Diese Woche hat es wieder gezeigt: Wer seine Online-Konten nur mit Benutzer-Name und Passwort absichert, der muss damit rechnen, dass Hacker sich Zugang verschaffen, wie regelmäßig bei Mail-Accounts von Web.de, GMX, T-Online und anderen Anbietern geschieht. Mit der Zwei-Faktor-Authentifizierung (2FA) lassen sich Online-Konten deutlich besser absichern – und mittlerweile unterstützen fast alle wichtigen Dienste diese Methode.
Praktisch jede Woche gibt es Meldungen über gestohlene Passwörter oder auskundschaftete Zugangsdaten. Die Kriminellen können sich dann Zugang zu den Daten oder Online-Konten verschaffen – mit ungeahnten Folgen. Doch ihr könnt euch vergleichsweise einfach schützen.
Welche anderen Möglichkeiten gibt es denn als Benutzername und Passwort?
Biometrische Verfahren wie Fingerabdruck oder Gesichtserkennung sind heute Standard geworden – in Windows Hello, Apple Face ID oder Android-Fingerabdruck-Sensoren. Aber noch wichtiger ist ein Verfahren, das von praktisch allen Online-Diensten unterstützt wird und die Konten wirklich deutlich sicherer macht.
Dieses Verfahren heißt Zwei-Faktor-Authentifizierung (2FA). Zwei Faktoren, weil ihr neben dem Passwort einen zweiten Schlüssel braucht. Dieser zweite Schlüssel ist ein Geheimcode, der jedes Mal neu erzeugt wird – im Smartphone, per App oder sogar per Hardware-Token.
Mein Smartphone wird also zum zweiten Schlüssel. Wie funktioniert das genau?
Es gibt mehrere Wege: Der klassische ist per SMS – ihr gebt eure Handynummer an und bekommt den Code per Textnachricht. Das funktioniert, ist aber nicht die sicherste Variante, da SMS abgefangen werden können.
Besser sind Authenticator-Apps wie Microsoft Authenticator, Google Authenticator oder Authy. Diese Apps erzeugen alle 30 Sekunden neue Codes, funktionieren auch offline und sind deutlich sicherer als SMS. Die Einrichtung geht schnell: QR-Code scannen, fertig.
Noch komfortabler sind Push-Benachrichtigungen: Wenn ihr euch anmeldet, bekommt ihr eine Benachrichtigung aufs Smartphone und tippt einfach „Ja“ oder „Nein“. Das nutzen Microsoft, Google und viele andere Dienste.
Passkeys – die Zukunft der Anmeldung
Seit 2023 gibt es einen noch besseren Standard: Passkeys. Das ist praktisch 2FA der nächsten Generation. Statt Passwort plus zweiten Faktor braucht ihr nur noch euer Smartphone, Tablet oder einen Hardware-Key. Apple, Google, Microsoft und viele andere unterstützen Passkeys bereits.
Bei Passkeys wird ein kryptographisches Schlüsselpaar erzeugt. Der private Schlüssel bleibt sicher auf eurem Gerät, der öffentliche wird beim Dienst gespeichert. Anmelden funktioniert dann per Fingerabdruck, Gesichtserkennung oder PIN – kein Passwort mehr nötig. Google, PayPal, Adobe und Hunderte andere Dienste unterstützen das bereits.
Hardware-Keys für maximale Sicherheit
Für höchste Ansprüche gibt es Hardware-Security-Keys wie YubiKey oder SoloKey. Diese USB- oder NFC-Sticks speichern die Schlüssel hardware-basiert und sind praktisch unknackbar. Ihr steckt den Key an oder haltet ihn ans Smartphone – fertig.
Hier kann man solche Schlüssel bestellen
Moderne Hardware-Keys unterstützen nicht nur FIDO2/WebAuthn, sondern auch Passkeys. Ein YubiKey 5 kostet um die 50 Euro und funktioniert mit praktisch allen wichtigen Diensten.
Und was, wenn jemand mein Smartphone klaut?
Das ist das Geniale an 2FA: Hat jemand euren Benutzernamen und euer Passwort, kann er trotzdem nichts anfangen – ihm fehlt das Smartphone. Und wer nur das Smartphone hat, kommt auch nicht rein, weil das Passwort fehlt.
Bei Passkeys ist es noch sicherer: Selbst mit eurem Smartphone kann ein Dieb nichts anstellen, weil er euren Fingerabdruck oder euer Gesicht braucht. Die biometrischen Daten verlassen nie das Gerät.
Zusätzlich könnt ihr bei den meisten Diensten Backup-Codes generieren. Diese solltet ihr ausdrucken und sicher aufbewahren – falls das Smartphone mal kaputt oder verloren geht.
Wo kann ich das überall nutzen?
2026 unterstützen praktisch alle wichtigen Dienste Zwei-Faktor-Authentifizierung oder Passkeys:
• Tech-Giganten: Google, Apple, Microsoft, Meta (Facebook/Instagram), X (Twitter)
• E-Mail: Gmail, Outlook, Yahoo, alle deutschen Provider
• Banking: Praktisch alle Banken und Sparkassen
• Shopping: Amazon, PayPal, eBay, alle großen Online-Shops
• Gaming: Steam, Epic Games, PlayStation, Xbox
• Business: Slack, Teams, Zoom, Dropbox, alle Cloud-Dienste
• Krypto: Coinbase, Binance, alle seriösen Exchanges
Selbst viele kleinere Dienste bieten mittlerweile 2FA an. Schaut in den Sicherheitseinstellungen nach „Zwei-Faktor-Authentifizierung“, „2FA“, „Erweiterte Sicherheit“ oder „Passkeys“.
So aktiviert ihr 2FA richtig
1. Geht in die Kontoeinstellungen des jeweiligen Dienstes
2. Sucht nach „Sicherheit“ oder „Zwei-Faktor-Authentifizierung“
3. Wählt die gewünschte Methode (App besser als SMS)
4. Folgt den Anweisungen (meist QR-Code scannen)
5. Testet die Anmeldung einmal
6. Speichert die Backup-Codes sicher ab
Wichtig: Aktiviert 2FA zuerst bei den wichtigsten Accounts – E-Mail, Banking, Cloud-Speicher. Von dort aus können Angreifer oft auf andere Dienste zugreifen.
Backup und Recovery nicht vergessen
Plant für den Notfall: Was passiert, wenn das Smartphone kaputt geht? Die meisten Dienste bieten Backup-Codes an – druckt diese aus und bewahrt sie sicher auf. Bei Passkeys könnt ihr meist mehrere Geräte registrieren.
Authenticator-Apps wie Authy oder Microsoft Authenticator synchronisieren die Codes zwischen euren Geräten. So seid ihr nicht auf ein einzelnes Smartphone angewiesen.
Fazit: 2FA ist heute Pflicht
2024 und 2025 haben gezeigt: Passwort-basierte Angriffe nehmen massiv zu. Ohne Zwei-Faktor-Authentifizierung oder Passkeys seid ihr praktisch schutzlos. Die Technologie ist ausgereift, einfach zu nutzen und kostenlos verfügbar.
Fangt heute an – mit euren wichtigsten Accounts. In einer Stunde habt ihr die größten Sicherheitslücken geschlossen. Das ist die beste Investition in eure digitale Sicherheit.
Wie das genau funktioniert, erkläre ich in meinem eBook „Das sichere Login„. Hier wird Schritt für Schritt für die wichtigsten Online-Dienste erklärt, wie ihr 2FA und Passkeys aktiviert und nutzt.
Zuletzt aktualisiert am 13.04.2026
