Zwei-Faktor-Authentifizierung (2FA): von TOTP zu Passkeys, der Leitfaden für 2026
Ich baue und betreibe Systeme, in denen ein gekapertes Konto keine Unannehmlichkeit ist, sondern ein Vorfall: nationale Wahlplattformen, E-Commerce mit hohem Traffic. Bei solchen Projekten ist das alleinige Passwort längst verschwunden. Die Zwei-Faktor-Authentifizierung (2FA) und, weiter gefasst, die Multi-Faktor-Authentifizierung (MFA) bilden das Minimum. Hier sind die Grundlagen, danach eine klare Trennung zwischen dem, was 2026 wirklich schützt, und dem, was nur sicher wirkt.
Was Zwei-Faktor-Authentifizierung wirklich ist
Die Zwei-Faktor-Authentifizierung ist ein Sonderfall der Multi-Faktor-Authentifizierung. Die Idee passt in einen Satz: Um zu beweisen, wer Sie sind, genügt ein einziges Geheimnis nicht mehr, Sie brauchen zwei von unterschiedlicher Art. Stiehlt ein Angreifer Ihr Passwort, fehlt ihm immer noch der zweite Faktor. Die Stärke der Methode kommt nicht aus der Zahl der Nachweise, sondern aus der Kombination zweier verschiedener Arten. Zwei Passwörter bleiben ein Faktor, also ein einziges Schloss.
Die drei Authentifizierungsfaktoren
Jede Authentifizierungsmethode gehört zu einer dieser drei Familien.
- Etwas, das Sie wissen: ein Passwort, eine PIN, die Antwort auf eine Sicherheitsfrage.
- Etwas, das Sie besitzen: Ihr Telefon, eine App, die Codes erzeugt, einen physischen Sicherheitsschlüssel.
- Etwas, das Sie sind: Ihr Fingerabdruck, Ihr Gesicht, Ihre Iris.
Echte MFA schöpft aus zwei verschiedenen Familien. Ein Passwort (etwas, das Sie wissen) plus ein Einmalcode auf Ihrem Telefon (etwas, das Sie besitzen) ist saubere 2FA. Ein Passwort plus eine Sicherheitsfrage bleibt in einer Familie und ist kaum besser als ein Passwort allein.
SMS, das schwache Glied
Jahrelang war der Code per SMS der Einstieg in die 2FA für die breite Masse. 2026 ist es die Methode, von der ich abrate, sobald es eine Alternative gibt. SMS hat zwei strukturelle Schwächen. Die erste ist der SIM-Swap: Ein Angreifer überredet (oder besticht) Ihren Anbieter, Ihre Nummer auf seine eigene SIM-Karte zu übertragen, und empfängt Ihre Codes an Ihrer Stelle. Die zweite ist das Abfangen: Das alte Telefonnetz (SS7) war nie dafür gebaut, Geheimnisse zu transportieren, und ein Code auf einem gesperrten Bildschirm lässt sich lesen, ohne das Gerät zu entsperren. Das NIST rät seit 2016 von SMS als Authentifizierungskanal ab. Ein SMS-Code ist besser als nichts, aber behandeln Sie ihn als letztes Mittel, nie als Ihre Hauptverteidigung.
TOTP, ein sechsstelliger Code alle 30 Sekunden
Die Methode, die SMS mühelos ersetzt, heißt TOTP, kurz für Time-based One-Time Password (zeitbasiertes Einmalpasswort). Das Prinzip ist einfacher, als es klingt. Beim Einrichten zeigt Ihnen die Website einen QR-Code: Er enthält einen geheimen Schlüssel, einmalig geteilt zwischen der Website und Ihrer App. Von da an kombiniert Ihre App diesen Schlüssel mit der aktuellen Zeit, in Fenster von 30 Sekunden zerlegt, und leitet daraus einen sechsstelligen Code ab. Die Website führt dieselbe Berechnung durch und vergleicht. Weil beide Seiten den Schlüssel kennen und dieselbe Uhr lesen, landen sie beim selben Code, ohne je etwas über das Netz auszutauschen. Deshalb funktioniert TOTP im Flugzeug, ganz ohne Verbindung: Alles wird lokal berechnet, und der Code wechselt alle 30 Sekunden.
Welche Authenticator-App wählen
Google Authenticator ist noch immer die bekannteste, aber nicht die einzige, und lange bot sie weder Sicherung noch Export. Was wirklich zählt, ist die Möglichkeit, Ihre Geheimnisse zu verschlüsseln und wiederherzustellen, wenn Sie das Telefon wechseln. Meine Empfehlungen:
- Aegis (Android): quelloffen, verschlüsselter Tresor, sauberer Export. Meine Standardwahl unter Android.
