← Zurück zur Hauptseite

Wie funktioniert Zwei-Faktor-Authentifizierung (2FA)?

Aktiviere 2FA bei deinen wichtigsten Konten und nutze eine Authenticator-App oder Security Keys statt SMS. Bewahre Wiederherstellungscodes offline und sicher auf.

Kurzantwort

Zwei-Faktor-Authentifizierung ergänzt das Passwort um einen zweiten, unabhängigen Faktor wie App-Code, Hardware-Sicherheitsschlüssel oder biometrische Merkmale. Erst die Kombination beider Faktoren gewährt Zugriff und reduziert Risiken durch Phishing, Passwortleaks und Brute-Force deutlich.

Zwei-Faktor-Authentifizierung 2FA: So funktioniert der Zusatzschutz

Zwei-Faktor-Authentifizierung 2FA hat sich als wirksamste, sofort verfügbare Maßnahme gegen Kontoübernahmen etabliert. Neben dem Passwort wird ein zweiter, unabhängiger Faktor abgefragt. Dadurch steigt die Hürde für Angreifer erheblich, selbst wenn ein Passwort kompromittiert wurde.

Was ist 2FA

2FA verlangt zwei unterschiedliche Faktoren aus mindestens zwei Kategorien, bevor Zugriff gewährt wird. Ziel ist, das Risiko eines einzelnen kompromittierten Faktors auszugleichen und unbefugte Logins zu verhindern.

Die drei Faktor-Kategorien

  • Wissensfaktor: Etwas, das man weiß, z. B. Passwort oder PIN
  • Besitzfaktor: Etwas, das man besitzt, z. B. Smartphone mit Authenticator-App, Hardware-Token, Smartcard
  • Inhärenzfaktor: Etwas, das man ist, z. B. Fingerabdruck, Face ID, Stimme

Wie 2FA abläuft Schritt für Schritt

  1. Anmeldung mit Benutzername und Passwort Wissensfaktor
  2. Aufforderung zur zweiten Bestätigung Besitz oder Inhärenz
  3. Eingabe eines Einmalcodes, Bestätigung einer Push-Anfrage oder Nutzung eines Sicherheitsschlüssels
  4. Server prüft beide Faktoren und gewährt nur bei erfolgreicher Verifikation Zugriff

Gängige 2FA-Methoden

  • TOTP zeitbasierter Einmalcode
    • Ein 6 bis 8-stelliger Code, generiert alle 30 Sekunden auf Basis eines geheimen Schlüssels und der aktuellen Zeit RFC 6238
    • Beispiele: Google Authenticator, Microsoft Authenticator, Aegis, Authy
  • HOTP zählerbasierter Einmalcode
    • Code basiert auf einem fortlaufenden Zähler RFC 4226
    • Wird bei jedem Codeabruf inkrementiert
  • Push-basierte Bestätigung
    • App sendet eine Anmeldeaufforderung, die per Tippen bestätigt wird
    • Komfortabel, aber anfällig für MFA-Fatigue bei schlechter Policy
  • FIDO2 WebAuthn Sicherheitsschlüssel und Passkeys
    • Kryptografische, phishing-resistente Anmeldung mittels Hardware-Key z. B. YubiKey, SoloKey oder plattformbasiertem Gerät Passkey
    • Schlüssel bleibt auf dem Gerät, Prüfung per Challenge-Response
  • SMS oder Telefonanruf
    • Ein Code wird per SMS oder Anruf übermittelt
    • Einfach, aber wegen SIM-Swapping und Abfangmöglichkeiten weniger sicher
  • E-Mail-Code
    • Einmalcode per E-Mail; nur bedingt empfehlenswert, da E-Mail selbst oft das Ziel ist
  • Backup- und Wiederherstellungscodes
    • Einmal verwendbare statische Codes zur Notfallanmeldung bei Geräteverlust

Vorteile von 2FA

  • Deutlich höherer Schutz vor Kontoübernahmen
  • Minimiert Auswirkungen von Datenlecks und schwachen Passwörtern
  • Erschwert Phishing, insbesondere mit FIDO2 Passkeys und Sicherheitsschlüsseln
  • Erfüllt Compliance-Anforderungen z. B. PSD2 starke Kundenauthentifizierung im Zahlungsverkehr

Risiken, Grenzen und Angriffe

  • Phishing via Reverse-Proxy
    • Angreifer leiten Login-Seite durch und greifen OTP oder Session-Cookie ab
    • Abhilfe: FIDO2 Passkeys, origin-bound Tokens, sichere Browser-Checks
  • MFA-Fatigue Prompt-Bombing
    • Viele Push-Anfragen sollen Nutzer zur versehentlichen Bestätigung verleiten
    • Abhilfe: Push mit Nummernabgleich oder Geolokationshinweis, begrenzen und blocken
  • SIM-Swapping bei SMS 2FA
    • Angreifer übernehmen Rufnummer
    • Abhilfe: Vermeide SMS, nutze App oder Sicherheitsschlüssel
  • Malware und Keylogger
    • Können OTP abgreifen oder Sitzung übernehmen
    • Abhilfe: Gerätehärtung, EDR, FIDO2
  • Zeitdrift bei TOTP
    • Falsche Gerätesystemzeit führt zu ungültigen Codes
    • Abhilfe: Zeitsynchronisation NTP aktivieren
  • Geräteverlust
    • Verlust des Smartphones oder Keys kann Zugriff verhindern
    • Abhilfe: Backup-Keys, Wiederherstellungscodes und sichere zweite Faktoren

