Technik & CMS

Brauchen wir wirklich Zwei-Faktor-Authentifizierung?

5 Min. Lesezeit | 24. Juni 2026

Überall dort, wo ein fremder Zugriff Schaden anrichtet – ja. Die Zwei-Faktor-Authentifizierung verlangt zusätzlich zum Passwort einen zweiten Nachweis und verhindert damit einen Großteil der erfolgreichen Konto-Übernahmen. Vorrang hat das E-Mail-Postfach, weil sich darüber viele andere Zugänge zurücksetzen lassen. Ein Code per Kurznachricht ist dabei die schwächste Variante.

Wann Zwei-Faktor sinnvoll ist

Solange ein Passwort im Spiel bleibt, ist die Zwei-Faktor-Authentifizierung der wirksamste einzelne Hebel überhaupt – für jeden Zugang, dessen Verlust wehtut, gehört sie zum Mindeststandard.

Wo der zweite Faktor zuerst hingehört

Nicht jeder Zugang ist gleich kritisch. Diese Reihenfolge hat sich bewährt:

PrioritätZugangWarum
1E-Mail-PostfachGeneralschlüssel – darüber lassen sich andere Zugänge zurücksetzen
2Online-Banking, BuchhaltungDirekter finanzieller Schaden bei Missbrauch
3Website-Login, Domain-KontoWer hier eindringt, kapert die Außenwirkung
4Der Passwort-Manager selbstSein Haupt-Zugang gehört doppelt gesichert

Das Postfach hat Vorrang, weil über die „Passwort vergessen"-Funktion fast jeder andere Zugang darüber wiederhergestellt werden kann. Wer das Postfach absichert, schließt damit indirekt viele weitere Türen.

Nicht jeder zweite Faktor ist gleich stark

Ein Code per Kurznachricht ist allemal besser als kein zweiter Faktor, gilt jedoch als die anfälligste Form, da sich Rufnummern unter Umständen umleiten lassen. Robuster sind ein Einmal-Code aus einer Authenticator-App oder ein Hardware-Schlüssel.

Die Grenze des Verfahrens

Auch ein zweiter Faktor per Code schützt nicht vollständig vor gezieltem Phishing: Wird der Code auf einer gefälschten Seite eingegeben, lässt er sich in Echtzeit weiterreichen. Den nächsten Schritt – ein Verfahren ganz ohne eintippbares Geheimnis – behandelt Sind Passkeys sicherer als Passwörter?.

Verwaltung im Betrieb

Die Wiederherstellungs-Codes der Zwei-Faktor-Einrichtung gehören sicher abgelegt, nicht in eine offene Notiz. Der richtige Ort dafür ist ein Passwort-Manager – warum, klärt Lohnt sich ein Passwort-Manager im Unternehmen?. Wie sich Zugänge insgesamt ordnen lassen, ohne den Alltag zu blockieren, zeigt der Beitrag zu geteilten Passwörtern im Betrieb.