043 500 11 11
Was ist Zwei-Faktor-Authentifizierung und was bringt sie?
Blog| 29. Oktober 2024 | Lesezeit: 6 Minuten
Passwörter allein sind heutzutage für viele Anwendungen zu unsicher. Daher sollten Sie wenn immer möglich die Zwei-Faktor-Authentifizierung (2FA) nutzen. Wir erklären, wie 2FA funktioniert, welche Methoden es gibt und welche Vor- und Nachteile diese haben.
Nicht bloss für Unternehmen, auch für Privatpersonen stellt Identitätsdiebstahl ein zunehmendes Problem dar. Die möglichen Folgen sind weitreichend.
Einerseits drohen finanzielle Verluste durch unberechtigte Online-Transaktionen, Kreditkartenbetrug oder betrügerische Abbuchungen von Bankkonten. Andererseits kann es zum Verlust der Privatsphäre, der Sperrung von Online-Konten oder der Erstellung von Fake-Profilen kommen.
Die Identität kann zudem für kriminelle Aktivitäten missbraucht werden mit einer möglichen Strafverfolgung für Taten, die man nicht begangen hat. Identitätsdiebstahl kann damit auch langfristige Auswirkungen haben wie die schwierige Wiederherstellung der eigenen Identität oder des guten Rufs sowie langwierige rechtliche und finanzielle Konsequenzen.
Im Angesicht neuer Methoden wie der generativen künstlichen Intelligenz wird Identitätsdiebstahl ausserdem immer einfacher und damit auch von wenig IT-affinen Personen angewendet. Daher ist es ratsam, sich mit der einfachen und effektiven Methode der Zwei-Faktor-Authentifizierung (2FA) dagegen zu schützen.
Wie funktioniert Zwei-Faktor-Authentifizierung?
Zwei-Faktor-Authentifizierung basiert auf dem Prinzip, dass zur Anmeldung bei einem Online-Konto zwei voneinander unabhängige Faktoren benötigt werden. Typischerweise handelt es sich dabei erstens um etwas, das Sie wissen (z. B. ein Passwort), und zweitens um etwas, das Sie besitzen (z. B. ein Smartphone, einen Sicherheitsschlüssel, einen Code).
Dabei fordert das System Sie nach der Eingabe Ihres Benutzernamens und Passworts dazu auf, einen zweiten Faktor zur Bestätigung Ihrer Identität bereitzustellen. Dazu geben Sie z. B. einen Code ein, scannen einen QR-Code oder verwenden eine Authenticator-App. Erst wenn beide Faktoren korrekt sind, erhalten Sie Zugang zu Ihrem Konto.
Newsletter abonnieren
Sie möchten keine Beiträge mehr verpassen? Dann abonnieren Sie unseren monatlichen Newsletter!
Welche Methoden gibt es zur Zwei-Faktor-Authentifizierung?
SMS-Code
Bei dieser Methode der Authentifizierung erhalten Sie einen Einmal-Code per SMS auf Ihrem Smartphone. SMS-Codes sind sehr einfach in der Handhabung, auch weil Sie dabei keine zusätzliche App herunterladen und nutzen müssen.
SMS-Codes sind allerdings auch anfällig für SIM-Swapping: Angreifer können die Telefonnummer des Opfers auf eine neue SIM-Karte übertragen lassen und so die SMS-Codes während eines kurzen Zeitfensters abfangen. SMS können darüber hinaus auch wegen Sicherheitslücken im Signalisierungs-Protokoll kompromittiert werden, um mittels Phishing, Keylogger oder Banking-Trojaner Benutzernamen und Passwörter abzufangen.
Aufgrund dieser Schwächen sind SMS-Codes verglichen mit anderen Methoden weniger sicher. Diese Methode funktioniert ausserdem ohne Mobilfunkempfang nicht.
