USB-Sicher­heits­schlüssel gelten als besonders sicher. Hier im Bild der Titan Security Key von Google. Modelle mit NFC-Funk funk­tionieren auch mit Smartphones.

Pass­wörter sind für Angreifer oft recht leicht zu knacken. Wer seine Online-Konten besser schützen will, setzt auf die Zwei-Faktor-Authentifizierung, kurz: 2FA. Dann wird beim Login neben dem Pass­wort noch ein zweiter Faktor abge­fragt – etwa ein per SMS versandter oder per App generierter Pin-Code. Viele Online-Portale bieten 2FA-Optionen an. Hier lesen Sie, wie 2FA funk­tioniert und warum das sinn­voll ist.

Darum ist doppelte Sicherung wichtig

Beim herkömm­lichen Login-Verfahren fragen die meisten Online­dienste lediglich zwei Dinge ab: Das Pass­wort des Nutzers und den Login-Namen – oft ist das eine E-Mail-Adresse. Die E-Mail-Adresse ist normaler­weise öffent­lich, sprich: Sie ist nicht geheim.

Geheim ist nur das vom Nutzer gespeicherte Pass­wort. Gelangt es in die Hände eines unbe­fugten Dritten (etwa durch ein Daten­leck beim Anbieter oder weil Nutzer es unbe­dacht an Fremde weiterge­geben haben), bekommt dieser uneinge­schränkten Zugriff auf das jeweilige Konto – und oft auch noch auf weitere Konten.

Darum haben Hacker oft leichtes Spiel

Trotz der Warnungen von Sicher­heits­experten verwenden viele Nutzer ein- und dasselbe Pass­wort für mehrere Online­dienste. Ein erfolg­reicher Angriff gefährdet dann gleich mehrere Konten. Unsichere Pass­wörter sind daher ein will­kommenes Einfalls­tor für Hacker. Angreifer arbeiten in einem ersten Schritt Listen beliebter Pass­wörter ab und knacken so im Hand­umdrehen etwa das E-Mail-Post­fach, den Twitter-Account oder den Zugang zu einem Bezahl­dienst.

Tipp: Nutzen Sie für jeden Dienst ein eigenes, starkes Pass­wort. Meiden Sie simple Zeichen­folgen wie „0000“, „12345678“ und „pass­wort“. Tipps zum Erstellen starker Pass­wörter finden Sie im kostenlosen Special Datensicherheit: 10 Tipps für sicheres Surfen. Oder Sie nutzen einfach einen Passwortmanager.

2FA funk­tioniert wie Bank­karte plus Pin

Banken nutzen die Zwei-Faktor-Authentifizierung seit Jahr­zehnten: Wer am Geld­automaten Geld abheben will, benötigt neben seiner persönlichen Bank­karte zusätzlich noch die dazu­gehörige Pin-Geheim­nummer.

Diese Kombination zweier voneinander unabhängiger Faktoren – Wissen (Pin-Nummer) plus Besitz (Karte) – bietet einen deutlich erhöhten Schutz vor Miss­brauch. Immer mehr Internet-Unternehmen ermöglichen ihren Nutzern ebenfalls die Zwei-Faktor-Authentifizierung beim Einloggen.

PC + Smartphone = noch besserer Schutz

Guten Schutz bietet das Verfahren Nutzern insbesondere dann, wenn sie für 2FA auch zwei Geräte verwenden – also etwa, indem sie am PC das Online-Banking aufrufen, den temporären Login-Code aber auf ihrem Handy empfangen. Dann müsste ein Angreifer gleich zwei Geräte des Nutzers kontrollieren können, um an dessen Daten zu kommen. Das ist unwahr­scheinlich. Zwei Geräte, starke Pass­wörter und Zwei-Faktor-Authentifizierung – diese Kombi verspricht viel Sicherheit. Zusätzlich sollten Nutzer auf jeden Fall ein Antivirenprogramm auf ihrem Computer verwenden – auch das schützt gegen Angriffe und Hacks.

nach oben

2FA-Verfahren im Über­blick

Die sechs gebräuchlichsten 2FA-Verfahren stellen wir Ihnen hier vor.

Zwei-Faktor-Authentifizierung per SMS

Das am weitesten verbreitete Verfahren ist die Zwei-Faktor-Authentifizierung mittels SMS. Dafür hinterlegt der Nutzer seine Mobil­funk­nummer beim jeweiligen Online­dienst. Wenn er sich etwa am PC mit seinem Nutzer­namen und Pass­wort (erster Faktor: Wissen) bei einem Dienst einloggt, schickt dieser eine SMS mit einem weiteren Code auf das Mobiltelefon (zweiter Faktor: Besitz).

Diesen Code geben die Nutzer anschließend auf der Internetseite des Online­dienstes ein. Dabei tickt oft die Uhr: In der Regel akzeptiert die Webseite den Code nur inner­halb eines kurzen Zeitraums. Das erhöht die Sicherheit weiter. Noch sicherer wird dieses Verfahren, wenn Nutzer über die Einstel­lungen ihres Smartphones verhindern, dass es die SMS auf dem Sperr­bild­schirm anzeigt – und damit für jedermann sicht­bar ist.

