Die Zwei-Faktor-Authentifizierung, oft auch 2FA genannt, ist eine Sicherheitsfunktion, die neben Ihrem Passwort einen zweiten Beweis erfordert, um sich bei einem Konto anzumelden. Der erste Faktor ist etwas, das Sie wissen – Ihr Passwort. Der zweite Faktor ist etwas, das Sie haben – normalerweise Ihr Telefon, das einen temporären Code erhält, den Sie ebenfalls eingeben müssen, um die Anmeldung abzuschließen. Selbst wenn ein Hacker Ihr Passwort durch eine Datenschutzverletzung oder einen Phishing-Angriff gestohlen hat, kann er nicht an Ihr Konto gelangen, ohne auch Ihr Telefon zu haben, was viel schwieriger zu stehlen ist.
Die Sicherheitsverbesserung ist dramatisch. Microsoft hat Untersuchungen veröffentlicht, die zeigen, dass die Aktivierung der Zwei-Faktor-Authentifizierung 99,9 Prozent der automatisierten Kontoübernahmeversuche blockiert. Google hat ähnliche Zahlen veröffentlicht. Der Grund ist einfach: Die überwiegende Mehrheit der Online-Angriffe beruht auf dem Diebstahl oder Erraten von Passwörtern, und ein gestohlenes Passwort ist für einen Angreifer nutzlos, wenn er nicht auch den zweiten Faktor ergattern kann. Die Zwei-Faktor-Authentifizierung eliminiert im Wesentlichen die häufigste Form der Kontokompromittierung.
Und doch haben trotz der Einfachheit und des enormen Nutzens weniger als 10 Prozent der amerikanischen Erwachsenen über 60 die Zwei-Faktor-Authentifizierung für ihre wichtigsten Konten aktiviert. Der Grund liegt zum Teil darin, dass der Begriff „Zwei-Faktor-Authentifizierung“ technisch und einschüchternd klingt, und zum Teil darin, dass sich der Einrichtungsprozess mysteriös anfühlt, bevor Sie ihn durchgeführt haben. Die Realität ist, dass das Einschalten etwa fünf Minuten pro Konto dauert und die tägliche Erfahrung danach die Anmeldung um etwa drei Sekunden verlängert. Die Kosten sind trivial. Der Nutzen ist enorm.
So sieht die tägliche Nutzung von 2FA tatsächlich aus.
Gehen Sie auf die Website Ihrer Bank und klicken Sie auf „Anmelden“. Sie geben wie gewohnt Ihren Benutzernamen und Ihr Passwort ein. Anstatt Sie sofort zu Ihrem Konto zu führen, wird auf der Website jetzt ein kleines Feld angezeigt, in dem Sie nach einem „Bestätigungscode“ gefragt werden. Ihr Telefon summt mit einer Textnachricht, die einen sechsstelligen Code enthält (oder Ihre Authentifizierungs-App zeigt einen sechsstelligen Code an, der sich alle 30 Sekunden ändert). Sie geben die sechs Ziffern in das Feld ein und sind angemeldet. Insgesamt hinzugefügte Zeit: etwa drei Sekunden.
Wenn ein Hacker Ihr Passwort gestohlen hat und versucht, sich von einem anderen Land aus anzumelden, wird er zum gleichen Punkt gelangen wie Sie – aber er wird Ihr Telefon nicht haben. Der Bestätigungscode wird an Ihre Nummer gesendet, nicht an ihre. Die Anmeldung schlägt fehl. Der Hacker wird sich einfacheren Zielen zuwenden. Ihr Konto ist sicher.
Die „drei zusätzlichen Sekunden“ stellen den gesamten Benutzeraufwand für die Zwei-Faktor-Authentifizierung dar und werden durch den Schutz, den sie bietet, um ein Vielfaches wettgemacht. Die meisten Menschen, die es einschalten, sagen innerhalb einer Woche, dass sie es kaum bemerken, und innerhalb eines Monats fühlt es sich völlig natürlich an.
Wenn Sie 2FA aktivieren, haben Sie auf den meisten Websites die Wahl zwischen zwei Methoden zum Empfang des zweiten Faktors: Textnachrichtencodes (SMS) oder eine Authentifizierungs-App. Beide funktionieren und beide sind deutlich besser als gar kein 2FA, aber Authentifizierungs-Apps sind sicherer.
