Estimated reading time: 3 Minuten
Die Sicherheit von Online-Accounts ist ein Dauerbrenner. Trotz komplexer Passwörter und Passwortmanagern bleibt ein Problem: wird das Passwort kompromittiert, ist der Zugang offen. Genau hier setzt die Zwei-Phasen-Authentifizierung (2FA) an. Doch welche Methode ist wirklich sicher – und wie hat sich das Verfahren historisch entwickelt?
Was bedeutet Zwei-Phasen-Authentifizierung?
Die 2FA kombiniert mindestens zwei unterschiedliche Faktoren, um einen Login abzusichern:
- Wissen – etwas, das nur der Nutzer kennt (Passwort, PIN).
- Besitz – etwas, das nur der Nutzer hat (Smartphone, Hardware-Token, Smartcard).
- Biometrie – etwas, das nur der Nutzer ist (Fingerabdruck, Gesicht, Stimme).
Erst wenn zwei Faktoren erfolgreich geprüft sind, wird der Zugang freigegeben. Das erhöht die Sicherheit erheblich, weil Angreifer nicht mehr nur ein Passwort knacken müssen.
Die wichtigsten 2FA-Verfahren im Überblick
| Verfahren | Beschreibung | Vorteile | Nachteile | Sicherheitsniveau |
|---|---|---|---|---|
| SMS-TAN / mTAN | Einmalcode per SMS ans Handy | Einfach, keine App nötig | Unsicher gegen SIM-Swapping, Abfangen von SMS | 🔴 Niedrig |
| Authenticator-App (TOTP) | App generiert zeitbasierte Einmalcodes (z. B. Google Authenticator, FreeOTP) | Offline nutzbar, schwer abfangbar | Handyverlust ohne Backup kritisch | 🟡 Mittel–hoch |
| Push-Authentifizierung | Benachrichtigung aufs Smartphone, Bestätigung per Klick (z. B. Microsoft Authenticator, Duo) | Benutzerfreundlich, schwer abzufangen | Risiko von „Push-Bombing“ | 🟡🟢 Hoch |
| Hardware-Token (FIDO2/WebAuthn, YubiKey, Nitrokey) | USB-/NFC-Gerät mit kryptographischem Schlüssel | Phishing-resistent, sehr sicher | Gerät muss physisch vorhanden sein | 🟢 Sehr hoch |
| Biometrie (Finger, FaceID, Iris) | Authentifizierung über biometrische Merkmale | Komfortabel, schnell | Datenschutzbedenken, erzwungene Abnahme möglich | 🟡–🟢 Mittel–hoch |
Welche Methode ist am sichersten?
- Top-Sicherheit: Hardware-basierte Schlüssel nach FIDO2/WebAuthn-Standard (z. B. YubiKey). Sie sind resistent gegen Phishing, Man-in-the-Middle-Angriffe und Code-Abfangen.
- Alltagstauglich: Authenticator-Apps oder Push-Authentifizierung bieten ein gutes Verhältnis aus Sicherheit und Komfort.
- Veraltet und unsicher: SMS-TAN ist zwar noch weit verbreitet, sollte aber nur als Notlösung genutzt werden.
Kurze Geschichte der Zwei-Phasen-Authentifizierung
- 1980er Jahre – Erste Hardware-Token (z. B. RSA SecurID) im Bank- und Unternehmensumfeld.
- 1990er Jahre – OTP-Systeme (One-Time Password) werden populär, oft in Verbindung mit Unternehmensnetzwerken.
- 2000er Jahre – Banken setzen verstärkt auf mTAN via SMS. Bequem, aber zunehmend angreifbar.
- 2010er Jahre – Smartphones machen App-basierte OTP-Generatoren wie den Google Authenticator populär.
- Ab 2015 – Einführung der FIDO-Standards (U2F, später FIDO2/WebAuthn). Ziel: Passwortlose und phishing-resistente Anmeldungen.
- Heute – Große Anbieter (Google, Microsoft, Apple) setzen zunehmend auf Passkeys und Hardware-gestützte Verfahren.
Sicherheit hat ihren Preis – aber es lohnt sich
Die Zwei-Phasen-Authentifizierung ist kein optionales Extra mehr, sondern ein Muss für sensible Accounts wie E-Mail, Banking, Cloud-Dienste oder Unternehmenszugänge.
- Wer es maximal sicher will, kommt um Hardware-Keys (FIDO2/WebAuthn) nicht herum.
- Wer es praktisch und sicher möchte, fährt mit Authenticator-Apps oder Push-Benachrichtigungen sehr gut.
- SMS-TAN sollte nur im Ausnahmefall genutzt werden.
Langfristig wird sich der Trend in Richtung Passkeys und passwortlose Authentifizierung verschieben – mit dem Ziel, den Login nicht nur sicherer, sondern auch bequemer zu machen.
Sei der Erste, der das kommentiert
Kommentare sind geschlossen, allerdings sind Trackbacks und Pingbacks möglich.