So bleiben SMS-Inhalte geheim

Wird der Code für die 2FA per SMS zugestellt, lässt sich über die Handy-Einstel­lungen verhindern, dass er auf dem Sperr­bild­schirm Ihres Smartphones ange­zeigt wird. Das geht auf vielen Handys so:

Android-Handys: Einstel­lungen > App-Benach­richtigungen > Nach­richten-Vorschau.

iPhones (Weg 1): Einstel­lungen > Mitteilungen > Nach­richten > Vorschauen zeigen.
Auf diesem Weg wird die Anzeige von SMS und Messenger-Dienst-Mitteilungen im Sperr­bild­schirm deaktiviert.

iPhones (Weg 2): Einstel­lungen > Mitteilungen > Vorschauen zeigen.
Vorsicht: Auf diesem Weg wird die Anzeige von Mitteilungen aller Apps im Sperr­bild­schirm deaktiviert.

Zwei-Faktor-Authentifizierung per Einmalkenn­wort

Ein weiteres, ebenfalls häufig verwendetes Verfahren ist das Nutzen von One-Time-Pass­words (OTP), also Einmalkenn­wörtern. Während der Registrierung zeigt die Webseite einen QR-Code – diesen fotografieren die Nutzer über die Kamera des Smartphone mit speziellen „Authenticator“-Apps, wie sie etwa von Google und Microsoft angeboten werden.

Bei jedem Login berechnet die App dann einen sechs­stel­ligen Code, den Nutzer in der Anmeldemaske der jeweiligen Webseite eingeben. Dieser Code gilt nur kurze Zeit. Das Verfahren ist stan­dardisiert: Die Apps funk­tionieren bei jeder Webseite, die OTP unterstützt.

Zwei-Faktor-Authentifizierung per Anruf

Anstatt sich den Code per SMS zusenden zu lassen, kann der Nutzer sich von einigen Online-Diensten auch anrufen lassen. Den Code sagt dann eine Computer­stimme an.

Zwei-Faktor-Authentifizierung per USB-Stick

Ein besonders sicheres Verfahren funk­tioniert mit einem persönlichen, sogenannten USB-Token als zweitem Identifikations­faktor. Das ist ein spezieller USB-Stick, auf dem ein digi­taler Sicher­heits­schlüssel einprogrammiert ist. Daten lassen sich darauf nicht speichern.

Für die Initialisierung stecken Nutzer diesen Stick in die USB-Schnitt­stelle ihres Rechners. Nach Eingabe von Nutzer­namen und Pass­wort drücken sie auf Aufforderung eine Taste auf diesem Stick. Das war‘s. Bei jedem folgenden Anmelde­vorgang stecken Nutzer ihn in die USB-Buchse des gerade genutzten Rechners – oder koppeln ihn über den Nahfeld­funk NFC mit Smartphones.

Zwei-Faktor-Authentifizierung per E-Mail

Sehr selten bieten Internet­dienste ein 2FA-Verfahren mittels E-Mail an. Hierbei senden sie den Nutzern als zweiten Faktor eine E-Mail mit einem Code oder Zusatz­pass­wort. Wir raten jedoch dringend, dafür einen anderen E-Mail-Account anzu­geben als denjenigen, der für den Login genutzt wird. Sonst kann ein Angreifer, der das Pass­wort des E-Mail-Kontos kennt, auch die Einmal-Codes abfangen.

Anbieterspezi­fische Verfahren und „One-Click-Logins“

Vor allem von Social-Media-Diensten sind anbieterspezi­fische Lösungen bekannt. Verbreitet sind auch „One-Click-Logins“, bei dem die Nutzer keinen zweiten Code eingeben müssen. Statt­dessen erscheint eine Pop-Up-Nach­richt auf dem Smartphone, die der Nutzer bestätigen muss – das war‘s.

Solche Verfahren setzen zum Beispiel Messenger-Dienste wie WhatsApp, Signal und Telegram ein, aber auch Pass­wort-Manager wie Dashlane oder LastPass (Test Passwort-Manager).

Fazit: Doppelt hält besser

Sichere Pass­wörter plus ein zusätzliches, zweites Sicher­heits­merkmal schützen sehr wirk­sam vor Miss­brauch der Online­konten durch Kriminelle. Selbst wenn Nutzer auf einen einfachen Phishing-Angriff herein­fallen und ihr Pass­wort offen­baren, können Fremde nicht auf den so geschützten Online­dienst zugreifen, weil ihnen der notwendige zweite Faktor für einen erfolg­reichen Login fehlt.

Dieses Thema ist im Juni 2017 erst­mals auf test.de erschienen. Wir haben es zuletzt im Dezember 2020 über­arbeitet.

nach oben

Dieser Artikel ist hilfreich. 77 Nutzer finden das hilfreich.