SMS-Codes sind die einfachere Option. Die Website sendet einen sechsstelligen Code per SMS an Ihr Telefon, den Sie auf der Website eingeben. Der Vorteil besteht darin, dass außer der Bestätigung Ihrer Telefonnummer keine Einrichtung erforderlich ist. Der Nachteil besteht darin, dass Textnachrichten theoretisch von raffinierten Angreifern mithilfe einer Technik namens SIM-Swapping abgefangen werden können, bei der der Angreifer Ihre Telefongesellschaft davon überzeugt, Ihre Telefonnummer auf eine von ihnen kontrollierte SIM-Karte zu übertragen. Der Austausch von SIM-Karten ist bei gewöhnlichen Zielen selten, kommt aber vor und wird zum Diebstahl von Kryptowährungen und zum Zugriff auf wichtige Konten verwendet.
Authentifizierungs-Apps sind sicherer. Anstatt einen Code per SMS zu erhalten, verfügen Sie über eine App auf Ihrem Telefon (Google Authenticator, Microsoft Authenticator, Authy oder der integrierte Authentifikator von 1Password), die alle 30 Sekunden einen neuen sechsstelligen Code generiert. Die App benötigt kein Signal oder eine Textnachricht – sie generiert den Code mithilfe eines kryptografischen Algorithmus lokal auf Ihrem Telefon. Der SIM-Tausch hat keinen Einfluss darauf. Der Nachteil besteht darin, dass die Ersteinrichtung etwas komplizierter ist (Sie scannen einen QR-Code mit der App) und die App auf Ihrem Telefon installiert sein muss.
Für die meisten älteren Erwachsenen lautet die praktische Empfehlung: Verwenden Sie für alles SMS-Codes, denn diese sind einfach und deutlich besser als nichts. Für Ihre sensibelsten Konten (E-Mail, Bank, Rentenkonten, Passwort-Manager) können Sie für zusätzliche Sicherheit ein Upgrade auf eine Authentifizierungs-App durchführen. Auf jeden Fall sollten Sie 2FA nicht ganz überspringen, nur weil Sie sich nicht zwischen den beiden Methoden entscheiden können.
Wenn Sie 2FA nur für fünf Konten aktivieren, sind diese fünf am wichtigsten.
E-Mail. Ihr E-Mail-Konto ist der Schlüssel zum Königreich – wenn ein Hacker Zugriff auf Ihre E-Mail hat, kann er von jedem anderen Konto, das Sie haben, eine Passwort-Zurücksetzung anfordern, und die meisten dieser Zurücksetzungen gehen an Ihre E-Mail. Aktivieren Sie zunächst 2FA für Ihr E-Mail-Konto. Gehen Sie für Gmail zu Ihren Google-Kontoeinstellungen und suchen Sie den Abschnitt „Sicherheit“. Gehen Sie für Outlook zu Ihren Microsoft-Kontoeinstellungen. Gehen Sie für Yahoo zu Kontosicherheit. Jeder Anbieter hat klare Anweisungen.
Bankkonto. Die Website Ihrer Bank unterstützt mit ziemlicher Sicherheit 2FA. Gehen Sie zum Abschnitt „Sicherheit“ oder „Einstellungen“ und aktivieren Sie ihn. Die Bank kann von Ihnen zunächst die Bestätigung Ihrer Telefonnummer verlangen. Nach der Aktivierung müssen Sie jedes Mal, wenn Sie sich anmelden (oder jedes Mal, wenn Sie sich von einem neuen Gerät aus anmelden, je nach Bank), einen Code eingeben.
Makler- und Rentenkonten. Vanguard, Fidelity, Schwab und andere Broker unterstützen alle 2FA, und Ihre Altersvorsorge verdient mindestens den gleichen Schutz wie Ihr Girokonto. Aktivieren Sie es.
Online-Konto der Sozialversicherung. Das Online-Portal der Sozialversicherungsbehörde (mySocialSecurity unter ssa.gov) unterstützt 2FA und angesichts der Menge an vertraulichen Informationen, die dort gespeichert sind, sollte es sich um eines Ihrer geschützten Konten handeln.
