Zwei-Faktor-Authentifizierung (2FA)

Definition

💡 Zwei-Faktor-Authentifizierung (2FA): Eine zusätzliche Sicherheitsebene, bei der Sie zweimal nachweisen müssen, wer Sie sind, bevor Sie auf Ihre E-Mails zugreifen. Denken Sie an Benutzername und Passwort (etwas, das Sie wissen) plus einen Code von Ihrem Telefon (etwas, das Sie besitzen). Im Grunde ist es wie ein Türsteher, der sowohl Ihren Ausweis als auch Ihre Einladung prüft, bevor er Sie in den Club lässt.

Was macht 2FA?

Die Sache ist die: Passwörter sind miserabel darin, Ihre E-Mails zu schützen. Jemand kann sie erraten, bei einer Datenpanne stehlen oder Sie mit einem Phishing-Betrug dazu bringen, sie herauszugeben. Und sobald jemand Ihr Passwort hat, ist er drin.

Die Zwei-Faktor-Authentifizierung löst dieses Problem, indem sie einen zweiten Identitätsnachweis verlangt. Selbst wenn Hacker Ihr Passwort stehlen, können sie ohne diesen zweiten Faktor immer noch nicht auf Ihr Konto zugreifen (normalerweise ein Code, der an Ihr Telefon gesendet oder von einer Authenticator-App erzeugt wird). Laut Googles Forschung blockiert die Aktivierung von 2FA 100 % der automatisierten Bot-Angriffe und 96 % der massenhaften Phishing-Angriffe. Keine kleine Verbesserung.

Gerade bei E-Mails ist das noch wichtiger als sonst. Ihr Posteingang ist der Generalschlüssel für alles andere. Passwort-Zurücksetzungen, Finanzunterlagen, Arbeitsdokumente, private Unterhaltungen. Wenn jemand Zugriff auf Ihre E-Mails bekommt, kann diese Person im Grunde Ihr digitales Leben übernehmen. Was bringt ein starkes Passwort, wenn ein einziger Phishing-Link alles zunichtemacht? 2FA ist das Schloss, das tatsächlich funktioniert.

Arten von 2FA

Für diesen zweiten Faktor gibt es mehrere Optionen, und nicht alle sind gleich sicher:

SMS-Codes sind am weitesten verbreitet. Sie geben Ihr Passwort ein, dann sendet der Dienst einen 6-stelligen Code per SMS an Ihr Telefon. Einfach, funktioniert überall, aber nicht die sicherste Option. Nicht mal annähernd. Hacker können SMS-Nachrichten durch SIM-Swapping oder Social-Engineering-Angriffe auf Ihren Mobilfunkanbieter abfangen.

Authenticator-Apps erzeugen zeitbasierte Codes, die sich alle 30 Sekunden ändern (deshalb heißen sie TOTP-Codes, aber egal). Apps wie Google Authenticator, Authy oder Microsoft Authenticator erstellen diese Codes offline, was sie deutlich schwerer zu stehlen macht. Das ist es, was die meisten Sicherheitsexperten zum Schutz Ihres E-Mail-Kontos empfehlen.

Hardware-Schlüssel sind physische Geräte (wie YubiKey, etwa $25-50), die Sie an Ihren Computer anschließen oder an Ihr Telefon halten. Sie brauchen die sicherste Option? Das ist sie. Sie sind am sichersten, weil es buchstäblich nichts gibt, was Hacker abfangen könnten. Aber Sie müssen das Ding mit sich herumtragen, und wenn Sie es verlieren, sind Sie ausgesperrt, bis Sie Ihre Backup-Methode verwenden.

Bei der biometrischen Authentifizierung wird mit Ihrem Fingerabdruck oder Ihrem Gesicht überprüft, ob Sie es wirklich sind. Auf Telefonen ziemlich praktisch, auch wenn dies technisch gesehen meist zusammen mit einem anderen Faktor verwendet wird, statt ihn vollständig zu ersetzen.

Die meisten Menschen beginnen mit SMS-Codes, weil sie einfach sind, und wechseln dann zu Authenticator-Apps, sobald sie merken, dass SMS nicht besonders gut ist. Hardware-Schlüssel sind vor allem für Menschen mit hohen Sicherheitsanforderungen gedacht (Journalisten, Aktivisten, Führungskräfte).

So aktivieren Sie 2FA

Die Einrichtung dauert etwa fünf Minuten und unterscheidet sich je nach Anbieter leicht.

