| | |----\ |----\ /\ |\ | | / |---| |----\ |----\ |------| | | | | | | / \ | \ | | / | | | | | | | | | | | | / \ | \ | | / | | | | | | | | |----/ |--< /------\ | \ | --- |< | | | | | |---- | | |\ | | | | | \ | | \ | | | | | | \ / | \ | | | | | \| | \ | | | . | | | --- | \ |----/ | | | | | \ |---| |----/ |----/ |------|

Glossar

Zwei-Faktor-Authentifizierung (2FA)

Q: Ist SMS als zweiter Faktor unsicher?

SMS ist deutlich besser als nur ein Passwort, aber anfällig für SIM-Swapping. Wenn möglich, nutze eine Authenticator-App oder einen Hardware-Schlüssel. SMS nur, wenn keine Alternative angeboten wird.

Q: Darf ich meinen 2FA-Code am Telefon weitergeben?

Nein, niemals. Echte Banken, Behörden und seriöse Dienste fragen nie nach deinem Code am Telefon. Wer danach fragt, betreibt Vishing.

Q: Was ist MFA-Bombing?

Betrüger lösen wiederholt 2FA-Anfragen aus, bis du genervt auf ‚Ja‘ oder ‚Erlauben‘ tippst. Deshalb jede Anfrage prüfen: Habe ich mich gerade angemeldet? Wenn nein, ablehnen und Passwort ändern.

Auch: 2FA, Zwei-Faktor-Authentisierung, Mehrfaktor-Authentifizierung, MFA

Die Zwei-Faktor-Authentifizierung sichert deine Konten mit einem zweiten Faktor zusätzlich zum Passwort – einer der wirksamsten Schutzmechanismen.

Die Zwei-Faktor-Authentifizierung (2FA) ist einer der wirksamsten Schutzmechanismen gegen Kontomissbrauch. Zusätzlich zum Passwort brauchst du einen zweiten Faktor, um dich anzumelden – etwa einen Code aus einer App. Selbst wenn Betrüger dein Passwort kennen, kommen sie ohne den zweiten Faktor nicht hinein.

So funktioniert 2FA im Alltag

Du gibst dein Passwort ein.
Anschließend kommt ein zweiter Schritt: Code aus der Authenticator-App, Bestätigung per Hardware-Schlüssel oder SMS.
Erst beides zusammen öffnet das Konto.

Bekannte Beispiele und Fallstricke

Authenticator-App: Google Authenticator, Microsoft Authenticator oder FreeOTP erzeugen alle 30 Sekunden einen neuen Code. Der Code gilt nur für dein Konto – niemals weitergeben, auch nicht am Telefon.
SMS-Code: Praktisch, aber anfällig für SIM-Swapping. Wenn die Nummer umgeleitet wird, erhält der Betrüger deine Codes.
MFA-Bombing: Du bekommst plötzlich viele Push-Meldungen „Anmeldung erlauben?" – obwohl du gerade nichts machst. Die Täter hoffen, dass du irgendwann ungeduldig auf Zulassen tippst. Immer ablehnen, wenn du die Anmeldung nicht selbst ausgelöst hast.
Vishing mit 2FA-Code: „Wir sind von der Bank, nennen Sie uns den Code aus der SMS." Echte Banken machen das nie – siehe Vishing.

Mögliche zweite Faktoren – von sicher bis weniger sicher

Authenticator-App – empfohlen für die meisten Konten.
Hardware-Sicherheitsschlüssel – sehr sicher, etwas aufwendiger.
SMS-Code – besser als nichts, aber SIM-Swap-Risiko.
E-Mail-Code – nur bedingt, wenn die E-Mail selbst schwach geschützt ist.

Warum 2FA so wichtig ist

Sie verhindert die meisten Fälle von Account-Übernahme.
Sie schützt auch dann, wenn ein Passwort aus einem Datenleck stammt.
Sie erschwert Phishing deutlich – allein der Login-Link reicht nicht.

2FA und Passwort – der Unterschied

Passwort: Etwas, das du weißt.
Zweiter Faktor: Etwas, das du besitzt – Handy mit App, SMS-Empfang, Sicherheitsschlüssel.

Beides zusammen macht den Angriff deutlich schwerer.

So nutzt du sie

Aktiviere 2FA überall, wo es geht – besonders bei E-Mail, Banking und sozialen Netzwerken.
Bevorzuge eine App gegenüber SMS-Codes.
Gib einen 2FA-Code niemals an Dritte weiter – auch nicht am Telefon.
Bei unerwarteten Push-Anfragen: ablehnen und Passwort prüfen.

Was tun bei verdächtigen 2FA-Anfragen?

Nicht bestätigen, wenn du dich nicht gerade angemeldet hast.
Passwort ändern und alle aktiven Sitzungen beenden.
Prüfen, ob jemand dein Passwort schon kennt – Leak-Check und Fake-Checker nutzen.
Bei wiederholten Anfragen: Support des Dienstes informieren.

Mehr Schutzregeln findest du unter Wie kann ich mich gegen Online-Betrug schützen?.

Häufige Fragen

Ist SMS als zweiter Faktor unsicher?