- 2FAS (iOS und Android): gepflegte Oberfläche, verschlüsselte Sicherungen, Browser-Erweiterung.
- Bitwarden: praktisch, wenn Sie diesen Passwortmanager bereits nutzen, alles an einem Ort.
- FreeOTP: quelloffen und von Red Hat unterstützt. Julian T. hat sie mir vor Jahren empfohlen, und sie ist eine verlässliche Wahl geblieben.
Ein Hinweis zur Vorsicht: Passwörter und TOTP-Codes im selben Tresor zu halten, ist bequem, führt aber Ihre beiden Faktoren an einem Ort zusammen. Bei einem kritischen Konto halten Sie sie getrennt.
FIDO2-Hardwareschlüssel und phishingresistente MFA
TOTP hat eine Grenze, die man kennen sollte: Ein Code lässt sich abphishen. Eine gefälschte Website, zwischen Sie und den echten Dienst geschoben, fragt Ihren Code ab und spielt ihn in Echtzeit weiter, bevor er abläuft. Hier kommen Hardware-Sicherheitsschlüssel (YubiKey und ähnliche) ins Spiel, gebaut auf den Standards FIDO2 und WebAuthn. Ihr Kniff: Der Schlüssel prüft die genaue Domain der Website, bevor er antwortet. Auf einer gefälschten Domain verweigert er schlicht. Das nennt man phishingresistente MFA, und es ist ein Sprung, keine kleine Verbesserung. Bei meinen Projekten läuft der Administrationszugang und jedes Konto mit hohem Einsatz über einen Hardwareschlüssel, ohne Ausnahme.
Passkeys, das Ende des Passworts
Passkeys sind der Abschluss von allem Bisherigen und der große Umbruch der Jahre 2024 bis 2026. Sie stützen sich auf dieselbe FIDO2/WebAuthn-Basis wie Hardwareschlüssel, ziehen die Logik aber ganz durch: Sie ersetzen das Passwort, statt es zu ergänzen. Praktisch erzeugt Ihr Gerät ein Paar kryptografischer Schlüssel. Der private Schlüssel verlässt das Gerät nie (oder synchronisiert sich verschlüsselt über Ihr Ökosystem oder Ihren Passwortmanager). Zum Anmelden entsperren Sie diesen Schlüssel mit Ihrem Fingerabdruck, Ihrem Gesicht oder der Geräte-PIN. Drei wichtige Folgen: nichts zu merken oder zu tippen, eingebaute Phishingresistenz (der Schlüssel ist an die Domain gebunden) und vor allem kein geteiltes Geheimnis auf dem Server. Ein Datenleck gibt dann kein Passwort mehr preis. Apple, Google und Microsoft unterstützen sie, und die Liste kompatibler Websites wächst jeden Monat. Bietet ein Dienst einen Passkey an, aktivieren Sie ihn.
Wiederherstellungscodes, Ihr Sicherheitsnetz
Ein Punkt, den zu viele übersehen, bis zu dem Tag, an dem sie ihr Telefon verlieren. Beim Aktivieren der 2FA geben Ihnen die meisten Dienste eine Liste von Wiederherstellungscodes (oft rund zehn, je einmal nutzbar). Das sind Ihre Ersatzschlüssel: Damit kommen Sie hinein, auch ohne App und ohne Telefon. Notieren Sie sie offline oder verwahren Sie sie sicher in Ihrem Passwortmanager. Ohne sie kann der Verlust eines Geräts Sie für immer aus Ihrem eigenen Konto aussperren. Sind alle aufgebraucht, erzeugen Sie einen neuen Satz.
Wo Sie anfangen
Der Plan lässt sich auf fünf Schritte bringen. Aktivieren Sie MFA überall, wo es sie gibt, beginnend bei Ihrer E-Mail und Ihrem Passwortmanager (sie sind der Schlüssel zu allem anderen). Bevorzugen Sie stets TOTP gegenüber SMS. Aktivieren Sie Passkeys, sobald ein Dienst sie anbietet. Halten Sie einen Hardwareschlüssel für Ihre sensibelsten Konten bereit. Und bewahren Sie Ihre Wiederherstellungscodes an einem sicheren Ort auf. Genau diese Reihenfolge befolge ich, wenn ich sichere Plattformen baue, und nichts hält Sie davon ab, sie schon heute auf Ihre eigenen Konten anzuwenden.
Eine Frage zur Einführung von MFA in Ihrer Organisation? Schreiben Sie mir, ich helfe gern.