2FA (Two-Factor Authentication)

2FA, kurz für Two-Factor Authentication (Zwei-Faktor-Authentifizierung), ist ein Authentifizierungsschema, das vom Benutzer zwei unabhängige Nachweisfaktoren verlangt, bevor der Zugriff gewährt wird. Die klassische Taxonomie der Authentifizierungsfaktoren umfasst:

• Etwas, das Sie wissen — ein Passwort, eine PIN oder ein auswendig gelernter Satz
• Etwas, das Sie haben — ein Telefon, ein Hardware-Token, eine Smartcard oder ein registriertes Gerät
• Etwas, das Sie sind — ein biometrisches Merkmal wie Fingerabdruck, Gesicht oder Stimme

Ein 2FA-Schema kombiniert zwei Faktoren aus verschiedenen Kategorien. Die häufigste Implementierung in Consumer-Software verbindet ein Passwort (etwas, das Sie wissen) mit einem OTP, das per SMS zugestellt oder von einer Authenticator-App generiert wird (etwas, das Sie haben). Weniger häufig, aber stärker sind Kombinationen wie Passwort + Hardware-Key (FIDO2 / WebAuthn) oder Passwort + Push-Benachrichtigung.

Die Sicherheitsprämisse von 2FA ist, dass die gleichzeitige Kompromittierung beider Faktoren viel schwieriger ist als die Kompromittierung eines Faktors. Wenn ein Angreifer ein Passwort durch Social Engineering stiehlt, benötigt er immer noch physischen oder Remote-Zugriff auf das Gerät des zweiten Faktors des Benutzers. Wenn ein Angreifer ein Telefon stiehlt, muss er immer noch das Passwort kennen.

In der Praxis variiert die Sicherheit von 2FA-Zustellungskanälen erheblich:

• SMS-zugestelltes OTP ist die schwächste Mainstream-Option. SIM-Swap-Angriffe, SS7-Abfangung und Kompromittierung auf Trägerseite können alle den zweiten Faktor zu einem Angreifer umleiten.
• TOTP über Authenticator-App (Google Authenticator, Aegis, 2FAS) ist deutlich stärker, da der Code lokal auf einem Gerät generiert wird, das der Angreifer nicht besitzt.
• Push-basierte 2FA (Duo, Microsoft Authenticator) ist benutzerfreundlich, aber anfällig für Push-Fatigue-Angriffe, bei denen der Benutzer versehentlich eine bösartige Anfrage genehmigt.
• Hardware-Keys (YubiKey, Feitian, SoloKey) sind der stärkste üblicherweise verfügbare zweite Faktor und bieten Phishing-Resistenz durch kryptographische Origin-Binding-Herausforderungen.

2FA ist nicht dasselbe wie MFA (Multi-Factor Authentication), das drei oder mehr Faktoren erfordern kann. Im alltäglichen Gebrauch werden die Begriffe häufig synonym verwendet. 2FA unterscheidet sich auch von Two-Step Verification, das historisch zwei Schritte bezeichnete, die möglicherweise denselben Faktor zweimal verwendeten (wie ein Passwort gefolgt von einem per E-Mail verschickten Code), obwohl sich dieser Unterschied in der modernen Verwendung verwischt hat.

Trotz seiner Schwächen reduziert die Aktivierung von 2FA auf wichtigen Konten die Erfolgsrate opportunistischer Angriffe drastisch. Industriestudien berichten durchweg, dass 2FA über 99 Prozent der automatisierten Credential-Stuffing-Versuche blockiert.