Das beste Passwort der Welt kann phishbar sein, geleakt werden oder am Endgerät abgesaugt werden. Genau deshalb gibt es zwei Faktoren: etwas, das du weißt (Passwort), kombiniert mit etwas, das du hast (Hardware-Key, Smartphone) oder bist (Biometrie). Welche Faktor-Variante du wählst, entscheidet, ob 2FA wirklich schützt oder nur ein theatralisches Häkchen ist. Dieser Artikel ordnet die gängigen Verfahren — und zeigt, wo SMS-Codes versagen, was MFA-Fatigue ist und warum FIDO2-Keys heute die richtige Antwort sind.

01 · Abschnitt

Die drei Faktor-Kategorien

In jedem Authentifizierungs-Lehrbuch tauchen sie auf:

  • Wissen — etwas, das nur du kennst. Passwort, PIN, Sicherheitsfrage.
  • Besitz — etwas, das nur du hast. Smartphone mit TOTP-App, Hardware-Key, SIM-Karte.
  • Inhärenz — etwas, das nur du bist. Fingerabdruck, Gesichts-Geometrie, Stimme.

Zwei-Faktor-Authentifizierung kombiniert zwei aus zwei unterschiedlichen Kategorien. Passwort + zusätzlicher Sicherheitsfrage ist nicht 2FA — beides ist „Wissen". Passwort + TOTP-Code ist 2FA (Wissen + Besitz). Passwort + Hardware-Key + Fingerabdruck ist MFA (Multi-Factor).

Der Unterschied zwischen 2FA und MFA ist im Sprachgebrauch fließend. Praktisch: ab dem zweiten Faktor steigt die Sicherheit massiv, jeder weitere Faktor bringt deutlich weniger zusätzlichen Schutz, aber spürbar mehr Reibung.

02 · Abschnitt

Die Verfahren im Vergleich

VerfahrenSchutz gegenAnfällig fürEmpfehlung
SMS-CodeGeleakte PasswörterSIM-Swapping, SS7-Abfangen, PhishingNur wenn nichts anderes geht
E-Mail-CodeGeleakte PasswörterMail-Konto-ÜbernahmeNur Notnagel; setzt auf Mail-Sicherheit
TOTP-App (Authenticator)Geleakte Passwörter, SIM-Swap, einfaches PhishingAiTM-Phishing, Geräte-Verlust, MalwareSolider Standard
Push-BestätigungGeleakte PasswörterMFA-Fatigue, AiTM-PhishingNur mit Number Matching
Hardware-Key (FIDO2/U2F)Geleakte Passwörter, Phishing (alle Varianten), AiTMPhysischer VerlustGoldstandard für kritische Konten
Passkey (FIDO2 mit Sync)Geleakte Passwörter, PhishingProvider-Account-ÜbernahmeBeste Kombination Komfort + Sicherheit

Der entscheidende Sprung liegt zwischen TOTP-Apps und FIDO2-basierten Verfahren (Hardware-Key, Passkey). TOTP-Codes lassen sich abphishen — du gibst sie auf einer gefälschten Seite ein, der Angreifer reicht sie weiter. FIDO2 ist gegen Phishing prinzipiell immun, weil das Verfahren die Herkunfts-Domain in die Signatur einbaut — eine gefälschte Seite kriegt schlicht keine gültige Antwort.