Passwort-Manager. Wenn Sie den Ratschlägen im Passwort-Manager-Artikel gefolgt sind und Bitwarden oder 1Password eingerichtet haben, aktivieren Sie 2FA im Passwort-Manager selbst. Dies ist das wichtigste Konto in Ihrem digitalen Leben – es enthält alle anderen – und es verdient den größtmöglichen Schutz.
Nach diesen fünf Schritten können Sie 2FA nach und nach für andere Konten aktivieren, während Sie sich bei ihnen anmelden. Die meisten großen Dienste unterstützen es mittlerweile: Amazon, Facebook, Apple ID, Microsoft, PayPal, Venmo und viele andere. Je mehr Konten Sie aktivieren, desto stärker sinkt Ihr Gesamtrisiko.
Die genauen Schritte variieren je nach Website, der allgemeine Prozess ist jedoch überall ähnlich. So sieht ein typisches Bankkonto aus.
Schritt eins: Melden Sie sich mit Ihrem bestehenden Passwort beim Konto an. Gehen Sie zu den Kontoeinstellungen oder zum Profilbereich. Suchen Sie nach einer Kategorie namens „Sicherheit“, „Anmeldesicherheit“, „Zwei-Schritt-Verifizierung“ oder „Zwei-Faktor-Authentifizierung“.
Schritt zwei: Klicken Sie, um die Zwei-Faktor-Authentifizierung zu aktivieren. Die Website wird Sie wahrscheinlich auffordern, Ihr Passwort zu bestätigen, bevor Sie die Änderung vornehmen.
Schritt drei: Wählen Sie Ihre Methode. Wenn Sie sich für Textnachrichten entscheiden, geben Sie Ihre Telefonnummer ein und die Website sendet Ihnen zur Bestätigung einen Testcode. Geben Sie den Code in die Website ein. Die Einrichtung ist abgeschlossen.
Schritt vier: Wenn Sie sich für eine Authentifizierungs-App entscheiden, zeigt die Website einen QR-Code auf Ihrem Bildschirm an. Öffnen Sie Ihre Authentifizierungs-App, tippen Sie auf die Option zum Hinzufügen eines neuen Kontos und scannen Sie den QR-Code mit der Kamera Ihres Telefons. Die App fügt das Konto hinzu und beginnt mit der Generierung sechsstelliger Codes dafür. Geben Sie den aktuellen sechsstelligen Code auf der Website ein, um die Einrichtung zu bestätigen.
Schritt fünf: Speichern Sie die Wiederherstellungscodes. Die meisten Dienste stellen Ihnen einen Satz einmaliger Backup-Codes zur Verfügung, die Sie verwenden können, falls Sie jemals den Zugriff auf Ihr Telefon verlieren. Diese sind von entscheidender Bedeutung – schreiben Sie sie auf und bewahren Sie sie an einem sicheren Ort auf (nicht auf Ihrem Telefon). Wenn Sie Ihr Telefon verlieren und keine Backup-Codes haben, wird Ihr Konto möglicherweise dauerhaft gesperrt.
Schritt sechs: Testen Sie es, indem Sie sich ab- und wieder anmelden. Bestätigen Sie, dass der neue Anmeldeablauf wie erwartet funktioniert. Sie haben jetzt ein Konto mit aktivierter 2FA und es ist deutlich schwieriger zu hacken.
Die häufigste Sorge im Zusammenhang mit 2FA ist, was passiert, wenn Sie Ihr Telefon verlieren. Die Angst ist real, aber die Lösungen sind gut entwickelt, und der Verlust Ihres Telefons muss nicht dazu führen, dass Sie dauerhaft von Ihren Konten ausgeschlossen werden.
Lösung eins: Backup-Codes. Wenn Sie 2FA einrichten, erhalten Sie von den meisten Diensten einen Satz einmaliger Backup-Codes – normalerweise 8–10 Codes, mit denen Sie sich anmelden können, wenn Sie Ihr Telefon nicht haben. Schreiben Sie diese auf, bewahren Sie sie an einem sicheren Ort auf (nicht in Ihrer Brieftasche, nicht auf Ihrem Computer, nicht in Ihrem Telefon) und verwenden Sie einen solchen, falls Sie sich jemals ohne Ihr Telefon anmelden müssen. Jeder Code kann nur einmal verwendet werden.
