USB-Sicherheitsschlüssel gelten als besonders sicher. Hier im Bild der Titan Security Key von Google. Modelle mit NFC-Funk funktionieren auch mit Smartphones.
Passwörter sind für Angreifer oft recht leicht zu knacken. Wer seine Online-Konten besser schützen will, setzt auf die Zwei-Faktor-Authentifizierung, kurz: 2FA. Dann wird beim Login neben dem Passwort noch ein zweiter Faktor abgefragt – etwa ein per SMS versandter oder per App generierter Pin-Code. Viele Online-Portale bieten 2FA-Optionen an. Hier lesen Sie, wie 2FA funktioniert und warum das sinnvoll ist.
Darum ist doppelte Sicherung wichtig
Beim herkömmlichen Login-Verfahren fragen die meisten Onlinedienste lediglich zwei Dinge ab: Das Passwort des Nutzers und den Login-Namen – oft ist das eine E-Mail-Adresse. Die E-Mail-Adresse ist normalerweise öffentlich, sprich: Sie ist nicht geheim.
Geheim ist nur das vom Nutzer gespeicherte Passwort. Gelangt es in die Hände eines unbefugten Dritten (etwa durch ein Datenleck beim Anbieter oder weil Nutzer es unbedacht an Fremde weitergegeben haben), bekommt dieser uneingeschränkten Zugriff auf das jeweilige Konto – und oft auch noch auf weitere Konten.
Darum haben Hacker oft leichtes Spiel
Trotz der Warnungen von Sicherheitsexperten verwenden viele Nutzer ein- und dasselbe Passwort für mehrere Onlinedienste. Ein erfolgreicher Angriff gefährdet dann gleich mehrere Konten. Unsichere Passwörter sind daher ein willkommenes Einfallstor für Hacker. Angreifer arbeiten in einem ersten Schritt Listen beliebter Passwörter ab und knacken so im Handumdrehen etwa das E-Mail-Postfach, den Twitter-Account oder den Zugang zu einem Bezahldienst.
Tipp: Nutzen Sie für jeden Dienst ein eigenes, starkes Passwort. Meiden Sie simple Zeichenfolgen wie „0000“, „12345678“ und „passwort“. Tipps zum Erstellen starker Passwörter finden Sie im kostenlosen Special Datensicherheit: 10 Tipps für sicheres Surfen. Oder Sie nutzen einfach einen Passwortmanager.
2FA funktioniert wie Bankkarte plus Pin
Banken nutzen die Zwei-Faktor-Authentifizierung seit Jahrzehnten: Wer am Geldautomaten Geld abheben will, benötigt neben seiner persönlichen Bankkarte zusätzlich noch die dazugehörige Pin-Geheimnummer. Diese Kombination zweier voneinander unabhängiger Faktoren – Wissen (Pin-Nummer) plus Besitz (Karte) – bietet einen deutlich erhöhten Schutz vor Missbrauch.
Im Internet ermöglichen daher immer mehr Unternehmen ihren Kunden, die Zwei-Faktor-Authentifizierung zu verwenden. Zu den Vorreitern gehören hier erneut Banken – etwa beim Onlinebanking per Girokonto, beim Zahlen per Kreditkarte im Netz oder bei Online-Transaktionen innerhalb des eigenen Wertpapierdepots.
PC + Smartphone = noch besserer Schutz
Guten Schutz bietet das Verfahren Nutzern insbesondere dann, wenn sie für 2FA auch zwei Geräte verwenden – also etwa, indem sie am PC das Online-Banking aufrufen, den temporären Login-Code aber auf ihrem Handy empfangen. Dann müsste ein Angreifer gleich zwei Geräte des Nutzers kontrollieren können, um an dessen Daten zu kommen. Das ist unwahrscheinlich. Zwei Geräte, starke Passwörter und Zwei-Faktor-Authentifizierung – diese Kombi verspricht viel Sicherheit. Zusätzlich sollten Nutzer auf jeden Fall ein Antivirenprogramm auf ihrem Computer verwenden – auch das schützt gegen Angriffe und Hacks.
2FA-Verfahren im Überblick
Die sechs gebräuchlichsten 2FA-Verfahren stellen wir Ihnen hier vor.
Zwei-Faktor-Authentifizierung per SMS
Das am weitesten verbreitete Verfahren ist die Zwei-Faktor-Authentifizierung mittels SMS. Dafür hinterlegt der Nutzer seine Mobilfunknummer beim jeweiligen Onlinedienst. Wenn er sich etwa am PC mit seinem Nutzernamen und Passwort (erster Faktor: Wissen) bei einem Dienst einloggt, schickt dieser eine SMS mit einem weiteren Code auf das Mobiltelefon (zweiter Faktor: Besitz).
Diesen Code geben die Nutzer anschließend auf der Internetseite des Onlinedienstes ein. Dabei tickt oft die Uhr: In der Regel akzeptiert die Webseite den Code nur innerhalb eines kurzen Zeitraums. Das erhöht die Sicherheit weiter. Noch sicherer wird dieses Verfahren, wenn Nutzer über die Einstellungen ihres Smartphones verhindern, dass es die SMS auf dem Sperrbildschirm anzeigt – und damit für jedermann sichtbar ist.
