post­fach einloggen und unter „Mein Account“ in „Sicherheit“ ganz unten auf „Zwei-Faktor-Authentifizierung akti­vieren“ klicken. Zur zusätzlichen Absicherung ist zunächst eine Mobil­funk­nummer anzu­geben, im weiteren Verlauf dann auch, mit welcher Authentifizierungs-App das Konto verknüpft werden soll. Unterstützt werden etwa der „Google Authenticator“, „Microsoft Authenticator“, „Authy“ und weitere. Eine solche App müssen Nutzer – sofern nicht schon vorhanden – also auf ihrem Handy einrichten. Wer ein externes Mail­programm anwendet, muss zusätzlich vom Anbieter ein „anwendungs­spezi­fisches Pass­wort“ anfordern, um weiterhin auf seine Mails zugreifen zu können. [Ende Update]

PC + Smartphone = noch besserer Schutz

Guten Schutz bietet das Verfahren Nutzern insbesondere, wenn sie für 2FA ihr Smartphone verwenden, während sie sich beispiels­weise am PC oder Notebook beim Online­dienst anmelden – zum zweiten Faktor kommt dann noch ein zweiter Über­tragungsweg. Am sichersten ist die Kombination aus einem langen, schwer errat­baren Pass­wort plus 2FA. Die sechs gebräuchlichsten Verfahren für sichere Anmeldung stellen wir vor.

2FA per SMS

Das am weitesten verbreitete Verfahren ist die Zwei-Faktor-Authentifikation mittels einer SMS. Dafür hinterlegt der Nutzer seine Mobil­funk­nummer beim jeweiligen Online­dienst. Wenn er sich etwa am PC oder Notebook mit seinem Nutzer­namen und seinem Pass­wort (erster Faktor: Wissen) bei einem Dienst einloggt, schickt dieser eine SMS mit einem weiteren Code auf das Mobiltelefon (zweiter Faktor: Besitz). Diesen Code geben die Nutzer darauf­hin in ein dafür vorgesehenes Feld auf der Internetseite des Online­dienstes ein. Dabei tickt oft die Uhr, in der Regel akzeptiert die Webseite den Code nur inner­halb eines kurzen Zeitraums. Das erhöht die Sicherheit.

Von Amazon bis YouTube. 34 der 45 von uns untersuchten Services bieten 2FA an — die SMS-Möglich­keit haben 22 davon im Portfolio, von Amazon über LinkedIn und Slack bis YouTube (Tabelle). Vorteil des SMS-Verfahrens: Ein normales Mobiltelefon genügt, ein Smartphone ist nicht erforderlich. Nutzer müssen Ihrem Service-Anbieter aber vertrauens­voll ihre Mobil­funk­nummer mitteilen. Besonders sicher wird dieses Verfahren, wenn Nutzer über die Einstel­lungen ihres Smartphones verhindern, dass es die SMS auf dem Sperr­bild­schirm ange­zeigt – und damit jedermann zugäng­lich ist.

So bleiben SMS geheim

Wird der Code für die 2FA per SMS zugestellt, lässt sich über die Handy-Einstel­lungen verhindern, dass er auf dem Sperr­bild­schirm Ihres Smartphones ange­zeigt wird – und zwar wie folgt:

Android-Handys. Einstel­lungen | App-Benach­richtigungen | Nach­richten-Vorschau.

iPhones. Einstel­lungen | Mitteilungen | Vorschauen zeigen (deaktiviert die Anzeige von Mitteilungen aller Apps) oder Einstel­lungen | Mitteilungen | Nach­richten | Vorschauen zeigen (deaktiviert die Anzeige von SMS und Messenger-Dienst-Mitteilungen).

Ist die Vorschau-Funk­tion deaktiviert, werden Nach­richten erst dann sicht­bar, wenn das Smartphone entsperrt ist.

2FA per Einmalkenn­wort (OTP) und Authenticator-App

Ein weiteres, fast genauso häufig wie SMS verwendetes Verfahren nutzt OTP. Diese Buch­staben stehen für One-Time-Pass­word, auf Deutsch Einmalkenn­wort. Während der Registrierung zeigt die Webseite einen QR-Code. Diesen fotografieren die Nutzer über die Kamera des Smartphone mit speziellen Apps, wie sie etwa von Google und Microsoft angeboten werden.

Funk­tioniert nur mit Smartphone. Die App berechnet bei Anmelde­vorgängen einen 6stel­ligen Code. Den geben die Nutzer dann in der Anmeldemaske auf der Webseite des jeweiligen Online-Services ein. Dieser Code gilt nur kurze Zeit, meist wird er nach 30 Sekunden neu berechnet. Das Verfahren ist stan­dardisiert, die Apps funk­tionieren bei jeder Webseite, die OTP unterstützt. Vorteil: Kunden müssen niemandem weitere Angaben wie etwa eine Mobil­funk­nummer geben. Es ist aber zwingend ein Smartphone erforderlich.