Authenticator-App
Eine Authenticator-App ist eine extra App auf Ihrem Smartphone, die zeitbasierte Einmal-Codes erstellt. Deshalb muss die Uhrzeit auf dem Smartphone richtig eingestellt sein. Authenticator-Apps sind sicherer als SMS-Codes und funktionieren obendrein auch ohne Internetverbindung. Bei fehlender Internetverbindung kann es jedoch passieren, dass die Uhrzeit nicht korrekt angezeigt wird. Dann, oder wenn eine falsche Zeitzone eingestellt ist, funktionieren die zeitbasierten Passwörter nicht.
Diese Methode erfordert ausserdem die Installation einer zusätzlichen App, inklusive allfälligem Aufwand zur Neuanmeldung bei Updates oder bei einem neuen Gerät. Zudem können mit der App verbundene Konten gefährdet sein, wenn Sie Ihr Gerät verlieren oder dieses gehackt wurde.
Push-Benachrichtigung
Bei dieser Authentifizierungsmethode erhalten Sie eine Push-Benachrichtigung auf Ihrem Gerät, mit der Sie Ihren Anmeldeversuch bei dem Dienst bestätigen. Diese Methode ist sehr benutzerfreundlich, weil keine manuelle Eingabe eines Codes erforderlich ist.
Allerdings funktionieren Push-Benachrichtigungen nur bei bestehender Internetverbindung. Ein weiterer Nachteil besteht darin, dass eine gewisse Ermüdung in der Handhabung aufkommen kann. Aus Unachtsamkeit bestätigt man dann vielleicht eine Nachricht, die von einem Angreifer kommt.
Hardware-Token
Hardware-Tokens sind physische Geräte, die Codes generieren oder als Sicherheitsschlüssel dienen. Sie sind nach wie vor verbreitet in Branchen und bei Anwendungen mit hohen Sicherheits- und Datenschutzanforderungen. Dazu gehören z. B. Banken, das Gesundheitswesen oder öffentliche Verwaltungen.
Hardware-Tokens sind sehr sicher, weil sie nicht für Online-Angriffe anfällig sind. Sie sind jedoch in der Regel kostenpflichtig und können verloren gehen.
Biometrische Verfahren
Biometrische Verfahren nutzen einen Fingerabdruck, die Gesichtserkennung oder einen Iris-Scan zur Authentifizierung. Diese Sicherheitsfaktoren sind sehr benutzerfreundlich und nur sehr schwer zu fälschen. Die meisten Gesichtserkennungssysteme lassen sich heute nicht mehr mit Fotos oder Masken täuschen. Biometrische Verfahren erfordern jedoch spezielle Hardware wie dafür ausgelegte Smartphones.
In einigen Fällen wird auch E-Mail als zweiter Faktor genutzt. Diese Methode ist jedoch vergleichsweise unsicher, da E-Mail-Konten häufig ein primäres Ziel für Angreifer sind.
Welche 2FA-Methode soll ich verwenden?
Die Wahl der 2FA-Methode hängt in erster Linie davon ab, welche Möglichkeiten der jeweilige Dienst zur Verfügung stellt. Darüber hinaus fällt natürlich das erforderliche oder gewünschte Niveau an Sicherheit ins Gewicht, mit dem Sie Ihr Konto schützen wollen, sowie der Aufwand, den Sie dafür betreiben möchten.
So oder so ist jede 2FA-Methode gegenüber einer reinen Passwortauthentifizierung immer sicherer. Zwei-Faktor-Authentifizierung schützt darüber hinaus besser vor Phishing und Passwort-Hacking respektive -diebstahl.
Mit der Wahl einer Zwei-Faktor-Authentifizierung bei einem Online-Dienst sind Sie jedoch auch von der Bereitstellung des zweiten Faktors abhängig. Wenn also Ihr Smartphone mal keinen Akku hat oder es verloren geht, kann das zu Problemen beim Anmelden führen.
Was tun, wenn 2FA nicht funktioniert?
Weil manchmal die Zwei-Faktor-Authentifizierung nicht funktioniert, stellen gewisse Diensteanbieter Backup-Codes zur Verfügung. Mit diesen Codes können Sie sich im Notfall auch ohne temporären Code oder Push-Benachrichtigung anmelden. Backup-Codes können zum Beispiel in den Kontoinformationen des Dienstes hinterlegt werden oder Sie drucken sie aus und bewahren sie sicher auf. Backup-Codes lassen sich jedoch nur bei aktivierter Zwei-Faktor-Authentifizierung nutzen.
