Zwei-Faktor-Authentifizierung: Warum ein Passwort allein nicht mehr reicht

Wenn Angreifer dein Passwort kennen, können sie sich als du anmelden. Das passiert regelmässig: durch Datenpannen, Phishing oder Malware. Zwei-Faktor-Authentifizierung (2FA oder MFA) macht gestohlene Passwörter allein nutzlos. Es ist die eine Massnahme die mehr bringt als alles andere zusammen.

Das Prinzip: Etwas das du weisst + etwas das du hast

Klassisch: Passwort (etwas das du weisst) und ein Code auf deinem Smartphone (etwas das du hast). Selbst wenn ein Angreifer dein Passwort stiehlt, kommt er ohne dein physisches Gerät nicht rein. Das ist der entscheidende Unterschied.

Die verschiedenen 2FA-Methoden: von gut bis sehr gut

SMS-Code (gut, aber nicht optimal)

Ein einmaliger Code wird per SMS geschickt. Besser als kein 2FA: aber SMS lässt sich in seltenen Fällen durch SIM-Swapping angreifen (Angreifer übernehmen deine Handynummer beim Mobilanbieter). Für die meisten Anwendungsfälle aber völlig ausreichend.

Authenticator-App (sehr gut)

Apps wie Google Authenticator, Authy oder Microsoft Authenticator generieren alle 30 Sekunden einen neuen 6-stelligen Code: ohne Internetverbindung. Funktioniert offline, ist nicht per SIM-Swapping angreifbar und sehr benutzerfreundlich.

Empfehlung

Authy ist besonders empfehlenswert weil es Cloud-Backup und Multi-Device-Sync anbietet. So verlierst du deine 2FA-Codes nicht wenn du dein Smartphone verlierst oder wechselst.

Hardware-Token (optimal für hohe Sicherheitsanforderungen)

Physische Schlüssel wie ein YubiKey werden direkt in den USB-Port gesteckt oder per NFC genutzt. Phishing-sicher, da der Schlüssel die Website-Adresse verifiziert. Für normale Privatnutzer Overkill: für IT-Administratoren oder Personen mit erhöhtem Risikoprofil ideal.

Wo 2FA sofort aktivieren?

Priorität nach Schadenpotenzial:

E-Mail-Konto (Gmail, Outlook, etc.): Passwort-Reset läuft über E-Mail
Online-Banking und Zahlungsdienste (TWINT, PayPal)
Apple ID / Google-Konto: Kontrolle über alle verbundenen Dienste
Passwortmanager (Bitwarden, 1Password)
Social Media mit hohem Follower-Bestand oder Unternehmensseiten
Geschäftliche Cloud-Dienste (Microsoft 365, Google Workspace)

So aktivierst du 2FA: Schritt für Schritt (Gmail als Beispiel)

Öffne myaccount.google.com
Klicke auf «Sicherheit» in der linken Spalte
Suche den Abschnitt «So meldest du dich bei Google an»
Klicke auf «Bestätigung in zwei Schritten» → «Los geht's»
Wähle die Methode: Google Authenticator (empfohlen) oder SMS
QR-Code mit der Authenticator-App scannen
Code eingeben und bestätigen

Der Vorgang dauert unter 3 Minuten. Bei den meisten anderen Diensten findest du 2FA unter «Sicherheit» oder «Konto» in den Einstellungen.

Was bei einem neuen Gerät passiert

Beim ersten Login auf einem neuen Gerät wird der 2FA-Code abgefragt. Bekannte Geräte können als «vertrauenswürdig» markiert werden: dann nicht bei jedem Login. Für maximale Sicherheit auf diese Bequemlichkeit verzichten.

Wichtig: Backup-Codes aufbewahren

Wenn du 2FA aktivierst, bekommst du Einmal-Backup-Codes für den Notfall (Smartphone verloren). Diese ausdrucken und physisch sicher aufbewahren: sonst könntest du dich aus deinem eigenen Konto aussperren.

👤

Florian Muff

Lead Digital Forensics & Cyber Security Advisory. CyberSeal-Auditor. Vorstandsmitglied Allianz Digitale Sicherheit Schweiz. Schreibt jeden Mittwoch über Cybersecurity: praxisnah und ohne Fachjargon.

Kostenlose Vorlagen für dein Unternehmen

Druckfertige Cybersecurity-Checklisten und Notfallpläne: gratis, sofort verwendbar.

Vorlagen herunterladen →

🔐 Zwei-Faktor-Authentifizierung: Warum ein Passwort allein nicht mehr reicht