Best Practices für Nutzer

  • Aktiviere 2FA überall, besonders bei E-Mail, Passwortmanager, Cloud-Diensten, Banking, Social Media, Entwicklerplattformen
  • Bevorzuge FIDO2 Passkeys oder Hardware-Keys vor Push, TOTP und deutlich vor SMS
  • Sichere Wiederherstellungscodes offline und redundant Papier plus Passwortmanager als verschlüsselte Notiz
  • Nutze eine vertrauenswürdige Authenticator-App mit lokal verschlüsselten Backups
  • Deaktiviere unsichere Fallbacks SMS wenn möglich
  • Schütze dein Smartphone mit starker Displaysperre und Biometrie
  • Prüfe bei Push-Login immer Ort, Gerät und Nummernabgleich

Best Practices für Unternehmen

  • MFA verpflichtend für alle Konten, besonders Admin- und Remote-Zugänge
  • Setze phishing-resistente MFA FIDO2 WebAuthn als Standard, TOTP nur als Übergang
  • Conditional Access und risikobasierte Richtlinien z. B. neue Geräte, Geos, anomale Muster
  • Reduziere Fallbacks SMS, E-Mail; verwende Nummernabgleich bei Push
  • Rollout-Plan mit Pilotgruppen, Schulung und Support
  • Notfallkonzept Break-glass-Konten mit strengen Kontrollen und separater 2FA
  • Lifecycle-Management für Tokens Registrierung, Rotation, Entzug bei Offboarding
  • Protokollierung und Alarmierung auf verdächtige MFA-Ereignisse

Implementierung und Einrichtung

  • TOTP einrichten
    • 2FA in Kontoeinstellungen aktivieren, QR-Code mit Authenticator-App scannen
    • Wiederherstellungscodes sicher notieren
    • Testcode eingeben und Zeitsynchronisation prüfen
  • FIDO2 Sicherheitsschlüssel oder Passkeys
    • Mindestens zwei Schlüssel registrieren primär und Backup
    • Key mit PIN und ggf. Biometrics schützen
    • Für kritische Zugänge mehrere Keys bei verschiedenen Personen hinterlegen
  • Push-Verfahren
    • Nummern- oder Codeabgleich aktivieren, Benachrichtigungsflut technisch limitieren

2FA, MFA und Passkeys im Vergleich

  • 2FA ist ein Spezialfall von MFA genau zwei Faktoren, MFA erlaubt zwei oder mehr
  • Passkeys auf Basis von FIDO2 WebAuthn sind phishing-resistent und können Passwörter mittelfristig ersetzen oder mit ihnen kombiniert werden

Häufige Fragen FAQ

  • Was tun bei Handyverlust
    • Nutze Backup-Schlüssel, Wiederherstellungscodes oder registrierte Zweitgeräte
    • Trenne das verlorene Gerät im Konto und registriere ein neues
  • Funktioniert 2FA offline
    • TOTP funktioniert offline, FIDO2 meist auch; Push und SMS benötigen Konnektivität
  • Mehrere Geräte nutzen
    • Manche Dienste erlauben mehrere Authenticator-Geräte oder mehrere Keys registrieren
  • Backup von TOTP-Secret
    • Wenn möglich, sichere das Secret verschlüsselt oder nutze Apps mit verschlüsselter Sicherung

Fazit

2FA ist ein zentraler Baustein moderner Kontosicherheit. Wer FIDO2 Passkeys oder Hardware-Sicherheitsschlüssel einsetzt, erreicht den stärksten, phishing-resistenten Schutz. Mit klaren Richtlinien, sicheren Backups und minimierten Fallbacks lässt sich 2FA komfortabel und robust in Alltag und Unternehmen integrieren.

Weitere Informationen

DeltaNEXT IT Support

DeltaNEXT IT Support

Benötigen Sie technische Unterstützung? Unser Support-Team steht Ihnen zur Verfügung.

support@deltanext.de
+49 341 23 68 995
Zu DeltaNEXT

Wie funktioniert ein Quantencomputer?

Ein Quantencomputer nutzt die Prinzipien der Quantenmechanik, insbesondere Superposition und Verschränkung. Im Gegensatz zu klassischen Computern, die Daten in Bits verarbeiten, die als 0 oder 1 existieren, verwendet ein Quantencomputer Qubits, die gleichzeitig mehrere Zustände annehmen können. Diese Eigenschaft ermöglicht es Quantencomputern, komplexe Berechnungen erheblich schneller durchzuführen als klassische Computer.

Mehr lesen

Was ist Cloud Computing?

Cloud Computing ermöglicht den Zugriff auf Rechnerressourcen über das Internet. Dazu zählen Speicher, Rechenleistung und Datenbanken, die von Cloud-Anbietern bereitgestellt werden und flexible, skalierbare IT-Ressourcen ermöglichen.

Mehr lesen

Was ist das Internet der Dinge (IoT)?

Das Internet der Dinge (IoT) beschreibt ein Netzwerk aus physischen Geräten, Fahrzeugen und anderen Objekten, die Sensoren und Software eingebettet haben, um miteinander und mit anderen Systemen über das Internet zu kommunizieren.

Mehr lesen
Wie funktioniert Zwei-Faktor-Authentifizierung (2FA)? - Technik Fragen