2FA per Anruf

Anstatt sich den zusätzlichen Code per SMS zusenden zu lassen, kann der Nutzer sich auch anrufen lassen. Ein Nachteil ist die womöglich schwer verständliche Computer­stimme, die den Code durch­gibt. Nervige Fehl­eingaben drohen. Vorteil: Ein einfaches Handy genügt, sogar über Fest­netz­anschluss klappt es. Immerhin 4 der 45 von uns untersuchten Dienste bieten diese Möglich­keit an – 3 davon gehören zum Google-Konzern (Tabelle).

2FA per USB-Sicher­heits­schlüssel (mit NFC)

Ein weiteres, aus unserer Sicht besonders sicheres Verfahren funk­tioniert mit einem persönlichen, sogenannten USB-Token als zweitem Identifikations­faktor. Das ist ein spezieller USB-Stick, auf dem ein digi­taler Sicher­heits­schlüssel einprogrammiert ist. Daten lassen sich darauf nicht speichern. Für die Initialisierung stecken Nutzer diesen Stick in die USB-Schnitt­stelle ihres Rechners. Nach Eingabe von Nutzer­namen und Pass­wort drücken sie nach Aufforderung eine Taste auf diesem Stick. Das war‘s. Von da an ist dieser USB-Stick der ausschließ­lich für den Nutzer gültige zweite Faktor.

Über NFC koppeln. Bei jedem folgenden Anmelde­vorgang stecken Nutzer ihn in die USB-Buchse des gerade genutzten Rechners – oder koppeln ihn über den Nahfeld­funk NFC mit entsprechend ausgestatten Smartphones. Allzu verbreitet ist dieses Verfahren aber nicht. Nur 8 von 45 untersuchten Services bieten es derzeit an, darunter Facebook, Twitter und Dropbox (Tabelle).

2FA per E-Mail

Sehr selten bieten Internet­dienste ein 2FA-Verfahren mittels E-Mail an. Hierbei senden sie den Nutzern als zweiten Faktor eine E-Mail mit einem Code oder Zusatz­pass­wort an die beim Einrichten des Sicherungs­verfahrens hinterlegte E-Mail-Adresse. Das funk­tioniert ganz ohne Telefon. Wir raten jedoch dringend, dafür einen anderen E-Mail-Account anzu­geben als denjenigen, dessen E-Mail-Adresse für den Login genutzt wird.

Herstel­lergebundene Verfahren und „One-Click-Logins“

Vor allem von Social-Media-Diensten sind sogenannte proprietäre, das heißt herstel­lergebundene Lösungen für eine sichere Neuin­stallation bekannt. Verbreitet sind auch „One-Click-Logins“, bei dem die Nutzer keinen zweiten Code eingeben müssen. Es erscheint eine Pop-Up-Nach­richt auf dem Smartphone, die der Nutzer bestätigen muss – das wars. Solche Verfahren setzen zum Beispiel Messenger-Dienste wie WhatsApp, Signal und Telegram ein, aber auch Passwort-Manager wie Dashlane oder LastPass.

Fazit: Gute Verfahren, zu selten im Angebot

Sichere Pass­wörter plus ein zusätzliches, zweites Sicher­heits­merkmal schützen sehr wirk­sam vor möglichem Miss­brauch der Online­konten durch Kriminelle. Selbst wenn Nutzer auf einen einfachen Phishing-Angriff herein­fallen und ihr Pass­wort offen­baren, können Fremde nicht auf den so geschützten Online­dienst zugreifen, weil ihnen der notwendige zweite Faktor für einen erfolg­reichen Login fehlt. Konnten Nutzer bei unserem letzten Test im April 2017 ihren Zugang zu Internet­services nur in 15 von 42 Fällen damit sichern, fanden wir im Februar 2019 diese Option bereits bei 34 von 45 geprüften Angeboten. Bedauerlicher­weise bieten viele große deutsche Online­dienste wie GMX, T-Online und Web.de ihren Kunden noch immer nicht diese Möglich­keit der Authentifikation an (Tabelle).

Dieser Schnell­test erschien erst­mals am 14. Juni 2017 auf test.de. Er wurde am 12. März 2019 komplett aktualisiert.

Newsletter: Keinen Schnell­test verpassen

Mit den Newslettern der Stiftung Warentest sind Sie stets bestens informiert über neue Schnell­tests. Sie haben die Möglich­keiten, Newsletter aus verschiedenen Themen­gebieten auszuwählen test.de-Newsletter bestellen.

Dieser Artikel ist hilfreich. 67 Nutzer finden das hilfreich.