Zwei-Faktor-Authentifizierung (2FA) erklärt
Aktualisiert 2026-07-06
Die Zwei-Faktor-Authentifizierung ist das einzelne Wirksamste, das du zum Schutz deiner Konten tun kannst — und die Einrichtung dauert ein paar Minuten. Dieser Ratgeber erklärt, was sie ist, warum ein Passwort allein nicht reicht und wie man zwischen den verschiedenen Methoden wählt.
Was 2FA ist
Zwei-Faktor-Authentifizierung (2FA), manchmal auch zweistufige Verifizierung genannt, bedeutet, deine Identität mit zwei verschiedenen Arten von Nachweisen statt einem zu belegen. Die klassischen drei Kategorien sind:
- Etwas, das du weißt — ein Passwort oder eine PIN.
- Etwas, das du hast — dein Handy oder ein Hardware-Key.
- Etwas, das du bist — ein Fingerabdruck oder Gesichtsscan.
Ein Passwort ist ein Faktor. 2FA fügt einen zweiten hinzu, sodass ein gestohlenes Passwort allein nicht ausreicht, um hineinzukommen.
Warum ein Passwort nicht reicht
Passwörter lecken — durch Datenlecks, Wiederverwendung über Websites hinweg und Phishing. Wie in unserem Ratgeber zu starken Passwörtern beschrieben, versuchen Angreifer nach dem Einbruch bei einer Website dieselben Zugangsdaten überall sonst. 2FA durchbricht diese Kette: Selbst mit deinem exakten Passwort kann ein Angreifer sich ohne deinen zweiten Faktor immer noch nicht anmelden.
Die Methoden, von schlecht bis gut
SMS-Codes
Ein per SMS an dein Handy geschickter Code. Weit besser als nichts, aber die schwächste Option — Codes können abgefangen werden, und „SIM-Swap“-Angriffe lassen Kriminelle deine Telefonnummer kapern. Nutze es nur, wenn es die einzige Wahl ist.
Authenticator-Apps
Eine App auf deinem Handy erzeugt alle 30 Sekunden einen frischen 6-stelligen Code (das nennt man TOTP). Die Codes werden auf deinem Gerät erstellt und nie über das Netz gesendet, können also nicht wie SMS abgefangen werden. Die Einrichtung bedeutet meist, einen QR-Code zu scannen, der das geteilte Geheimnis trägt. Das ist für die meisten der Sweet Spot — kostenlos, einfach und viel stärker als SMS.
Hardware-Sicherheitsschlüssel
Ein kleines physisches Gerät (wie ein YubiKey), das du antippst oder einsteckst. Auf modernen Standards (FIDO2/WebAuthn) basierend, sind diese der Goldstandard — praktisch immun gegen Phishing, weil der Schlüssel die echte Website prüft, bevor er antwortet. Ideal für deine wichtigsten Konten.
Überspringe die Backup-Codes nicht
Wenn du 2FA aktivierst, gibt dir der Dienst einen Satz einmaliger Backup-Codes. Bewahre sie an einem sicheren Ort auf (einem Passwort-Manager oder ausgedruckt verwahrt). Sie sind dein Weg zurück, wenn du dein Handy verlierst — ohne sie kann der Verlust deines zweiten Faktors den Verlust des Kontos bedeuten.
Wo du es zuerst einschalten solltest
Beginne mit den Konten, die die anderen freischalten können: zuerst deine E-Mail (sie kann die meisten deiner anderen Passwörter zurücksetzen), dann Banking und jedes Konto, das an deine Identität oder dein Geld gebunden ist. Kombiniert mit einem einzigartigen starken Passwort pro Website bringt 2FA dich vor die überwältigende Mehrheit der Konten online. Um deine Daten auf andere Weise zu schützen, siehe unseren Ratgeber zu Foto-Metadaten und Privatsphäre.
Mehr zu Sicherheit & Datenschutz
Alle Sicherheit & Datenschutz-Ratgeber ansehen →In diesem Ratgeber erwähnte Tools