Haben Sie Bedenken hinsichtlich Multifaktor-Authentifizierung und Zwei-Faktor-Authentifizierung? Die wichtigsten Fragen und Vorteile

Zwei-Faktor-Authentifizierung (2FA) erfordert zwei verschiedene Formen der Identifizierung, bevor Zugriff auf ein Konto, eine Anwendung oder vertrauliche Daten gewährt wird. Dadurch geht der Anmeldevorgang über einen einzelnen Schritt hinaus und ist sicherer, als sich nur auf einen Benutzernamen und ein Passwort zu verlassen. So werden Konten geschützt, indem sichergestellt wird, dass selbst Personen, die ein Passwort erlangen, ohne den zweiten Verifizierungsschritt nicht auf die Informationen zugreifen können.

Zu den Arten von Authentifizierungsfaktoren gehören:

• Etwas, das der Benutzer weiß (Passwort, PIN)

• Etwas, das der Benutzer besitzt (Telefon, Sicherheitsschlüssel)

• Etwas, das für den Benutzer einzigartig ist (Fingerabdruck, Gesichtsscan)

• Ein Ort, an dem sich der Benutzer befindet (Standort)

Diese Trennung der beiden Faktoren schützt die Konten der Benutzer, da ein Angreifer beide kompromittieren müsste – nicht nur ein Passwort –, um Zugriff zu erhalten.

2FA fügt Konten eine entscheidende Sicherheitsebene hinzu. Dies sind die wichtigsten Vorteile:

• Stärkerer Schutz vor gestohlenen Passwörtern: Selbst wenn jemand durch eine Datenschutzverletzung oder einen Phishing-Angriff an ein Passwort gelangt, kann die Person ohne den zweiten Faktor trotzdem nicht auf das Konto zugreifen.

• Schutz vor gängigen Angriffsmethoden: 2FA blockiert viele Taktiken, die Angreifer einsetzen, von Credential Stuffing bis hin zu Brute-Force-Versuchen.

• Für Angreifer schwerer zu umgehen: Das Eindringen in ein Konto wird erheblich schwieriger, wenn mehrere Verifizierungsschritte erforderlich sind. 

• Geringeres Risiko einer Kontoübernahme: Persönliche, finanzielle und berufliche Konten bleiben besser geschützt, wodurch Daten und Identität geschützt werden.

• Unterstützt Compliance und bewährte Sicherheitspraktiken: Viele Organisationen verlangen 2FA, um regulatorische Standards zu erfüllen und ein hohes Sicherheitsniveau aufrechtzuerhalten.

• Sorgt für ein beruhigendes Gefühl: Konten verfügen über einen zusätzlichen Schutzmechanismus.

Zwei-Faktor-Authentifizierung (2FA), Zwei-Schritt-Verifizierung (2SV) und Multifaktor-Authentifizierung (MFA) bezeichnen im Allgemeinen alle denselben Prozess, bei dem für die Anmeldung bei einem Konto mehr als ein Schritt erforderlich ist. Obwohl diese Begriffe oft synonym verwendet werden, gibt es technische Unterschiede, die Sie kennen sollten. 

Multifaktor-Authentifizierung (MFA) ist die umfassendste Kategorie. Sie bezeichnet jeden Sicherheitsprozess, der zwei oder mehr verschiedene Arten von Verifizierungsfaktoren erfordert, um auf ein Konto zuzugreifen. MFA kann jede Kombination von Faktoren umfassen – etwas, das ein Benutzer weiß, etwas, das ein Benutzer besitzt, oder etwas, das ein Benutzer ist.

Zwei-Faktor-Authentifizierung (2FA) ist eine spezielle Form der MFA, die genau zwei Faktoren aus unterschiedlichen Kategorien verwendet. Zum Beispiel ein Passwort (etwas, das ein Benutzer weiß) in Kombination mit einem Code vom Telefon (etwas, das ein Benutzer besitzt).

Zwei-Schritt-Verifizierung (2SV) erfordert zwei Schritte zur Anmeldung, diese Schritte können jedoch denselben Faktortyp verwenden. Zum Beispiel die Eingabe eines Passworts und anschließend der Erhalt eines Codes an Ihre registrierte E-Mail-Adresse – beides basiert eher auf etwas, das ein Benutzer weiß oder auf das er Zugriff hat, als auf zwei klar unterschiedlichen Faktortypen.

