Zum Inhalt springen
NeoGuard

2FA (Zwei-Faktor-Authentifizierung)

Eine Sicherheitsmethode, die zwei verschiedene Verifizierungsformen erfordert, bevor Zugang gewährt wird, typischerweise ein Passwort plus einen Code von einem Gerät in Ihrem Besitz.

Zwei-Faktor-Authentifizierung (2FA), auch Multi-Faktor-Authentifizierung (MFA) genannt, fügt einen zweiten Verifizierungsschritt über das Passwort hinaus hinzu. Selbst wenn ein Angreifer Ihr Passwort durch Phishing oder eine Datenpanne stiehlt, kann er ohne den zweiten Faktor nicht auf Ihr Konto zugreifen.

Gängige zweite Faktoren

  • TOTP-Apps (Google Authenticator, Authy): Generieren einen zeitbasierten 6-stelligen Code, der sich alle 30 Sekunden ändert.
  • Hardware-Schlüssel (YubiKey, Titan): Physische USB-/NFC-Geräte, die Ihre Identität kryptografisch verifizieren. Die sicherste Option, immun gegen Phishing.
  • SMS-Codes: Ein Code per SMS. Besser als nichts, aber anfällig für SIM-Swapping.
  • Push-Benachrichtigungen: Eine App auf Ihrem Smartphone fragt, ob Sie die Anmeldung genehmigen.
  • Passkeys: Ein neuerer Standard, der passwortlose Anmeldung mit kryptografischer Verifizierung kombiniert, unterstützt von den meisten modernen Passwort-Managern.

Warum SMS die schwächste Option ist

SMS-basierte 2FA ist anfällig für SIM-Swapping: Ein Angreifer überzeugt Ihren Mobilfunkanbieter, Ihre Nummer auf seine SIM zu übertragen. Danach erhält er Ihre Codes. Für jedes wichtige Konto sollten Sie TOTP oder einen Hardware-Schlüssel verwenden.

2FA und Schweizer Compliance

Das nDSG verlangt «angemessene technische Massnahmen» zum Schutz von Personendaten. Für Systeme mit sensiblen Daten gilt 2FA als Mindesterwartung der Schweizer Regulatoren. Die FINMA verlangt explizit Multi-Faktor-Authentifizierung für Finanzinstitute.

2FA im Team ausrollen

  1. Mit einem Passwort-Manager starten, der TOTP unterstützt
  2. 2FA zuerst für E-Mail-Konten aktivieren (E-Mail ist der Wiederherstellungspfad für alles andere)
  3. Auf Cloud-Speicher, Finanztools und Admin-Panels ausweiten
  4. Hardware-Schlüssel für kritische Systeme und Admin-Konten erwägen
  5. Den Prozess für die nDSG-Compliance dokumentieren

Verwandte Begriffe

Passwort-ManagerPhishingnDSG (Neues Datenschutzgesetz)