Brauchen wir wirklich Zwei-Faktor-Authentifizierung?
Überall dort, wo ein fremder Zugriff Schaden anrichtet – ja. Die Zwei-Faktor-Authentifizierung verlangt zusätzlich zum Passwort einen zweiten Nachweis und verhindert damit einen Großteil der erfolgreichen Konto-Übernahmen. Vorrang hat das E-Mail-Postfach, weil sich darüber viele andere Zugänge zurücksetzen lassen. Ein Code per Kurznachricht ist dabei die schwächste Variante.
Wann Zwei-Faktor sinnvoll ist
Solange ein Passwort im Spiel bleibt, ist die Zwei-Faktor-Authentifizierung der wirksamste einzelne Hebel überhaupt – für jeden Zugang, dessen Verlust wehtut, gehört sie zum Mindeststandard.
Wo der zweite Faktor zuerst hingehört
Nicht jeder Zugang ist gleich kritisch. Diese Reihenfolge hat sich bewährt:
| Priorität | Zugang | Warum |
|---|---|---|
| 1 | E-Mail-Postfach | Generalschlüssel – darüber lassen sich andere Zugänge zurücksetzen |
| 2 | Online-Banking, Buchhaltung | Direkter finanzieller Schaden bei Missbrauch |
| 3 | Website-Login, Domain-Konto | Wer hier eindringt, kapert die Außenwirkung |
| 4 | Der Passwort-Manager selbst | Sein Haupt-Zugang gehört doppelt gesichert |
Nicht jeder zweite Faktor ist gleich stark
Ein Code per Kurznachricht ist allemal besser als kein zweiter Faktor, gilt jedoch als die anfälligste Form, da sich Rufnummern unter Umständen umleiten lassen. Robuster sind ein Einmal-Code aus einer Authenticator-App oder ein Hardware-Schlüssel.
Die Grenze des Verfahrens
Auch ein zweiter Faktor per Code schützt nicht vollständig vor gezieltem Phishing: Wird der Code auf einer gefälschten Seite eingegeben, lässt er sich in Echtzeit weiterreichen. Den nächsten Schritt – ein Verfahren ganz ohne eintippbares Geheimnis – behandelt Sind Passkeys sicherer als Passwörter?.
Verwaltung im Betrieb
Die Wiederherstellungs-Codes der Zwei-Faktor-Einrichtung gehören sicher abgelegt, nicht in eine offene Notiz. Der richtige Ort dafür ist ein Passwort-Manager – warum, klärt Lohnt sich ein Passwort-Manager im Unternehmen?. Wie sich Zugänge insgesamt ordnen lassen, ohne den Alltag zu blockieren, zeigt der Beitrag zu geteilten Passwörtern im Betrieb.