In Gmail:

• Gehen Sie zu den Einstellungen Ihres Google-Kontos unter myaccount.google.com
• Klicken Sie in der linken Seitenleiste auf Sicherheit
• Scrollen Sie zu So melden Sie sich bei Google an und klicken Sie auf Bestätigung in zwei Schritten
• Klicken Sie auf Erste Schritte und folgen Sie den Anweisungen
• Wählen Sie Ihren zweiten Faktor aus (Telefonnummer für SMS oder Authenticator-App)
• Speichern Sie Ihre Backup-Codes an einem sicheren Ort, falls Sie den Zugriff auf Ihr Telefon verlieren

In Outlook:

• Melden Sie sich bei account.microsoft.com an
• Klicken Sie oben auf Sicherheit
• Wählen Sie die Optionen für Erweiterte Sicherheit aus
• Klicken Sie unter Bestätigung in zwei Schritten auf Aktivieren
• Folgen Sie dem Einrichtungsassistenten (beginnt in der Regel mit Ihrer Telefonnummer)
• Laden Sie die Microsoft Authenticator-App herunter, wenn Sie stattdessen appbasierte Codes verwenden möchten

In Yahoo Mail:

• Gehen Sie zur Seite „Kontosicherheit“ Ihres Yahoo-Kontos
• Klicken Sie auf Bestätigung in zwei Schritten
• Aktivieren Sie sie
• Geben Sie Ihre Telefonnummer für SMS-Codes ein
• Bestätigen Sie den Code, den Sie erhalten
• Erstellen Sie Backup-Methoden für den Fall, dass Ihr Telefon ausfällt

Bei Proton Mail läuft das Ganze tatsächlich etwas anders, weil dort Sicherheit besonders großgeschrieben wird. Unterstützt werden TOTP-Authenticator-Apps und Hardware-Schlüssel, SMS werden aber bewusst nicht angeboten (weil sie weniger sicher sind).

Bewährte Methoden

Verwenden Sie eine Authenticator-App, nicht SMS. Ja, SMS ist einfacher einzurichten. Aber es lässt sich auch leichter kapern. Authenticator-Apps sind wirklich sicherer und fast genauso bequem, sobald sie eingerichtet sind.

Speichern Sie Ihre Backup-Codes sofort. Jeder Dienst gibt Ihnen eine Reihe von Einmalcodes, wenn Sie die Zwei-Faktor-Authentifizierung aktivieren. Machen Sie einen Screenshot davon, drucken Sie sie aus oder speichern Sie sie in einem Passwort-Manager. Was auch immer für Sie funktioniert. Lassen Sie diesen Schritt nicht aus, denn wenn Ihr Telefon um 11pm den Geist aufgibt, werden Sie sie brauchen.

Aktivieren Sie 2FA auch für Ihre Wiederherstellungs-E-Mail. Wenn Ihr Backup-E-Mail-Konto nicht geschützt ist, können Hacker es nutzen, um Ihr Passwort zurückzusetzen und 2FA vollständig zu umgehen. Das verfehlt irgendwie den Zweck.

Registrieren Sie nach Möglichkeit mehrere Geräte. Bei den meisten Diensten können Sie 2FA auf Ihrem Telefon und Tablet einrichten. Tun Sie es. Redundanz rettet Sie, wenn ein Gerät nicht verfügbar ist.

Verwenden Sie nicht überall denselben zweiten Faktor. Wenn Sie für alles SMS verwenden und jemand ein SIM-Swapping bei Ihnen durchführt, kann diese Person auf alle Ihre Konten auf einmal zugreifen. Mischen Sie es durch. Verwenden Sie für wichtige Konten eine Authenticator-App und für weniger wichtige Dinge SMS.

Überprüfen Sie Ihre vertrauenswürdigen Geräte regelmäßig. Der Arbeitslaptop, den Sie vor zwei Jahren zurückgegeben haben? Er steht immer noch auf Ihrer Liste vertrauenswürdiger Geräte. Räumen Sie dort alle paar Monate auf.

Verwandte Inhalte

• Spark E-Mail-Datenschutz: Alles, was Sie wissen müssen
• Spark führt gemeinsame Posteingänge für Teams ein

Verwandte Begriffe

• E-Mail-Authentifizierung
• Phishing-E-Mail
• E-Mail-Zertifikat
• E-Mail-Konto