So bleiben SMS-Inhalte geheim
Wird der Code für die 2FA per SMS zugestellt, lässt sich über die Handy-Einstellungen verhindern, dass er auf dem Sperrbildschirm Ihres Smartphones angezeigt wird. Das geht auf vielen Handys so:
Android-Handys: Einstellungen > App-Benachrichtigungen > Nachrichten-Vorschau.
iPhones (Weg 1): Einstellungen > Mitteilungen > Nachrichten > Vorschauen zeigen.
Auf diesem Weg wird die Anzeige von SMS und Messenger-Dienst-Mitteilungen im Sperrbildschirm deaktiviert.
iPhones (Weg 2): Einstellungen > Mitteilungen > Vorschauen zeigen.
Vorsicht: Auf diesem Weg wird die Anzeige von Mitteilungen aller Apps im Sperrbildschirm deaktiviert.
Zwei-Faktor-Authentifizierung per Einmalkennwort
Ein weiteres, ebenfalls häufig verwendetes Verfahren ist das Nutzen von One-Time-Passwords (OTP), also Einmalkennwörtern. Während der Registrierung zeigt die Webseite einen QR-Code – diesen fotografieren die Nutzer über die Kamera des Smartphone mit speziellen „Authenticator“-Apps, wie sie etwa von Google und Microsoft angeboten werden.
Bei jedem Login berechnet die App dann einen sechsstelligen Code, den Nutzer in der Anmeldemaske der jeweiligen Webseite eingeben. Dieser Code gilt nur kurze Zeit. Das Verfahren ist standardisiert: Die Apps funktionieren bei jeder Webseite, die OTP unterstützt.
Zwei-Faktor-Authentifizierung per Anruf
Anstatt sich den Code per SMS zusenden zu lassen, kann der Nutzer sich von einigen Online-Diensten auch anrufen lassen. Den Code sagt dann eine Computerstimme an.
Zwei-Faktor-Authentifizierung per USB-Stick
Ein besonders sicheres Verfahren funktioniert mit einem persönlichen, sogenannten USB-Token als zweitem Identifikationsfaktor. Das ist ein spezieller USB-Stick, auf dem ein digitaler Sicherheitsschlüssel einprogrammiert ist. Daten lassen sich darauf nicht speichern.
Für die Initialisierung stecken Nutzer diesen Stick in die USB-Schnittstelle ihres Rechners. Nach Eingabe von Nutzernamen und Passwort drücken sie auf Aufforderung eine Taste auf diesem Stick. Das war‘s. Bei jedem folgenden Anmeldevorgang stecken Nutzer ihn in die USB-Buchse des gerade genutzten Rechners – oder koppeln ihn über den Nahfeldfunk NFC mit Smartphones.
Zwei-Faktor-Authentifizierung per E-Mail
Sehr selten bieten Internetdienste ein 2FA-Verfahren mittels E-Mail an. Hierbei senden sie den Nutzern als zweiten Faktor eine E-Mail mit einem Code oder Zusatzpasswort. Wir raten jedoch dringend, dafür einen anderen E-Mail-Account anzugeben als denjenigen, der für den Login genutzt wird. Sonst kann ein Angreifer, der das Passwort des E-Mail-Kontos kennt, auch die Einmal-Codes abfangen.
Anbieterspezifische Verfahren und „One-Click-Logins“
Vor allem von Social-Media-Diensten sind anbieterspezifische Lösungen bekannt. Verbreitet sind auch „One-Click-Logins“, bei dem die Nutzer keinen zweiten Code eingeben müssen. Stattdessen erscheint eine Pop-Up-Nachricht auf dem Smartphone, die der Nutzer bestätigen muss – das war‘s.
Solche Verfahren setzen zum Beispiel Messenger-Dienste wie WhatsApp, Signal und Telegram ein, aber auch Passwort-Manager wie Dashlane oder LastPass (Test Passwort-Manager).
Fazit: Doppelt hält besser
Sichere Passwörter plus ein zusätzliches, zweites Sicherheitsmerkmal schützen sehr wirksam vor Missbrauch der Onlinekonten durch Kriminelle. Selbst wenn Nutzer auf einen einfachen Phishing-Angriff hereinfallen und ihr Passwort offenbaren, können Fremde nicht auf den so geschützten Onlinedienst zugreifen, weil ihnen der notwendige zweite Faktor für einen erfolgreichen Login fehlt.
Ja, ich möchte Informationen zu Tests, Verbrauchertipps sowie unverbindliche Angebote der Stiftung Warentest (Hefte, Bücher, Abonnements von Zeitschriften und digitalen Inhalten) per E-Mail erhalten. Mein Einverständnis kann ich jederzeit widerrufen. Informationen zum Datenschutz
Dieses Thema ist im Juni 2017 erstmals auf test.de erschienen. Wir haben es zuletzt im Dezember 2020 überarbeitet.
