{
"$type": "site.standard.document",
"bskyPostRef": {
"cid": "bafyreifkdw2n7kbkebdo6sdqnok7zxrvqwvnwbtr2r3zrz2pzkwix24k7y",
"uri": "at://did:plc:lcqnmkieaiknpxjwvmcefo6g/app.bsky.feed.post/3mpgn4cuamab2"
},
"coverImage": {
"$type": "blob",
"ref": {
"$link": "bafkreib3inoy2ebzyboywhnaybuf4xrlapkqyg5llgpo6lwjjn5kzulmze"
},
"mimeType": "image/jpeg",
"size": 179338
},
"path": "/article/1206889/zwei-faktor-authentifizierung-alles-was-sie-wissen-muessen.html",
"publishedAt": "2026-06-29T13:30:00.000Z",
"site": "https://www.pcwelt.de",
"tags": [
"Security Software and Services",
"HPI Identity Leak Checker des Hasso-Plattner-Instituts",
"mit einem Passwortmanager",
"Noch gefährlicher ist SIM-Swapping",
"Google Authenticator",
"Microsoft Authenticator",
"Aegis Authenticator",
"2FAS",
"Ente Auth",
"Bitwarden",
"1Password",
"Proton Pass",
"Jetzt YubiKey auf Amazon kaufen",
"Passkeys",
"Das BSI empfiehlt Passkeys ausdrücklich.",
"2FA Directory"
],
"textContent": "Onlinezugänge ausschließlich mit Passwörtern zu schützen, ist nicht mehr zeitgemäß. Die Zwei-Faktor-Authentifizierung (2FA) sichert Ihre wichtigsten Konten mit einer zweiten, unabhängigen Hürde ab. Sie ist in wenigen Minuten eingerichtet, in den meisten Fällen kostenlos und bringt einen enormen Sicherheitsgewinn. Wie das konkret funktioniert und wo Sie anfangen sollten, erfahren Sie hier.\n\n## 1. Warum reicht ein Passwort nicht mehr?\n\nLaut dem HPI Identity Leak Checker des Hasso-Plattner-Instituts sind inzwischen mehr als 14,5 Milliarden Zugangsdaten durch Datenlecks öffentlich im Netz zugänglich – täglich kommen rund 1,5 Millionen neue hinzu.\n\nDie Gefahr ist alles andere als abstrakt: Schon eine einzige Sicherheitslücke bei einem Onlinedienst kann Ihr Kennwort ins Darknet befördern. Kriminelle testen solche gestohlenen Zugangsdaten dann automatisiert bei Amazon, PayPal, Mailanbietern und weiteren Diensten.\n\nDas eigentlich kritische Szenario ist, wenn Sie dasselbe Passwort auch für Ihre E-Mail-Adresse nutzen, denn damit verlieren Sie einen Generalschlüssel. Über die “Passwort vergessen”-Funktion können Angreifer von dort aus weitere Konten übernehmen. Weil dabei Geldforderungen, Einkäufe auf Ihre Kosten und Ähnliches schnell folgen, ist ein zweiter Schutzfaktor keine Kür, sondern Pflicht.\n\nSichere und einmalige Passwörter für jeden Dienst erstellen und verwalten Sie am einfachsten mit einem Passwortmanager. Die 2FA kommt dann obendrauf: Selbst wer Ihr Passwort kennt, kommt ohne den zweiten Faktor nicht rein.\n\n## 2. Wie funktioniert 2FA?\n\nDas Prinzip ist relativ simpel: Zum Log-in brauchen Sie zwei voneinander unabhängige Dinge:\n\n 1. **Etwas, das Sie wissen** , also Ihr Passwort.\n 2. **Etwas, das Sie besitzen** , zum Beispiel Ihr Smartphone, eine App oder ein Hardware-Token.\n\n\n\nBeim Onlinebanking ist dieses Konzept bereits Standard und gesetzlich vorgeschrieben: Selbst wenn jemand Ihre PIN kennt, kommt er ohne einen zweiten Bestätigungsschritt nicht ans Geld. Dasselbe Prinzip lässt sich auf nahezu jedes Onlinekonto anwenden – E-Mail, Onlineshops, soziale Netzwerke und Passwortmanager.\n\nIn der Praxis sieht das so aus: Sie melden sich wie gewohnt mit Benutzername und Passwort an. Dann fragt der Dienst nach einem zweiten Code per SMS, per App oder per Hardware-Schlüssel. Erst danach öffnet sich der Zugang.