Grundlagen der Zwei-Faktor-Authentifizierung (2FA)
Wie 2FA funktioniert, warum Passwörter allein nicht ausreichen, und ein praktischer Leitfaden zur Wahl der richtigen Methode: SMS, TOTP, FIDO2/WebAuthn.
Warum Passwörter allein nicht ausreichen
Selbst ein perfektes Passwort kann durch Phishing oder Server-Leaks erfasst werden. 2FA fügt eine Ebene hinzu, die physischen Besitz erfordert.
Mit 2FA braucht ein Angreifer mit Ihrem Passwort noch den zweiten Faktor.
Die drei Faktoren: Wissen (Passwort), Besitz (Telefon, Schlüssel), Inhärenz (Biometrie).
SMS-2FA: besser als nichts, aber begrenzt
SMS sendet einen Einmalcode per Textnachricht. Am häufigsten, aber am wenigsten sicher (SIM-Swapping, SS7-Abfangen).
NIST stuft SMS als „eingeschränkten" Authentifikator ein.
Falls SMS Ihre einzige Option ist, nutzen Sie es. Migrieren Sie aber zu TOTP oder Hardware-Schlüsseln.
TOTP: zeitbasierte Einmalpasswörter
TOTP generiert 6-stellige Codes, die alle 30 Sekunden wechseln. Apps: Google Authenticator, Authy, Microsoft Authenticator, 1Password.
Vorteil: funktioniert offline, keine Mobilfunkabhängigkeit, nicht anfällig für SIM-Swapping.
Sichern Sie Wiederherstellungscodes. Ohne Backup = Zugang verloren bei Geräteverlust.
FIDO2/WebAuthn: der Goldstandard
FIDO2/WebAuthn nutzt Public-Key-Kryptographie. Der Server speichert nur den öffentlichen Schlüssel. Von Natur aus phishing-resistent.
Hardware-Schlüssel wie YubiKey und Google Titan bieten höchste Sicherheit.
FIDO2 bietet Phishing-Resistenz, Anwesenheitsnachweis und kryptographische Herkunftsverifizierung.
Die richtige Methode wählen
Hohe Sicherheit (E-Mail, Bank, Crypto): FIDO2-Schlüssel + TOTP als Backup.
Unternehmen: FIDO2 mit MDM-Richtlinien. Eine YubiKey (~50$) ist nichts gegen einen Datenverlust.
Persönliche Konten: TOTP als Minimum. Jedes 2FA ist besser als keins.
Häufige 2FA-Fehler
Gleiches Telefon für SMS-2FA und Kontowiederherstellung.
Keine Wiederherstellungscodes generieren.
Screenshots von TOTP-QR-Codes machen.
Unerwartete Push-Benachrichtigungen bestätigen (MFA-Ermüdung / Push-Bombing).
- Nicht dasselbe Telefon für SMS und Wiederherstellung nutzen
- Immer Wiederherstellungscodes sichern
- Nie TOTP-QR-Codes screenshotten
- Nie unerwartete MFA-Pushes bestätigen
- Mindestens zwei Hardware-Schlüssel registrieren
- TOTP oder Hardware-Schlüssel statt SMS
- Wiederherstellungsmethoden vorab testen
Was tun mit einem starken Passwort?
Ein starkes Passwort ist nur der erste Schritt. Um Ihre Konten wirklich zu schützen, brauchen Sie einen zuverlässigen Passwort-Manager, der Ihre Zugangsdaten speichert, automatisch ausfüllt und über alle Geräte synchronisiert.
Wir haben die beliebtesten Passwort-Manager 2026 verglichen, um Ihnen bei der richtigen Wahl zu helfen.
NordPass überzeugt durch XChaCha20-Verschlüsselung mit Zero-Knowledge, integrierte Passkey-Unterstützung und die intuitivste Oberfläche unter den Premium-Managern.
| Funktion | NordPass | 1Password | Bitwarden Free |
|---|---|---|---|
| Preis/Monat | $1.49/mo | $2.99/mo | $0 |
| Geräte | Unbegrenzt | Unbegrenzt | Unbegrenzt |
| Passkeys | Ja | Ja | Nein |
| Leak-Scanner | Ja | Ja | Nein |
| 2FA integriert | Ja | Ja | Ja |
| Sicheres Teilen | Ja | Ja | Begrenzt |
| Auto-Ausfüllen | Ja | Ja | Ja |
Dies ist ein Affiliate-Link. Bei einem Kauf erhalte ich möglicherweise eine Provision — das hilft, die Seite kostenlos zu betreiben.