Alternativ können Sie auch einfach eine andere 2FA-Methode versuchen, also sich z. B. eine SMS senden lassen, wenn die Authenticator App nicht funktioniert (oder umgekehrt). Eine Authenticator App sollte übrigens immer auf dem neuesten Stand sein. Fehlende Updates können nämlich ebenfalls Probleme bei der Anmeldung verursachen.
Je nach Methode ist natürlich auch eine stabile Internetverbindung notwendig. Prüfen Sie also die Internet- oder Mobilfunkverbindung oder warten Sie einfach einen Moment und machen Sie anschliessend erneut einen Anmeldeversuch. Als Ausweg bleibt dann natürlich noch der Support des Anbieters. Im schlechtesten Fall müssen Sie Ihr Konto wiederherstellen.
Gibt es noch sicherere Methoden als 2FA?
Es gibt noch sicherere Methoden als 2FA, wie zum Beispiel eine Multi-Faktor-Authentifizierung (MFA). Dabei wird ein dritter oder vierter Faktor benötigt, in der Regel ein biometrischer wie die Erkennung von Gesicht, Sprache oder Iris. Zu den zwei Faktoren «Wissen» und «Besitzen» kommt «Inhärenz» (etwas, das man ist). Ein vierter Faktor könnte z. B. der Ort sein, an dem Sie sich befinden.
Bei der adaptiven Authentifizierung wiederum werden Zugangsversuche dynamisch bewertet, um das Sicherheitsniveau je nach Situation anzupassen. Beispielsweise könnte bei einem ungewöhnlichen Anmeldeversuch aus einem fremden Land oder zu einer ungewöhnlichen Uhrzeit ein weiterer Faktor wie Biometrie oder eine zusätzliche Bestätigung erforderlich werden. Das erhöht die Sicherheit.
Während MFA also immer die gleichen Faktoren abfragt, unabhängig von der Situation, kann adaptive Authentifizierung zusätzliche Sicherheitsmassnahmen aktivieren oder deaktivieren, je nach erkanntem Risikoniveau.
Darüber hinaus gibt es noch die passwortlose Authentifizierung. Mit Methoden wie WebAuthn ist eine Anmeldung ohne Passwort möglich. Dabei kommen kryptografische Schlüssel, sogenannte Passkeys, zum Einsatz. Diese sind durch einen zweiten Authentifizierungsmechanismus wie Biometrie oder einen Hardware-Sicherheitsschlüssel geschützt.
WebAuthn verwendet Schlüsselpaare, die sicher auf dem Gerät gespeichert werden. Der Dienst prüft die Authentifizierung durch den Browser. Dabei wird der private Schlüssel niemals übertragen, sondern nur kryptografische Nachweise, um die Identität des Benutzers zu bestätigen.
Warum sollte ich Zwei-Faktor-Authentifizierung nutzen?
Die Zwei-Faktor-Authentifizierung stellt eine erhebliche Verbesserung gegenüber einer reinen Passwortauthentifizierung dar. Sie kann Ihre Online-Sicherheit mit wenig Aufwand enorm erhöhen und damit Ihre Identität schützen.
Selbstverständlich gibt es mittlerweile fortschrittlichere Methoden wie Passkeys. Diese sind jedoch aufwendiger oder weniger verbreitet. Eine zweistufige Authentifizierung bietet hingegen einen guten Kompromiss zwischen Sicherheit und Benutzerfreundlichkeit. Sie sollten sie deshalb wann immer möglich aktivieren.
Markus Häfliger
PR-Fachmann
Markus Häfliger ist PR-Fachmann und schreibt seit 2018 für iWay. Als ehemaliger IT-Journalist liest er sich in jedes Thema ein. Ihn fasziniert, wie IT unser Leben durchdringt und stets spannend bleibt.