In der Praxis verwenden die meisten Dienste diese Begriffe eher lose. Entscheidend ist, dass ein Benutzer eine zusätzliche Verifizierungsebene über ein Passwort hinaus hinzufügt.

Zwei-Faktor-Authentifizierung kann je nach verwendeter Methode unterschiedlich sicher sein. Im Allgemeinen bieten Sicherheitsschlüssel den stärksten Schutz, gefolgt von Authenticator-Apps und dann E-Mail; SMS ist die am wenigsten sichere Option. Im Folgenden finden Sie einen Überblick über die gängigsten 2FA-Methoden mit ihren Vor- und Nachteilen.

Hier finden Sie eine Übersicht der gängigsten 2FA-Methoden, sortiert von der allgemein als am sichersten bis zur am wenigsten sicher geltenden Methode, jeweils mit Vor- und Nachteilen:

Sicherheitsschlüssel

Vorteil: Besonders sicher als eigenständiges Hardwaregerät Nachteil: Ohne zusätzliche Zwei-Faktor-Methoden könnte ein verlorener Sicherheitsschlüssel einen Benutzer unbeabsichtigt aus seinen Konten aussperren

Authenticator-App

Vorteil: Einfach, leicht einzurichten, einige können plattformübergreifend verwendet werden Nachteil: Wenn die Authenticator-App nicht auf mehreren Geräten verfügbar ist, können Benutzer aus Konten ausgesperrt werden, wenn ein Gerät verloren geht, gestohlen oder gelöscht wird, bevor Benutzer Kopien der Authenticator-Schlüssel erstellt haben

E-Mail

Vorteil: Einfach, leicht einzurichten Nachteil: Wenn auch die E-Mail kompromittiert ist, bietet dies keinen Schutz

Sprachbasierte Authentifizierung

Vorteile: Einfach, freihändig und praktisch für Barrierefreiheit Nachteile: Anfällig für Sprachaufzeichnungen oder Deepfake-Angriffe

SMS

Vorteil: Einfach, bei vielen Websites Standard Nachteil: Diese Methode ist anfällig für SIM-Jacking-Angriffe

Zwei-Faktor-Authentifizierung in irgendeiner Form zu verwenden, ist besser, als sie überhaupt nicht zu verwenden – unabhängig von der Methode.

Passkeys sind eine neuere Authentifizierungsmethode, bei der auf einem Gerät gespeicherte kryptografische Schlüssel zur Verifizierung der Identität verwendet werden. Im Gegensatz zu physischen Sicherheitsschlüsseln, die Benutzer in ein Gerät einstecken oder daran halten, sind Passkeys digitale Anmeldedaten, die sich auf Telefonen, Computern oder in Passwort-Managern befinden. Benutzer entsperren sie mithilfe biometrischer Daten wie Fingerabdrücken oder Gesichtern oder mit einer Geräte-PIN. 

Passkeys sind darauf ausgelegt, sowohl Passwörter als auch herkömmliche 2FA in einem Schritt zu ersetzen. Bei der Anmeldung mit einem Passkey weisen Benutzer nach, dass sie über das autorisierte Gerät verfügen (etwas, das sie besitzen) und dass sie es entsperren können (etwas, das sie wissen oder sind). Dadurch werden mehrere Faktoren in einer einzigen, optimierten Aktion kombiniert.

In den meisten Fällen ist bei der Verwendung von Passkeys keine 2FA erforderlich, da Passkeys von Grund auf Multifaktor-Sicherheit bieten. Einige Dienste bieten jedoch weiterhin zusätzliche Sicherheitsoptionen an, z. B. die Anforderung eines zweiten Geräts oder einer Ersatz-Authentifizierungsmethode für risikoreiche Aktionen.

Weitere Informationen dazu, wie Passkeys funktionieren und wo Sie sie verwenden können, finden Sie in diesem Artikel über was Passkeys sind.

Nicht alle Konten haben dasselbe Risikoniveau. Sichern Sie zuerst diese:

E-Mail-Konten: E-Mail ist das Tor zu allem anderen. Angreifer können sie verwenden, um Passwörter für andere Konten zurückzusetzen. Daher gehört sie zu den kritischsten Bereichen, die geschützt werden müssen.