Lösung zwei: Kontowiederherstellung. Die meisten großen Dienste verfügen über Prozesse zur Kontowiederherstellung für Benutzer, die ihren zweiten Faktor verloren haben. Der Vorgang umfasst in der Regel die Beantwortung von Sicherheitsfragen, die Überprüfung persönlicher Daten oder die Zusendung eines Bestätigungscodes an eine Ersatz-E-Mail-Adresse oder Telefonnummer. Der Vorgang kann ein oder zwei Tage dauern, was frustrierend, aber nicht katastrophal ist.
Lösung drei: Cloud-synchronisierte Authentifizierungs-Apps. Einige Authentifizierungs-Apps (insbesondere Authy oder Microsoft Authenticator mit aktivierter Cloud-Sicherung) synchronisieren Ihre Codes mit der Cloud und können auf einem neuen Telefon wiederhergestellt werden. Wenn Sie dies bei der ersten Installation der App richtig einrichten, ist die Wiederherstellung nach einem verlorenen Telefon viel einfacher – Sie installieren die App auf dem neuen Telefon, melden sich an und Ihre Codes werden automatisch wiederhergestellt.
Lösung vier: Behalten Sie ein altes Telefon. Einige 2FA-Benutzer bewahren ihr altes Telefon als Backup in einer Schublade zu Hause auf, während die Authentifizierungs-App noch installiert ist. Wenn sie ihr Haupttelefon verlieren, können sie mit dem alten Telefon Codes generieren, bis sie ein Ersatzgerät erhalten. Dies ist für die meisten Menschen nicht notwendig, stellt jedoch eine gute Versicherungspolice dar, wenn Sie befürchten, den Zugang zu verlieren.
Welchen Ansatz Sie auch wählen, planen Sie das Szenario des Telefonverlusts vor der Einrichtung von 2FA ein, nicht danach. Die fünf Minuten, die Sie damit verbringen, Backup-Codes aufzuschreiben, wenn Sie 2FA aktivieren, sind Ihre Versicherung gegen ein viel frustrierenderes Problem später.
Die Zwei-Faktor-Authentifizierung ist die leistungsstärkste und zugänglichste Sicherheitsverbesserung, die jedem normalen Benutzer im Jahr 2026 zur Verfügung steht. Die Einrichtung dauert für Ihre fünf wichtigsten Konten etwa 30 Minuten. Die täglichen Kosten betragen etwa drei Sekunden pro Anmeldung. Der Vorteil besteht darin, dass sich Ihr Risiko, gehackt zu werden, um 99,9 Prozent verringert, selbst wenn ein Passwort gestohlen wird.
Es gibt grundsätzlich keinen guten Grund, dies nicht zu tun. Die Technologie ist ausgereift, das Benutzererlebnis ist ausgefeilt und der Schutz, den sie bietet, ist enorm. Wenn Sie sich Sorgen über Betrug, Hacks, Identitätsdiebstahl oder andere digitale Risiken machen, denen ältere Erwachsene ausgesetzt sind, ist die Zwei-Faktor-Authentifizierung die effektivste Einzelverteidigung, die Ihnen zur Verfügung steht.
Nehmen Sie sich diese Woche 30 Minuten Zeit. Beginnen Sie mit Ihrem E-Mail-Konto, das ist das Wichtigste. Dann Ihre Bank, dann Ihr Maklerunternehmen, dann Ihr Sozialversicherungskonto, dann Ihr Passwort-Manager. Am Ende der 30 Minuten haben Sie die Sicherheit Ihres digitalen Lebens verändert und können besser schlafen, da Sie wissen, dass Ihre Konten auch dann noch geschützt sind, wenn irgendwo ein Passwort gestohlen wird. Es gibt keine einzige Stunde, die Sie in diesem Jahr in Technologie investieren können, die sich in Bezug auf Sicherheit, Seelenfrieden und Schutz vor der Zeitlupenkatastrophe einer Kompromittierung Ihrer Konten so auszahlt. Mach es diese Woche.