\n\nDamit es halbwegs komfortabel bleibt, werden einmal eingeloggte Geräte in der Regel als “vertrauenswürdig” markiert. Zu Hause am eigenen PC müssen Sie also nicht jedes Mal den zweiten Faktor eingeben, nur auf fremden oder neuen Geräten.\n\n## 3. Welche 2FA-Methoden gibt es und wie sicher sind sie?\n\nNicht alle 2FA-Verfahren sind gleich stark. Aufgelistet von schwach bis stark:\n\n### Per SMS oder E-Mail (schwach)\n\nDer Dienst schickt einen Einmalcode ans Handy oder per Mail. Schnell eingerichtet, aber anfällig: Schadsoftware auf dem Smartphone kann SMS-Codes auslesen. Noch gefährlicher ist SIM-Swapping. Kriminelle bringen dabei Mobilfunkanbieter durch Social Engineering dazu, Ihre Handynummer auf eine neue SIM umzubuchen, und erhalten damit alle künftigen SMS-Codes direkt.\n\nAls E-Mail-Code ist die Methode ebenfalls schwach, da ein kompromittiertes Mailkonto den Schutz sofort aushebelt. Besser als kein zweiter Faktor, aber nur als letzte Option wählen.\n\n### Per Authenticator-App / TOTP (gut)\n\nEine App auf dem Smartphone erzeugt alle 30 Sekunden einen neuen sechsstelligen Code. Dieser Code ist zeitgebunden und kann nur auf dem jeweiligen Gerät generiert werden. Das Verfahren heißt TOTP (Time-based One-time Password) und ist der heute verbreitetste 2FA-Standard.\n\nGoogle Authenticator ist eine der bekanntesten kostenlosen TOTP-Apps.\n\nPCWorld\n\nBewährte Apps dafür sind der Google Authenticator und Microsoft Authenticator. Empfehlenswertere Alternativen mit verschlüsseltem Backup – damit kein Neustart bei Smartphone-Wechsel nötig ist – sind Aegis Authenticator (Android, Open Source), 2FAS (Android und iOS, Open Source) sowie Ente Auth (plattformübergreifend).\n\nWer Bitwarden, 1Password oder Proton Pass nutzt, kann TOTP-Codes auch direkt im Passwortmanager verwalten.\n\n**Wichtig zu wissen:** TOTP-Codes sind zwar besser als SMS, aber nicht phishingsicher. Eine gefälschte Log-in-Seite kann Passwort und TOTP-Code in Echtzeit abfangen und sofort beim echten Dienst verwenden (Adversary-in-the-Middle-Angriff). Für die meisten Nutzer ist das Risiko gering, aber es existiert.\n\n**Vorsicht gilt auch bei Push-Benachrichtigungen:** Manche Dienste senden statt eines Codes eine Push-Anfrage ans Smartphone (“Waren das Sie?”). Angreifer nutzen inzwischen sogenanntes MFA-Fatigue: Sie bombardieren das Opfer mit Dutzenden solcher Anfragen, bis eine aus Versehen oder aus Frustration genehmigt wird. Neuere Apps begegnen dem mit Nummernabgleich, das heißt, Sie müssen eine im Browser angezeigte Zahl in der App bestätigen.\n\n### Per Hardware-Token / FIDO2-Stick (sehr gut)\n\nEin kleines Gerät, das per USB, NFC oder Bluetooth mit dem Computer oder Smartphone verbunden wird. Beim Log-in tippen Sie nicht nur einen Code ein, sondern drücken kurz eine Taste am Stick. Der integrierte Krypto-Chip übernimmt die Authentifizierung. FIDO2 ist der aktuelle Standard; ältere U2F-Sticks sind veraltet und sollten nicht mehr neu gekauft werden. Das bekannteste Modell ist der YubiKey und schon ab rund 35 Euro auf Amazon erhältlich.\n\nJetzt YubiKey auf Amazon kaufen\n\nFIDO2-Sticks sind phishingsicher, weil die Authentifizierung an die echte Domain des Dienstes gebunden ist. Eine Phishing-Seite bekommt keinen nutzbaren Schlüssel, wenngleich Sie dort Ihre Zugangsdaten eingeben.