Passwörter sind für Angreifer oft recht leicht zu knacken. Wer seine Online-Konten besser schützen will, setzt auf die Zwei-Faktor-Authentifizierung, kurz: 2FA. Dann wird beim Login neben dem Passwort noch ein zweiter Faktor abgefragt – etwa ein per SMS versandter oder per App generierter Pin-Code. Viele Online-Portale bieten 2FA-Optionen an. Hier lesen Sie, wie 2FA funktioniert und warum das sinnvoll ist.
2FA-Verfahren im Überblick
Die sechs gebräuchlichsten 2FA-Verfahren stellen wir Ihnen hier vor.
Zwei-Faktor-Authentifizierung per SMS
Das am weitesten verbreitete Verfahren ist die Zwei-Faktor-Authentifizierung mittels SMS. Dafür hinterlegt der Nutzer seine Mobilfunknummer beim jeweiligen Onlinedienst. Wenn er sich etwa am PC mit seinem Nutzernamen und Passwort (erster Faktor: Wissen) bei einem Dienst einloggt, schickt dieser eine SMS mit einem weiteren Code auf das Mobiltelefon (zweiter Faktor: Besitz).
Diesen Code geben die Nutzer anschließend auf der Internetseite des Onlinedienstes ein. Dabei tickt oft die Uhr: In der Regel akzeptiert die Webseite den Code nur innerhalb eines kurzen Zeitraums. Das erhöht die Sicherheit weiter. Noch sicherer wird dieses Verfahren, wenn Nutzer über die Einstellungen ihres Smartphones verhindern, dass es die SMS auf dem Sperrbildschirm anzeigt – und damit für jedermann sichtbar ist.
So bleiben SMS-Inhalte geheim
Wird der Code für die 2FA per SMS zugestellt, lässt sich über die Handy-Einstellungen verhindern, dass er auf dem Sperrbildschirm Ihres Smartphones angezeigt wird. Das geht auf vielen Handys so:
- Android-Handys:
- Einstellungen > App-Benachrichtigungen > Nachrichten-Vorschau.
- iPhones (Weg 1):
- Einstellungen > Mitteilungen > Nachrichten > Vorschauen zeigen.
Auf diesem Weg wird die Anzeige von SMS und Messenger-Dienst-Mitteilungen im Sperrbildschirm deaktiviert. - iPhones (Weg 2):
- Einstellungen > Mitteilungen > Vorschauen zeigen.
Vorsicht: Auf diesem Weg wird die Anzeige von Mitteilungen aller Apps im Sperrbildschirm deaktiviert.
Zwei-Faktor-Authentifizierung per Einmalkennwort
Ein weiteres, ebenfalls häufig verwendetes Verfahren ist das Nutzen von One-Time-Passwords (OTP), also Einmalkennwörtern. Während der Registrierung zeigt die Webseite einen QR-Code – diesen fotografieren die Nutzer über die Kamera des Smartphone mit speziellen „Authenticator“-Apps, wie sie etwa von Google und Microsoft angeboten werden.
Bei jedem Login berechnet die App dann einen sechsstelligen Code, den Nutzer in der Anmeldemaske der jeweiligen Webseite eingeben. Dieser Code gilt nur kurze Zeit. Das Verfahren ist standardisiert: Die Apps funktionieren bei jeder Webseite, die OTP unterstützt.
Zwei-Faktor-Authentifizierung per Anruf
Anstatt sich den Code per SMS zusenden zu lassen, kann der Nutzer sich von einigen Online-Diensten auch anrufen lassen. Den Code sagt dann eine Computerstimme an.
Zwei-Faktor-Authentifizierung per USB-Stick
Ein besonders sicheres Verfahren funktioniert mit einem persönlichen, sogenannten USB-Token als zweitem Identifikationsfaktor. Das ist ein spezieller USB-Stick, auf dem ein digitaler Sicherheitsschlüssel einprogrammiert ist. Daten lassen sich darauf nicht speichern.
Für die Initialisierung stecken Nutzer diesen Stick in die USB-Schnittstelle ihres Rechners. Nach Eingabe von Nutzernamen und Passwort drücken sie auf Aufforderung eine Taste auf diesem Stick. Das war‘s. Bei jedem folgenden Anmeldevorgang stecken Nutzer ihn in die USB-Buchse des gerade genutzten Rechners – oder koppeln ihn über den Nahfeldfunk NFC mit Smartphones.
Zwei-Faktor-Authentifizierung per E-Mail
Sehr selten bieten Internetdienste ein 2FA-Verfahren mittels E-Mail an. Hierbei senden sie den Nutzern als zweiten Faktor eine E-Mail mit einem Code oder Zusatzpasswort. Wir raten jedoch dringend, dafür einen anderen E-Mail-Account anzugeben als denjenigen, der für den Login genutzt wird. Sonst kann ein Angreifer, der das Passwort des E-Mail-Kontos kennt, auch die Einmal-Codes abfangen.
Anbieterspezifische Verfahren und „One-Click-Logins“
Vor allem von Social-Media-Diensten sind anbieterspezifische Lösungen bekannt. Verbreitet sind auch „One-Click-Logins“, bei dem die Nutzer keinen zweiten Code eingeben müssen. Stattdessen erscheint eine Pop-Up-Nachricht auf dem Smartphone, die der Nutzer bestätigen muss – das war‘s.
