Beste 2 Faktor Authentifizierung

beste 2 Faktor Authentifizierung

Dieser Blogartikel ist Teil unseres Privacy Einsteiger Guides. Mehr dazu hier.

Du kennst das sicher: Du möchtest dich bei deiner Bank einloggen, gibst dein Passwort ein und bist bereit, den Kontostand zu checken. Doch dann merkst du, dass du dein Handy nicht dabei hast, um den 2FA-Code zu empfangen. Im ersten Moment ärgerst du dich und denkst: „Was soll das?“ Doch dann wird dir klar: Wenn nicht einmal du ohne dein Handy Zugang bekommst, dann hat auch kein potenzieller Angreifer eine Chance. Diese zusätzliche Sicherheitsmaßnahme mag manchmal umständlich sein, aber sie schützt dein Konto effektiv vor unbefugtem Zugriff. Was ist aber die beste 2 Faktor Authentifizierung App?

2FA (Zwei-Faktor-Authentifizierung)

Sichere und einzigartige Passwörter sind ein guter Start, um deine Accounts zu schützen. Doch allein reichen sie nicht aus, da jedes Jahr Millionen von Datenlecks auftreten. Du kannst nie sicher sein, ob jemand bereits eines deiner Passwörter kennt und darauf wartet, es zu missbrauchen um:

  • Persönliche Informationen zu verkaufen,
  • Zugang zu Geldkonten zu erhalten oder
  • unsere allgemeine Sicherheit zu gefährden.

Um dich bestmöglich zu schützen, solltest du zwei entscheidende Maßnahmen ergreifen: die Zwei Faktor Authentifizierung (2FA) und Benachrichtigungen bei neuem Account-Zugriff.

2FA kennst du wahrscheinlich schon von deiner Bank. Nach der Eingabe deiner Anmeldedaten wird ein zusätzlicher Code per E-Mail oder SMS an dich gesendet. Das ist 2FA. Überall, wo es möglich ist, solltest du die 2FA aktivieren.

Mit 2FA wird ein zusätzlicher Sicherheitscode verlangt, nachdem du deine Anmeldedaten eingegeben hast. Diese Codes werden dann per SMS, App oder über einen speziellen USB-Stick bereitgestellt. Der Code ist zeitlich begrenzt und nur für dich zugänglich. Selbst wenn jemand deine Anmeldedaten hat, benötigt er diesen Code, um Zugang zu erhalten. Der Prozess sieht so aus:

  • Nach Eingabe des Codes erhältst du Zugang zu deinem Account.
  • Du gibst deinen Benutzernamen und dein Passwort ein.
  • Die Plattform fordert dich auf, einen Einmalpasswort-Code einzugeben (z.B. den Code, den du auf deinem Handy erhältst).

Verschiedene Arten von 2 Faktor Authentifizierung

  • SMS- oder E-Mail-2FA: Sollte ein Programm nur SMS oder E-Mail als 2FA-Option anbieten (wie es bei vielen Bankanwendungen der Fall ist), solltest du diese Methode dennoch verwenden, auch wenn das Sicherheitsrisiko höher ist als bei anderen Varianten. In diesem Fall kann es sinnvoll sein, eine separate Telefonnummer nur für diesen Zweck zu nutzen, um gegen SIM-Swapping-Angriffe geschützt zu sein.
  • Hardware-Token: Dies ist ein kleines Gerät in Form eines USB-Sticks, das als 2FA-Methode verwendet wird. Bei der Anmeldung muss der Stick physisch berührt werden, um die Authentifizierung zu bestätigen. Ohne Zugriff auf dieses Gerät kann sich niemand in die geschützten Accounts einloggen. Diese Methode bietet die höchste Sicherheit, erfordert jedoch, dass das Gerät immer zur Hand ist. Wenn man es vergisst, kann der Zugriff auf den Account gesperrt sein. Die genaue Anleitung zur Einrichtung eines YubiKey (einem gängigen Hardware-Token) variiert je nach Programm und wird regelmäßig aktualisiert. Eine Anleitung findest du auf der Yubico-Website.
  • Software-Token: Wenn du keinen Hardware-Token nutzen möchtest, kannst du Apps die dir den Code anzeigen verwenden. Ich empfehle die App Aegis (im F-Droid Store verfügbar). Unabhängig davon, welche 2FA-App gewählt wird, ist diese Option besser als keine, da auch hier physischer Zugriff auf das Gerät notwendig ist und das Auslesen des Codes durch Malware wesentlich schwieriger ist als bei E-Mail oder SMS. Die App zeigt dann einen sechsstelligen Code an, der sich alle 30 Sekunden ändert und bei der Anmeldung manuell eingegeben werden muss.