Finanzkonten: Banken, Kreditkarten, Anlageplattformen und Zahlungsdienste wie PayPal oder Venmo sollten immer 2FA oder Passkeys aktiviert haben. Eine Kompromittierung kann hier zu direkten finanziellen Verlusten führen.

Passwort-Manager: Wenn ein Passwort-Manager Anmeldedaten für alle Konten speichert, ist es unerlässlich, ihn mit 2FA oder einem Passkey zu sichern. Wird dieses eine Konto kompromittiert, könnte alles andere offengelegt werden.

Arbeits- und Cloud-Speicherkonten: Konten, die mit der Arbeit verknüpft sind oder sensible Dokumente, Fotos oder Back-ups speichern, verdienen zusätzlichen Schutz.

Soziale Medien und Kommunikationsplattformen: Auch wenn sie weniger kritisch erscheinen, können diese Konten für Identitätsdiebstahl, Betrug oder zur Imitation von Benutzern missbraucht werden.

Alle Konten mit sensiblen personenbezogenen Daten: Gesundheitsportale, Behördendienste und Konten mit privaten Informationen sollten gesichert werden, um Identitätsdiebstahl oder Betrug zu verhindern.

Der Grund, warum diese Konten am wichtigsten sind, ist einfach: Sie sind entweder für sich genommen sehr wertvoll oder können genutzt werden, um andere Konten zu kompromittieren. Ihre Absicherung reduziert das Gesamtrisiko erheblich.

Suchen Sie nach einer sicheren Möglichkeit, all diese Anmeldedaten zu verwalten? Sehen Sie sich den kostenlosen persönlichen Passwort-Manager von Bitwarden an: kostenloser persönlicher Passwort-Manager.

Wenn ein nicht angeforderter 2FA-Code eintrifft, bedeutet das in der Regel, dass jemand versucht, sich beim Konto anzumelden. Diese Person hat das Passwort und versucht, den Anmeldevorgang abzuschließen.

So gehen Sie vor:

• Geben Sie den Code nicht weiter: Geben Sie ihn niemals an andere weiter, auch nicht, wenn diese behaupten, vom Support zu sein.

• Genehmigen Sie keine Anmeldeaufforderungen: Wenn Sie eine Push-Benachrichtigung erhalten, in der Sie aufgefordert werden, eine Anmeldung zu genehmigen, lehnen Sie sie ab.

• Ändern Sie das Passwort sofort: Verwenden Sie ein starkes, eindeutiges Passwort, das nirgendwo sonst verwendet wurde.

• Prüfen Sie die Kontoaktivität: Achten Sie auf unbefugte Zugriffe oder Änderungen.

• Aktivieren Sie zusätzliche Sicherheitsmaßnahmen: Ziehen Sie den Wechsel zu einer sichereren 2FA-Methode in Betracht, wenn Sie SMS verwenden.

Von Authenticator-Apps generierte TOTP-Codes sind sicherer als SMS-Codes, aber nicht völlig narrensicher. Angreifer können sie weiterhin durch Social-Engineering-Angriffe phishen oder durch Echtzeitangriffe abfangen.

Zu den gängigen Methoden gehören:

• Gefälschte Anmeldeseiten: Angreifer erstellen überzeugende Nachbildungen legitimer Websites. Wenn Benutzer Passwort und TOTP-Code eingeben, erfassen sie beides und verwenden es sofort, um sich anzumelden.

• Relay-Angriffe: Der Angreifer agiert als Vermittler und leitet Anmeldedaten und TOTP-Code in Echtzeit an die echte Website weiter, bevor der Code abläuft.

• Social Engineering: Betrüger können Benutzer dazu verleiten, den TOTP-Code am Telefon oder in einer Nachricht preiszugeben. Weitere Informationen zu Social-Engineering-Angriffen finden Sie in diesem Blog zu Social-Engineering-Angriffen.