03 · Abschnitt

Die SMS-Falle

SMS-Codes wirken bequem — bis sie zum Problem werden. Drei reale Schwachstellen:

  • SIM-Swapping. Ein Angreifer überredet den Mobilfunk-Provider, deine Nummer auf eine neue SIM-Karte zu portieren (häufig per Social Engineering im Support-Call, manchmal durch bestochene Mitarbeiter:innen). Ab dem Moment kommen alle SMS bei ihm an. Bekannt geworden durch zahlreiche Krypto-Diebstähle und prominente Twitter-Account-Übernahmen (Jack Dorsey selbst, 2019).
  • SS7-Schwächen. Das jahrzehntealte Signalisierungs-Protokoll der Mobilfunknetze hat dokumentierte Schwachstellen, die das Abfangen von SMS aus der Ferne ermöglichen. Für staatliche Akteure realistisch, für organisierte Kriminalität punktuell.
  • Phishing. Ein Angreifer leitet dich auf eine gefälschte Login-Seite, du gibst Passwort + SMS-Code ein, er reicht beides an die echte Seite weiter — Login geschafft. AiTM-Toolkits machen das vollautomatisch.

NIST hat SMS-2FA bereits 2016 in der Spezifikation SP 800-63B für hohe Schutzbedarfe als nicht mehr ausreichend eingestuft. In Deutschland sieht die BSI-Empfehlung ähnlich aus.

Trotzdem gilt: ein SMS-2FA ist deutlich besser als gar kein 2FA. Wenn ein Dienst nur SMS anbietet, aktiviere es — und ergänze es durch einen separaten Port-Out-PIN bei deinem Mobilfunk-Provider (gegen SIM-Swapping).

04 · Abschnitt

TOTP-Apps: der pragmatische Standard

TOTP (Time-based One-Time Password) generiert alle 30 Sekunden einen neuen 6-stelligen Code aus einem geteilten Geheimnis. Das Verfahren ist offen standardisiert (RFC 6238) und funktioniert offline.

Beim Einrichten zeigt der Dienst einen QR-Code, den du mit deiner Authenticator-App scannst. Ab dem Moment generiert sie für dieses Konto die aktuellen Codes — auch wenn das Telefon offline ist. Das geteilte Geheimnis lebt nur auf dem Server und in der App; es geht nicht durch SMS-Netze.

Empfehlenswerte Apps:

AppPlattformenOpen SourceBackupStärke
AegisAndroidJaLokaler Export (verschlüsselt)Volle Kontrolle, kein Cloud-Zwang
2FASAndroid, iOSJa (Clients)Cloud-Backup optionalKomfort + plattform-übergreifend
RaivoiOSJaiCloud verschlüsseltiOS-nativ, sehr aufgeräumt
Ente AuthAndroid, iOS, Desktop, WebJaVerschlüsselte CloudCross-Platform mit ernsthaftem Crypto
Bitwarden / 1PasswordalleBitwarden jaIm Manager-TresorKonsolidierung mit Passwort-Manager
Google AuthenticatorAndroid, iOSNeinCloud-Sync seit 2023Verbreitet, aber unklarere Crypto
Microsoft AuthenticatorAndroid, iOSNeinCloud-BackupPush für MS-Konten + TOTP für andere

Was du beim Einrichten unbedingt tun solltest:

  • QR-Code-Screenshot oder ausgeschriebenes Secret an einem sicheren Ort speichern (Manager, verschlüsselte Notiz). So kannst du das Konto auf einem zweiten Gerät oder bei Geräte-Verlust wiederherstellen.
  • Backup-/Recovery-Codes ausdrucken oder speichern, die der Dienst beim Aktivieren anbietet. Diese sind die einzige Möglichkeit, ohne Authenticator-App wieder reinzukommen.
  • TOTP in einer App, die du auch über Jahre nutzt — Wechsel zwischen Authenticator-Apps sind möglich, aber unangenehm, weil viele Dienste verlangen, dass du 2FA komplett neu einrichtest.
05 · Abschnitt

Push-Bestätigung und MFA-Fatigue

Manche Dienste (Microsoft, Google Prompt, Duo) senden bei jedem Login eine Push-Benachrichtigung auf dein vorher gekoppeltes Gerät: „Bist du das gerade?" Komfortabel — ein Tap reicht.