Aegis | unsere Empfehlung

Aegis ist eine Open-Source 2 Faktor Authentifizierung App für Android-Geräte (Erhältlich im F-Droid Store). Da 2FA für so viele Accounts wie möglich eingerichtet werden sollte, wäre es zeitaufwendig, den Prozess für alle Programme einzeln zu beschreiben. Hier ein Beispiel für Bitwarden und ProtonMail. Die Einstellungen variieren zwar zwischen den verschiedenen Programmen, der grundlegende Prozess bleibt jedoch gleich.

2FA bei ProtonMail einrichten:

  • Gehe in den Einstellungen auf „Konto und Passwort“
  • Aktiviere „Authenticator app“ und scanne den QR-Code mit Aegis und gib den angezeigten Code ein.

2FA bei Bitwarden einrichten:

Aegis erstellt für jeden Account alle 30 Sekunden einen neuen sechsstelligen Code. Bei jeder Anmeldung bei ProtonMail (oder jedem anderen Programm mit aktivierter 2FA) wird nicht nur der Benutzername und das Passwort, sondern auch dieser Code verlangt. Ohne diesen hast du aber auch ein Angreifer keinen Zugriff auf deinen Account.

Backups

Da ohne den 2FA-Code kein Zugang zu den Accounts möglich ist, sind regelmäßige Backups hier besonders wichtig. Ich empfehle, nach jedem neuen Eintrag ein Backup zu machen, um sicherzustellen, dass bei Verlust des Geräts du weiterhin Zugriff auf deine 2FA-Codes hast.

  • Öffne Aegis, klicke oben rechts auf die drei Punkte und wähle „Einstellungen“ aus.
  • Wähle den Unterpunkt „Importieren & Exportieren“ und klicke auf „Exportieren“.
  • Im Pop-up-Fenster musst du nichts ändern, bestätige einfach mit „OK“.
  • Jetzt kannst du den Speicherort auswählen. Ich speichere die Datei direkt auf einem USB-Stick, um sie auf meinen Laptop zu übertragen.

Diese Datei ist dann mit dem von dir gewählten Passwort verschlüsselt. Jedoch solltest du diese nicht über unsichere Kommunikationswege verschicken oder in unsicheren Netzwerken erstellen sonst sind die ganzen Bemühungen umsonst.

Probleme ohne 2 Faktor Authentifizierung

Neben den Sicherheitsrisiken ohne 2FA kommt noch ein weiteres Problem hinzu, das von den Unternehmen selbst ausgehen kann. Im Jahr 2021 gab es viele Online-Dienste, die ihren Kunden 2FA vorschrieben. Auf den ersten Blick mag das sinnvoll erscheinen, doch oft steckt dahinter der Wunsch, noch mehr Kundendaten zu sammeln.

Ich hatte beispielsweise einen anonymen Google-Account, den ich häufig genutzt habe. Eines Tages, als ich mich anmeldete, forderte Google einen Einmalcode per SMS an. Da ich nie eine Telefonnummer angegeben hatte, verlangte Google, dass ich eine Nummer hinzufüge, andere Optionen gab es nicht. Andernfalls wurde der Zugriff komplett blockiert.

Hier kommt die proaktive 2FA ins Spiel. Hätte ich bei diesem Account einen 2FA Code über Aegis verwendet, hätte Google nie nach einer Telefonnummer gefragt. Daher empfehle ich, jeden Account, der 2FA anbietet, damit zu sichern. Dies erhöht nicht nur die Sicherheit erheblich, sondern verhindert auch, dass man von seinen Accounts ausgeschlossen wird, wenn man keine Telefonnummer angeben möchte.

Benachrichtigungen für Account-Zugriff

Seit 2016 hat Google eine Funktion eingeführt, bei der bei jeder Anmeldung eine E-Mail und eine Push-Benachrichtigung gesendet wird. Die Idee dahinter ist, den Nutzer darüber zu informieren, wer sich wann und wo einloggt. Obwohl ich Google wegen ihrer Eingriffe in die Privatsphäre kritisch sehe, muss man deren Sicherheitsmaßnahmen als erstklassig anerkennen. Diese Funktion ist besonders wichtig, um zu überwachen, ob Accounts kompromittiert wurden. Viele Online-Dienste haben dies mittlerweile als Standard übernommen, andere bieten es als optionale Einstellung an. Auch wenn diese Benachrichtigungen manchmal lästig sein können, erhöhen sie die Sicherheit erheblich, da man sofort auf unautorisierte Logins reagieren kann, indem man das Passwort und die 2FA-Einstellungen ändert. Daher sollten Log-In-Benachrichtigungen immer aktiviert sein, wenn der Dienst dies ermöglicht.


Die wichtigsten Schritte sind gemacht. Du hast einen sicheren und privaten Browser den du ab jetzt immer im Internet benutzt und der deine Privatsphäre enorm schützt. Dazu hast du deine Online und Account-Sicherheit erhöht durch sichere Passwörten mit einem Passwortmanager und der 2-Faktor-Authentifizierung. Jetzt können wir anfangen sehr invasive Apps wie Youtube oder Google Maps zu besseren Alternativen zu ändern.