So verringern Sie das Risiko:

• Überprüfen Sie immer die URL, bevor Sie Anmeldedaten eingeben

• Verwenden Sie nach Möglichkeit Passkeys oder Hardware-Sicherheitsschlüssel

• Seien Sie skeptisch bei dringenden Aufforderungen, sich anzumelden oder Konten zu verifizieren

• Aktivieren Sie zusätzliche Schutzmaßnahmen wie Anmeldewarnungen

Ein MFA-Fatigue-Angriff, auch Prompt Bombing genannt, tritt auf, wenn ein Angreifer wiederholt Anmeldegenehmigungsanfragen an ein Gerät sendet – manchmal Dutzende oder Hunderte Male. Ziel ist es, Benutzer zu überfordern und zu nerven, bis sie versehentlich oder absichtlich eine Anfrage genehmigen, nur damit die Benachrichtigungen aufhören.

Diese Art von Angriff funktioniert, weil der Angreifer bereits das Passwort hat. Er wartet nur noch auf die Genehmigung seines Zugriffs.

So bleibt der Schutz erhalten:

• Genehmigen Sie niemals eine nicht von Ihnen initiierte Anmeldeanfrage: Wenn Aufforderungen immer wieder angezeigt werden, lehnen Sie sie ab und prüfen Sie den Vorfall sofort.

• Ändern Sie das Passwort sofort: Jemand besitzt ihn und versucht, sich Zugang zu verschaffen.

• Nutzen Sie Nummernabgleich oder kontextbezogene Aufforderungen: Einige Dienste zeigen auf dem Anmeldebildschirm eine Nummer an, die in der App eingegeben werden muss. Dadurch wird es Angreifern erschwert, Benutzer zu täuschen.

• Wechseln Sie zu Hardware-Sicherheitsschlüsseln oder Passkeys: Diese Methoden beruhen nicht auf Bestätigungsaufforderungen und lassen sich nicht durch Ermüdung umgehen.

Aktivieren Sie Anmeldewarnungen: Lassen Sie sich über verdächtige Aktivitäten benachrichtigen, um schnell handeln zu können.

Angreifer können 2FA-Codes nicht direkt so „weitergeben“, wie sie gestohlene Passwörter bei Datenlecks weitergeben. Sie können die 2FA-Einrichtung jedoch missbrauchen, wenn sie Zugriff auf verbundene Konten oder Dienste erhalten.

Zum Beispiel:

• Wenn sie Zugriff auf das E-Mail-Konto erhalten, können sie per E-Mail gesendete 2FA-Codes empfangen oder es nutzen, um Passwörter zurückzusetzen und 2FA für andere Konten zu deaktivieren.

• Wenn sie die Telefonnummer kontrollieren (durch SIM-Swapping), können sie SMS-basierte Codes abfangen.

• Wenn sie die Backups der Authenticator-App kompromittieren, die in Cloud-Diensten gespeichert sind, können sie TOTP-Codes möglicherweise auf ihrem eigenen Gerät wiederherstellen.

Die wichtigste Erkenntnis: Die Konten und Geräte abzusichern, die mit der 2FA-Einrichtung verknüpft sind, ist genauso wichtig wie die 2FA selbst. Verwenden Sie eindeutige Passwörter für jedes Konto und aktivieren Sie starke 2FA für E-Mail, Ihr Konto beim Mobilfunkanbieter und alle Cloud-Backup-Dienste.

Wenn Sie gehackt wurden, handeln Sie schnell, um die Kontrolle zurückzugewinnen und Konten abzusichern. Weitere Hinweise finden Sie unter Was tun, wenn Sie gehackt wurden.

Passwort-Manager vereinfachen 2FA, indem sie den größten Teil der Sicherheitsverwaltung übernehmen. Sie können komplexe Passwörter für alle Konten erstellen und speichern und verringern so die kognitive Belastung, sich Dutzende eindeutiger Zugangsdaten merken zu müssen. Viele Passwort-Manager speichern außerdem 2FA-Wiederherstellungscodes sicher an einem geschützten Ort, sodass Backup-Codes organisiert und bei Bedarf zugänglich sind — ohne Postfächer oder Dokumente zu überladen.

Das Ergebnis? Mehrschichtige Sicherheit ohne Aufwand, bei der Authentifizierungseinrichtung und Wiederherstellungsoptionen zentralisiert und verschlüsselt bleiben.

Verwenden Sie für jedes Konto starke, eindeutige Passwörter — verwenden Sie Passwörter niemals auf mehreren Websites wieder. Halten Sie Software, Betriebssysteme und Apps aktuell, um sich vor Sicherheitslücken zu schützen. Wählen Sie bei der Einrichtung von 2FA immer die stärkste verfügbare Methode: Hardware-Sicherheitsschlüssel oder Passkeys sind am besten, gefolgt von Authenticator-Apps, wobei SMS nur als letzte Möglichkeit dienen sollte.

