Zwei-Faktor-Authentifizierung | Lexikon

Zwei-Faktor-Authentifizierung, kurz 2FA, englisch Two-Factor Authentication: Verfahren zur Anmeldung an einem Dienst, bei dem zusätzlich zum Passwort ein zweiter, unabhängiger Nachweis verlangt wird. Damit sind Konten auch dann geschützt, wenn das Passwort durch ein Datenleck oder Phishing kompromittiert wurde.

Die drei klassischen Authentifizierungs-Faktoren werden in „Wissen” (etwas, das nur der Nutzer kennt — z. B. ein Passwort), „Besitz” (etwas, das nur der Nutzer hat — z. B. ein Hardware-Token oder Smartphone) und „Inhärenz” (etwas, das der Nutzer ist — z. B. Fingerabdruck oder Gesichtsmerkmal) unterteilt. 2FA kombiniert zwei dieser Faktoren, üblicherweise Wissen und Besitz.

Verbreitete Verfahren sind zeitbasierte Einmalpasswörter (TOTP) aus Authenticator-Apps wie Google Authenticator, Microsoft Authenticator, Authy oder dem Open-Source Aegis; SMS-basierte Codes; per E-Mail oder Push-Nachricht ausgelieferte Bestätigungen; sowie Hardware-Sicherheitsschlüssel nach dem FIDO2-Standard, etwa YubiKey oder Nitrokey. Hardware-Schlüssel gelten als besonders sicher, weil sie auch Phishing-Angriffe abwehren, die einen kompletten Anmeldedialog nachstellen.

In Deutschland verlangt die Bundesnetzagentur seit 2018 für Online-Banking eine starke Kundenauthentifizierung mit zwei Faktoren („PSD2”). Auch viele Cloud- und E-Mail-Anbieter setzen 2FA inzwischen voraus oder empfehlen sie nachdrücklich. Eine Weiterentwicklung sind sogenannte Passkeys, die das Passwort vollständig durch einen geräteseitig gespeicherten kryptografischen Schlüssel ersetzen und in den 2020er Jahren zunehmend von Apple, Google und Microsoft ausgerollt werden.