Die Schwachstelle heißt MFA-Fatigue oder Push-Bombing: ein Angreifer mit deinem Passwort versucht sich mehrfach einzuloggen und schickt damit Welle um Welle an Bestätigungs-Anfragen auf dein Telefon. Irgendwann, oft mitten in der Nacht, drückst du genervt auf Akzeptieren — und der Angreifer ist drin.

So hat die Lapsus$-Bande 2022 mehrere bekannte Unternehmen kompromittiert (Uber, Microsoft, Nvidia). Lehre: Push-2FA ohne Number Matching ist unsicher. Number Matching zeigt dir auf der Login-Seite eine Zahl, die du in der Push-Bestätigung antippen musst — der Angreifer kennt die Zahl nicht. Microsoft, Google und Duo haben das mittlerweile standardisiert.

Praktischer Rat:

  • Push akzeptiere ich nur, wenn ich selbst gerade einen Login auslöse.
  • Bei unerwarteten Pushs sofort ablehnen und Passwort wechseln — der Angreifer hat es schon.
  • Number Matching aktivieren, wo es angeboten wird.
06 · Abschnitt

FIDO2 / Hardware-Keys: der Goldstandard

FIDO2 (mit dem darunterliegenden WebAuthn-Standard) ist das einzige Verfahren, das gegen Phishing strukturell immun ist. Der Grund: bei jedem Login signiert der Key kryptografisch — und in die Signatur fließt die Herkunfts-Domain des Browser-Tabs ein. Eine gefälschte Domain liefert eine ungültige Signatur, der Login schlägt fehl. AiTM-Toolkits laufen ins Leere.

Hardware-Keys sind kleine USB-/NFC-Sticks (oft USB-A/USB-C, manchmal Lightning), die genau dafür gebaut sind. Bekannte Hersteller:

  • YubiKey (Yubico) — Marktführer, breite Modell-Palette mit USB-A, USB-C, NFC, biometrisch (5C Bio).
  • Token2 — günstige Alternative mit FIDO2-Support.
  • Nitrokey — Open-Source-Hardware aus Deutschland.
  • SoloKeys / Solo 2 — Open-Hardware-Variante, Crowdfunding-Ursprung.
  • OnlyKey — mehr Features (PGP, Password-Slots), aber auch komplexer.

Was du bekommst:

  • Phishing-Schutz — strukturell, nicht durch Aufmerksamkeit.
  • Schlüssel verlässt das Gerät nie — kein „abphishbares" Geheimnis.
  • Plattform-übergreifend — funktioniert auf allen Browsern, iOS/Android, Windows/macOS/Linux.
  • Touch-Bestätigung als Anti-Malware-Maßnahme — selbst kompromittierte Software kann nicht ohne deinen Tap signieren.

Praktisch immer zwei Keys kaufen und beim Dienst registrieren — einer im Alltag, einer als Backup an einem anderen Ort. Wenn ein Key verloren geht, hast du dann nicht alle Konten verloren. Preis liegt für solide YubiKey-Modelle bei 50–80 EUR pro Stück; Token2 oder SoloKey deutlich günstiger.

Hardware-Keys lohnen sich besonders für:

  • E-Mail-Hauptkonto (das Recovery-Tor für alles andere).
  • Identitäts-Provider (Apple, Google, Microsoft).
  • Passwort-Manager-Konto.
  • GitHub / GitLab / Cloud-Anbieter für Entwickler:innen.
  • Bank- und Trading-Konten, wo unterstützt.
  • Soziale Hauptaccounts, wenn exponiert.

Für alle anderen Konten reicht TOTP — die Asymmetrie zwischen Aufwand und Nutzen kippt sonst.

