Web-Entwicklung

Zwei-Faktor-Authentifizierung

Die Zwei-Faktor-Authentifizierung verlangt zusätzlich zum Passwort einen zweiten, unabhängigen Nachweis – etwa einen Code aus einer App oder einen Hardware-Schlüssel. Selbst ein gestohlenes Passwort öffnet den Zugang dann nicht allein.

Die Zwei-Faktor-Authentifizierung ist die verbreitetste Verstärkung des klassischen Passwort-Logins. Sie ist ein Zwischenschritt auf dem Weg zur passwortlosen Anmeldung, deren Faktoren ein Passkey bereits in einem Schritt vereint.

In einfachen Worten

Ein Nachweis kann auf drei Arten erbracht werden: durch Wissen (ein Passwort), durch Besitz (ein Gerät, ein Hardware-Schlüssel) oder durch ein körperliches Merkmal (Fingerabdruck, Gesicht). Die Zwei-Faktor-Authentifizierung kombiniert zwei davon aus unterschiedlichen Kategorien – typischerweise das gewusste Passwort und den Besitz eines Geräts, das einen Einmal-Code erzeugt. Der entscheidende Vorteil: Gerät ein Passwort durch ein Datenleck in falsche Hände, bleibt der Zugang trotzdem verschlossen, weil der zweite Faktor fehlt. Es gibt allerdings Qualitätsunterschiede. Ein Code per Kurznachricht gilt als die schwächste Variante, weil sich Rufnummern unter Umständen umleiten lassen. Ein Einmal-Code aus einer Authenticator-App oder ein Hardware-Schlüssel sind deutlich robuster. Die höchste Stufe erreicht das Verfahren, wenn der zweite Faktor zugleich an die echte Adresse des Dienstes gebunden ist – dann wird es zur phishing-resistenten Authentifizierung, wie sie ein Passkey umsetzt.

Wozu brauche ich das?

Der zweite Faktor gehört zuerst an die Zugänge, deren Verlust am meisten kostet: das zentrale E-Mail-Postfach als Generalschlüssel, Online-Banking und Buchhaltung, den Website-Login und das Domain-Konto sowie den Zugang zum Passwort-Manager selbst. Das Postfach hat dabei Vorrang, weil sich über die „Passwort vergessen"-Funktion viele andere Zugänge darüber zurücksetzen lassen. Wer dort beginnt, schließt indirekt eine Reihe weiterer Türen.

Beispiel aus der Praxis

Nach Eingabe des Passworts fragt der Dienst einen sechsstelligen Code ab, den eine App auf dem Telefon im Sekundentakt neu erzeugt. Ein Angreifer, der nur das Passwort kennt, scheitert an dieser zweiten Tür. Die Grenze des Verfahrens zeigt sich beim gezielten Phishing: Gibt das Opfer Passwort und Code in demselben Moment auf einer täuschend echten Seite ein, kann der Angreifer beides in Echtzeit weiterreichen. Genau hier setzen phishing-resistente Verfahren an, bei denen es kein eintippbares Geheimnis mehr gibt.

Wirtschaftlicher Nutzen

Die Zwei-Faktor-Authentifizierung verhindert einen Großteil der erfolgreichen Konto-Übernahmen und ist bei den meisten Diensten ohne zusätzliche Anschaffung verfügbar. Sie ist die wirksamste Einzelmaßnahme, solange ein Passwort im Spiel bleibt, und damit der richtige Schritt überall dort, wo ein Dienst noch keine Passkeys anbietet. Im Zusammenspiel mit einem Passwort-Manager und langen, einmaligen Passwörtern entsteht ein belastbares Schutzniveau mit überschaubarem Aufwand. Sie steht damit neben weiteren technischen Mindest-Bausteinen wie der Transport-Verschlüsselung über SSL/TLS.

Typische Fehler

  • Den Code per Kurznachricht als einzige Methode gewählt – die schwächste Variante, weil sich Rufnummern umleiten lassen.
  • Den zweiten Faktor nur an Nebenzugänge gehängt, das zentrale Postfach aber ungeschützt gelassen.
  • Die Wiederherstellungs-Codes bei der Einrichtung nicht sicher abgelegt – beim Verlust des Geräts droht die Aussperrung.
  • Den zweiten Faktor nur auf einem einzigen Gerät eingerichtet, ohne Ersatz für dessen Ausfall.
  • Erzwungene Routine-Wechsel des Passworts mit echter Sicherheit verwechselt, statt auf zweiten Faktor und einmalige Passwörter zu setzen.

Worauf achten?

  • Eine Authenticator-App oder einen Hardware-Schlüssel statt Codes per Kurznachricht verwenden.
  • Die Wiederherstellungs-Codes bei der Einrichtung sicher im Passwort-Manager oder physisch verwahren.
  • Mit dem E-Mail-Postfach als Generalschlüssel beginnen, dann Banking, Website und Domain-Konto.
  • Wo der Dienst es anbietet, von Code-Verfahren auf einen Passkey wechseln – phishing-resistent statt nur erschwert.
  • Den zweiten Faktor auf einem Ersatzgerät hinterlegen, damit ein einzelner Geräteausfall nicht aussperrt.

Häufig gestellte Fragen

Was ist Zwei-Faktor-Authentifizierung?

Ein Anmelde-Verfahren, das zusätzlich zum Passwort einen zweiten, unabhängigen Nachweis verlangt – etwa einen Einmal-Code aus einer App oder einen Hardware-Schlüssel. Selbst ein gestohlenes Passwort öffnet den Zugang dann nicht allein.

Ist ein Code per SMS sicher genug?

Er ist besser als gar kein zweiter Faktor, gilt aber als die schwächste Variante, weil sich Rufnummern unter Umständen umleiten lassen. Eine Authenticator-App oder ein Hardware-Schlüssel sind die robustere Wahl.

Brauchen wir Zwei-Faktor wirklich überall?

Überall dort, wo ein fremder Zugriff Schaden anrichtet: E-Mail, Banking, Buchhaltung, Website-Login und Domain-Konto. Das Postfach hat Vorrang, weil sich darüber viele andere Zugänge zurücksetzen lassen.

Macht ein Passkey Zwei-Faktor überflüssig?

In gewisser Weise ja: Ein Passkey vereint die Faktoren – Besitz des Geräts und Freigabe per Biometrie oder PIN – in einem phishing-resistenten Schritt. Wo es Passkeys gibt, ersetzen sie das Passwort samt separatem zweiten Faktor.