Die Zwei-Faktor-Authentifizierung (2FA) ist 2026 Standard bei allen seriösen Diensten. Neben dem Passwort braucht ihr einen zeitlich begrenzten Code. Diese Einmalcodes sind zwar nicht hochkritisch, sollten aber trotzdem geschützt werden – am besten durch automatisches Löschen.
Zweiter Faktor – Unverzichtbar für moderne Sicherheit
Ein Passwort allein reicht 2026 längst nicht mehr. Bei den täglich über 300.000 neu entdeckten Malware-Varianten und raffinierten Phishing-Attacken ist die Zwei-Faktor-Authentifizierung zur Pflicht geworden. Die EU-Regulierung PSD3 macht 2FA sogar für viele Finanzdienstleistungen rechtlich bindend.
Das Prinzip bleibt bewährt: Trennung von Wissen und Besitz. Das Passwort wisst ihr, der zweite Faktor liegt auf eurem Gerät. Selbst wenn Cyberkriminelle euer Passwort haben, müssten sie zusätzlich euer Smartphone oder euren Hardware-Token kontrollieren. Das macht Angriffe exponentiell schwerer.
Moderne 2FA nutzt inzwischen verschiedene Methoden: Neben SMS-Codes (die als weniger sicher gelten) sind Authenticator-Apps wie Google Authenticator, Microsoft Authenticator oder Authy Standard. Noch sicherer sind Hardware-Token wie YubiKeys oder die neuen passkey-fähigen Geräte, die biometrische Authentifizierung nutzen. Wir haben euch die Einrichtung für Microsoft 365, Dropbox, IONOS und andere Dienste erklärt.
Warum Einmalcodes trotzdem Risiken bergen
Einmalcodes haben typischerweise eine Gültigkeitsdauer von 30 Sekunden bis 10 Minuten. Nach Ablauf sind sie wertlos – theoretisch. In der Praxis sammeln sich aber oft dutzende alter SMS-Codes in euren Nachrichten. Das ist problematischer als viele denken.
Forschende haben 2025 gezeigt, dass bei ausreichend gesammelten Codes bestimmte Muster erkennbar werden. Auch wenn die Algorithmen (meist TOTP – Time-based One-Time Password) als sicher gelten, können große Datenmengen alter Codes theoretisch zur Analyse des verwendeten Seeds genutzt werden. Zwar braucht es dafür erhebliche Rechenpower, aber für staatliche Akteure oder gut finanzierte Cyberkriminelle ist das kein unüberwindbares Hindernis.
Zusätzlich sind alte SMS-Codes ein Datenschutzrisiko: Sie enthalten oft Dienstanbieter-Namen, Zeitstempel und manchmal sogar Teilinformationen über eure Konten. Bei einem Gerätediebstahl oder wenn Malware euer Smartphone infiltriert, sind diese Daten kompromittiert.
iOS und Android: Automatisches Löschen aktivieren
Seit iOS 17 und Android 14 bieten beide Systeme automatisches Löschen von Einmalcodes. Das solltet ihr unbedingt aktivieren:
Für iOS (ab Version 17):
- Öffnet die Einstellungen eures iPhones oder iPads.
- Scrollt zu Passwörter und tippt darauf.
- Wählt Passwortoptionen.
- Aktiviert Automatisch löschen bei Einmalcodes.
- Zusätzlich könnt ihr unter Nachrichten > Code-Bereinigung das sofortige Löschen nach Verwendung aktivieren.
Für Android (ab Version 14):
- Geht in die Einstellungen > Google > Autofill.
- Tippt auf Einmalcodes.
- Aktiviert Nach Verwendung löschen.
- In der Google Messages App könnt ihr unter Einstellungen > Spam-Schutz auch automatisches Archivieren von OTP-Nachrichten aktivieren.
Weitere Sicherheitsmaßnahmen für 2FA
Das automatische Löschen ist nur ein Baustein. Für optimale Sicherheit solltet ihr zusätzlich:
Papierkorb regelmäßig leeren: Gelöschte SMS landen zunächst im Papierkorb eurer Nachrichten-App. Leert diesen wöchentlich manuell oder aktiviert automatisches Löschen nach 30 Tagen.
Authenticator-Apps bevorzugen: SMS-Codes sind durch SIM-Swapping-Angriffe gefährdet. Nutzt wo möglich Apps wie Microsoft Authenticator, Google Authenticator oder Authy. Diese generieren Codes lokal ohne Netzwerkabhängigkeit.
Backup-Codes sicher verwahren: Die meisten Dienste bieten Backup-Codes für den Fall, dass euer 2FA-Gerät verloren geht. Speichert diese verschlüsselt in einem Passwort-Manager oder physisch an einem sicheren Ort.
Passkeys als Zukunft: Google, Apple und Microsoft pushen Passkeys als passwortlose Authentifizierung. Diese nutzen biometrische Daten oder Geräte-PINs und sind noch sicherer als traditionelle 2FA. Wo verfügbar, solltet ihr auf Passkeys umsteigen.
Regelmäßige Sicherheitsüberprüfung: Überprüft quartalsweise eure aktivierten 2FA-Methoden in den Sicherheitseinstellungen eurer wichtigsten Konten. Entfernt alte oder nicht mehr genutzte Geräte.
Die digitale Bedrohungslandschaft wird komplexer, aber eure Schutzmaßnahmen können mithalten – wenn ihr sie konsequent umsetzt und aktuell haltet.
Zuletzt aktualisiert am 17.02.2026