07 · Abschnitt

Backup-Codes und Recovery

Was passiert, wenn dein Authenticator-Gerät verloren geht, dein Hardware-Key kaputt ist oder du dein Passwort vergessen hast? Drei Schichten:

  • Backup-Codes — die meisten Dienste geben dir 5–10 Einmal-Codes beim Aktivieren von 2FA. Ausdrucken, beim Master-Passwort-Zettel ablegen. Pro Konto neue Codes, wenn du einen verbraucht hast.
  • Mehrere Faktoren registrieren — viele Dienste erlauben mehrere Hardware-Keys oder Authenticator-Apps gleichzeitig. Zweiter YubiKey im Bankschließfach, TOTP-App auf altem Tablet.
  • Recovery-Konto / Trusted Contact — manche Anbieter (Apple, Facebook, GitHub) lassen dich Recovery-Kontakte hinterlegen oder ein Recovery-Schlüssel-Verfahren einrichten.

Was du nicht tun solltest: das einzige Backup-Verfahren ist eine Telefonnummer, die selbst SIM-Swap-anfällig ist. Wenn der einzige Recovery-Pfad SMS heißt, ist die ganze 2FA-Sicherheit wertlos.

Vertieft im Artikel account-wiederherstellung.

08 · Abschnitt

Interessantes

2FA ist statistisch der größte Sicherheits-Gewinn überhaupt

Eine Microsoft-Studie von 2019 zeigte, dass MFA über 99 Prozent automatisierter Konto-Übernahmen verhindert. Ähnliche Zahlen kommen von Google. Wer nur eine Sicherheitsmaßnahme treffen kann, sollte 2FA auf dem Mail-Konto aktivieren — der größte Hebel pro investierter Minute.

TOTP-Codes sind 30 Sekunden gültig — und das ist kein Schutz

Der Mythos "Phisher haben zu wenig Zeit" stimmt nicht. AiTM-Phishing-Toolkits (EvilProxy, Modlishka, Evilginx) leiten Login-Daten in Sekundenbruchteilen weiter. Was wirklich gegen Phishing schützt, ist nicht die Code-Lebensdauer, sondern die Origin-Bindung von FIDO2.

WebAuthn ist seit 2019 W3C-Standard

Der Standard für FIDO2-Browser-Integration wurde im März 2019 als W3C Recommendation verabschiedet. Alle großen Browser unterstützen ihn seit Jahren — von der API her ist Passkeys-Adoption kein Hexenwerk mehr, nur die Service-seitige Umsetzung kommt langsam nach.

Apple, Google und Microsoft pushen aktiv

Die drei großen Identitäts-Provider haben 2023 öffentlich erklärt, Passwörter langfristig durch Passkeys ersetzen zu wollen. Alle drei Anbieter unterstützen Passkeys mit Cross-Device-Sync. Wer dort registriert ist, hat die einfachste Migration vor sich.

MFA-Müdigkeit ist ein Mensch-Problem, kein Technik-Problem

Number Matching adressiert das Symptom. Die eigentliche Lehre: Push-Authentifizierung darf keine niedrige Reibung haben — eine getippte Zahl ist hoch genug, dass man bei der Sache ist. Eine reine "Tap to confirm"-Geste ist nach drei genervten Klicks Routine.

Yubico ist Schwedisch, nicht amerikanisch

YubiKeys werden in Schweden entwickelt und produziert (Hauptsitz Stockholm, Niederlassung in Kalifornien). Für Käufer:innen mit Vorbehalten gegen US-Hardware ein Unterschied; ergänzend gibt es das deutsche Nitrokey-Projekt mit reproduzierbarer Firmware.

Sicherheitsfragen sind keine 2FA

"Wie hieß deine erste Schule?", "Welche Farbe hatte dein erstes Auto?" — Informationen, die auf Facebook, LinkedIn oder per Social Engineering oft trivial zu beschaffen sind. Wenn ein Dienst Sicherheitsfragen verlangt, beantworte sie mit Zufalls-Strings aus dem Manager — nicht mit echten Antworten.

Weiterführende Ressourcen

Externe Quellen

/ Weiter

Zurück zu Passwörter & Authentifizierung

Zur Übersicht