Bewahren Sie Wiederherstellungscodes sicher an einem geschützten Ort auf, wenn möglich getrennt von Alltagsgeräten. Ob in einer verschlüsselten Datei, einer Sicheren Notiz in einem Passwort-Manager oder schriftlich an einem physischen Ort: Stellen Sie sicher, dass sie bei Bedarf zugänglich sind. Gute Konto-Wiederherstellungshygiene bedeutet, Backup-Codes regelmäßig zu überprüfen und sicherzustellen, dass sie weiterhin zugänglich sind.

Befolgen Sie diese wichtigen Praktiken, um den bestmöglichen Schutz durch 2FA zu erhalten:

• Wählen Sie die stärkste verfügbare 2FA-Methode: Verwenden Sie nach Möglichkeit Passkeys oder Hardware-Sicherheitsschlüssel, danach Authenticator-Apps. Vermeiden Sie SMS, wenn bessere Optionen verfügbar sind.

• Aktivieren Sie 2FA zuerst für die wichtigsten Konten: Priorisieren Sie E-Mail, Finanzkonten, Passwort-Manager und Arbeitskonten.

• Verwenden Sie für jedes Konto starke, eindeutige Passwörter: 2FA funktioniert am besten in Kombination mit Zugangsdaten, die nicht wiederverwendet werden oder leicht zu erraten sind.

• Bewahren Sie Wiederherstellungscodes sicher auf: Bewahren Sie Backup-Codes an einem sicheren Ort getrennt von Alltagsgeräten auf und überprüfen Sie den Zugriff darauf.

• Geben Sie 2FA-Codes niemals weiter und bestätigen Sie keine unerwarteten Anmeldeanfragen: Seriöse Dienste werden niemals nach Codes fragen.

• Halten Sie Software und Geräte aktuell: Regelmäßige Aktualisierungen schützen vor Sicherheitslücken, die die 2FA-Einrichtung gefährden könnten.

• Testen Sie den Kontowiederherstellungsprozess: Versuchen Sie regelmäßig, sich von einem neuen Gerät aus anzumelden, um den Zugriff auf Konten sicherzustellen, falls etwas schiefgeht.

• Sichern Sie die mit 2FA verbundenen Konten ab: Schützen Sie E-Mail, das Konto beim Mobilfunkanbieter und Backups der Authenticator-App mit starken Passwörtern und 2FA.

Bitwarden erleichtert es, Passwörter und zusätzliche Sicherheitsebenen an einem Ort zu verwalten.

2FA-Unterstützung in Bitwarden:

Bitwarden kann zeitbasierte Einmalpasswörter (TOTP) direkt in der App generieren, sodass kein separater Authenticator erforderlich ist. Bei der Anmeldung auf einer Website kann Bitwarden sowohl das Passwort als auch den 2FA-Code automatisch ausfüllen und den Prozess optimieren, ohne die Sicherheit zu beeinträchtigen. 2FA-Wiederherstellungscodes können außerdem sicher zusammen mit den Zugangsdaten gespeichert werden, sodass alles organisiert und bei Bedarf zugänglich bleibt.

Passkey-Unterstützung in Bitwarden:

Bitwarden unterstützt Passkeys und ermöglicht Benutzern, sie geräteübergreifend zu erstellen, zu speichern und zu verwenden. Wenn eine Website oder App die Anmeldung per Passkey anbietet, kann Bitwarden den Passkey speichern und bei der Rückkehr automatisch ausfüllen. So wird passwortlose Authentifizierung einfach und sicher. Passkeys werden auf allen Geräten synchronisiert, auf denen Bitwarden installiert ist, sodass sich Benutzer nahtlos anmelden können — ob auf Smartphone, Tablet oder Computer.

Bereit, Ihre Online-Sicherheit zu stärken? Bitwarden hilft Ihnen, starke Passwörter, 2FA-Codes, Wiederherstellungscodes und Passkeys in einem einzigen sicheren Tresor zu verwalten. Beginnen Sie noch heute damit, Konten zu schützen – mit einer Lösung, die Sicherheit komfortabel macht.