\n\n## 4. Passkeys: Noch sicherer – und ohne Passwort\n\nNeben klassischer 2FA hat sich seit 2023 ein neues Verfahren in der Praxis etabliert, das Passwort und zweiten Faktor in einem einzigen Schritt ersetzt: Passkeys.\n\nEin Passkey ist ein kryptografisches Schlüsselpaar, das auf Ihrem Gerät gespeichert wird. Beim Einloggen bestätigen Sie sich mit Biometrie (Fingerabdruck, Gesicht) oder Geräte-PIN. Der entscheidende Vorteil: Passkeys sind strukturell phishingsicher. Da die Authentifizierung kryptografisch an die echte Website gebunden ist, kann eine gefälschte Log-in-Seite keinen nutzbaren Schlüssel abgreifen.\n\nPasskeys werden inzwischen von Apple, Google und Microsoft nativ unterstützt. Große Dienste wie Amazon, Paypal, GitHub, Dropbox und viele weitere bieten sie bereits an. Moderne Passwortmanager wie Bitwarden, 1Password und Proton Pass können Passkeys speichern und geräteübergreifend synchronisieren.\n\n**Kurzum: Wo Passkeys verfügbar sind, sind sie die beste Wahl. Sie sind sicherer als TOTP und bequemer als Hardware-Token. Das BSI empfiehlt Passkeys ausdrücklich.**\n\n## 5. Welche Konten benötigen 2FA?\n\nNicht jedes Konto muss doppelt abgesichert sein. Der Zugang zum Hobbyforum ist ärgerlich, wenn er geknackt wird, aber der Schaden ist zugegebenermaßen gering. Konzentrieren Sie sich auf die Konten, bei denen ein Einbruch wirklich wehtut:\n\n * Ihre E-Mail-Adresse (Generalschlüssel für Passwort-Resets)\n * Ihr Passwortmanager\n * Bezahldienste wie Paypal\n * Onlineshops mit hinterlegter Zahlungsmethode (Amazon, Otto etc.)\n * Soziale Netzwerke mit hoher Reichweite\n\n\n\nFünf bis zehn Konten reichen für die meisten Nutzer. Welche Dienste 2FA unterstützen und welche Methoden sie jeweils anbieten, zeigt das 2FA Directory.\n\n## 6. Wie richte ich 2FA ein?\n\nDas Vorgehen ist bei fast allen Diensten gleich: In den Kontoeinstellungen unter “Sicherheit” oder “Datenschutz” finden Sie die 2FA-Option. Falls nicht, hilft eine Google-Suche nach “Zwei-Faktor-Authentifizierung” plus dem Dienstnamen.\n\n**Beispiel Amazon:** Melden Sie sich an und gehen Sie zu “Mein Konto → Anmelden und Sicherheit → Einstellungen für die Zwei-Schritt-Verifizierung (2SV): Bearbeiten”. Amazon verschickt zunächst eine Bestätigungsmail. Danach wählen Sie Ihre bevorzugte Methode und folgen den weiteren Anweisungen.\n\n**Unsere** **Empfehlung:** Richten Sie, wo möglich, gleich zwei verschiedene Methoden ein (zum Beispiel Authenticator-App und Backup-Code). Das schützt vor dem Aussperren, falls ein Gerät verloren geht.\n\n## 7. Was tun, wenn der zweite Faktor verloren geht?\n\nDas ist das häufigste Bedenken, aber es gibt eine einfache Lösung: **Backup-Codes.** Die meisten Dienste erlauben beim Einrichten von 2FA, einmalige Wiederherstellungscodes zu erzeugen. Diese sollten Sie:\n\n 1. sofort abrufen,\n 2. ausdrucken oder sicher notieren,\n 3. an einem sicheren Ort aufbewahren (und im Passwortmanager speichern).\n\n\n\nMit diesen Codes kommen Sie auch dann rein, wenn Smartphone, Token oder App nicht mehr verfügbar sind. Und was, wenn kein Backup-Code eingerichtet ist? Dann bleibt in der Regel nur der Weg über den Kundensupport des jeweiligen Dienstes, was mühsam und nicht immer erfolgreich ist.",
"title": "Zwei-Faktor-Authentifizierung: Alles, was Sie wissen müssen"
}