Solche Verfahren setzen zum Beispiel Messenger-Dienste wie WhatsApp, Signal und Telegram ein, aber auch Passwort-Manager wie Dashlane oder LastPass (Test Passwort-Manager).
Fazit: Doppelt hält besser
Sichere Passwörter plus ein zusätzliches, zweites Sicherheitsmerkmal schützen sehr wirksam vor Missbrauch der Onlinekonten durch Kriminelle. Selbst wenn Nutzer auf einen einfachen Phishing-Angriff hereinfallen und ihr Passwort offenbaren, können Fremde nicht auf den so geschützten Onlinedienst zugreifen, weil ihnen der notwendige zweite Faktor für einen erfolgreichen Login fehlt.
Dieses Thema ist im Juni 2017 erstmals auf test.de erschienen. Wir haben es zuletzt im Dezember 2020 überarbeitet.
-
YubiKey Bio: Sicher per Fingertipp
- Die eigenen Onlinekonten lieber mehrfach vor Unbefugten schützen: mit Multi-Faktor-Authentifizierung. Dabei hilft der USB-Stick YubiKey Bio mit Fingerabdrucksensor.
-
Wo niemand mitliest
- WhatsApp, Signal, Telegram & Co sind aus dem Alltag nicht mehr wegzudenken. Unser Messenger-Vergleich zeigt, welche der 16 Chat-Dienste im Test besonders sicher sind.
-
Wer schützt mich vor Passwortklau?
- Die Programme erstellen starke Passwörter und schützen vor Angriffen. Auf sie zu verzichten, kann teuer werden. Doch im Test fanden wir nicht nur zuverlässige Manager.
Diskutieren Sie mit
Nur registrierte Nutzer können Kommentare verfassen. Bitte melden Sie sich an. Individuelle Fragen richten Sie bitte an den Leserservice.
Nutzerkommentare können sich auf einen früheren Stand oder einen älteren Test beziehen.
Nachtrag: Ich musste schon mehrere Male aus dem Haus, weil ich keinen Empfang im Gebäude hatte. Auch andere Kollegen hatten den nicht. Das Büro befand sich im Kellergeschoss. 20 Minuten später nützt mir die SMS oder der Anruf nichts.
Es muss (!) wenigstens 1 Weg bleiben, auf den man ausweichen kann! Das war bisher HBCI.
Früher konnte man seinen Lohn bar bekommen. Nun gilt faktisch Bankenzwang. Oder welche Behörde zahlt noch bar? Will man ans eigene Geld heran, kommt wieder ein Zwang. Der Staat bestimmt, man habe sein Geld für ein Telefon und einen Provider-Vertrag auszugeben. Das ist ein ethisch vollkommen falscher Weg, der hier verordnet wird!
Bei Kleinigkeiten Diktatur, wenn es um Leben geht (Corona, Geisterfahrer) = Freiwilligkeit.
HBCI mit dem Kobil Kaan Pro etc. mit eigenem Display und eigener Tastatur sollte nicht abgeschaltet werden!!!
PS: Eine dt. FA behauptete, ich hätte ein Abo und legte ne 2-Wege-Bestätigung vor. Ich lag im künstl. Koma wegen ner OP. Beweiskraft: Null.
Ich habe Klage bei der EU gegen diese EU-Verordnung eingelegt. Ich kann gar nicht mehr sagen, wie oft ich keinen Empfang zu O² hatte und ich keine SMS bekam, demzufolge mir ein Schaden entstand, weil ich meinen geschäftlichen Wünschen nicht nachkommen konnte. Vor Jahren stieg D1 aus, da hatte ich über eineinhalb Jahre komplett keinen Empfang! Die Diktatoren sitzen in Großstädten und wissen überhaupt nicht, wie die Welt da draußen fürs normale Volk sein kann! Auch mein HBCI wird abgeschaltet. Grrr... Selbst wenn die NSA meinen PC kompromitiert haben sollte, kommt sie nicht weiter, weil das Gerät alle Daten bereits verschlüsselt an den PC überträgt.HBCI ist wie jeder Bankautomat.Warum werden die weltweit gelassen? Wer eine Bank betritt, der offenbart jedem Räuber, dass er da Kunde ist. PIN & Karte sind vor Ort. Kameras schützen nicht vorm Überfall! Zuhause sitze ich in einem geschützen Raum, niemand weiß davon, ob ich über sowas verfüge und wo sich alles befindet.Sicherer als in der Bank
Gerade wenn man 2FA und PW-Manager verwendet sollte mehr drauf hingewiesen werden, dass ein regelmäßiges Wechseln des PW nicht nötig und sogar kontraproduktiv sein kann:
https://www.heise.de/security/meldung/Passwoerter-BSI-verabschiedet-sich-vom-praeventiven-Passwort-Wechsel-4652481.html
@cryptohacker1337: Vielen Dank für den interessanten Hinweis. Wir leiten ihn an unser Untersuchungsteam weiter. (AC)
Kommentar vom Autor gelöscht.