Geht es um den sicheren Schutz Ihrer Accounts, führt kein Weg an 2FA vorbei. Doch welcher Faktor verhindert nun am zuverlässigsten den unbefugten Zugriff auf Ihre Daten? Die meisten tippen hier wahrscheinlich spontan auf Authenticator- bzw. 2FA-Apps.
2FAS, Microsoft Authenticator, Google Authenticator, Authy und viele mehr generieren innerhalb einer kurzen Zeitspanne lokal immer neue Codes als zweiten Sicherheitsfaktor. Selbst wenn ein Angreifer einen so erstellten Token in seine Hände bekommt, kann er damit nicht viel anfangen. Er bräuchte zusätzlich das Gerät, auf dem der Code eingegeben werden soll.
Sicherheitslücke bei Microsoft Authenticator
Insgesamt gelten 2FA Apps damit als sehr sicher. Allerdings häufen sich auch hier zunehmend die Attacken. So kursierte im März 2026 die Meldung, dass in Microsofts Authenticator eine kritische Lücke entdeckt wurde, sowohl in der iOS- als auch in der Android-Version. Gelingt es den Angreifern, eine bestimmte Schadsoftware auf dem Smartphone zu installieren, nutzt diese eine Sicherheitslücke in der Anwendung von Microsoft aus, um sich selbst als Authenticator auszugeben. Verwendet der User dann die Fake-App für den Login, erhalten Dritte die Einmalpasswörter. Vorbei ist es dann mit der Zwei-Faktor-Authentifizierung.
Mittlerweile hat Microsoft die Sicherheitslücke behoben. Doch auch andere Apps konnten in der Vergangenheit nicht immer sicheren Schutz bieten: Im Sommer 2024 meldete Twilio, der Anbieter von Authy, das ein Hacker über 30 Millionen hinterlegte Telefonnummern erbeutet hat. Die 2FA-Codes der App waren zwar davon nicht direkt betroffen, so dass die User die App zunächst gefahrlos weiter verwenden konnten. Allerdings mussten die betroffenen User nun Smishing-Angriffe befürchten. Anhand der erbeuteten Telefonnummern und der Kenntnis von der Verwendung von Authy für 2FA war es nun möglich, Fake-Nachrichten zu generieren. Zum Beispiel, um ein Problem mit der Zwei-Faktor-Authentifizierung von Authy vorzugaukeln und so Logindaten und 2FA-Codes abzugreifen.
Der Mensch als Schwachpunkt bei 2FA Apps
Auch wenn dieses Problem ebenfalls der Vergangenheit angehört, stellen Phising-Attacken für das Erbeuten von Logindaten und 2FA-Codes eine ernsthafte Bedrohung dar. Hinzu kommt SIM-Swapping. Bei dieser Methode übernehmen Betrüger durch Identitätsdiebstahl die Telefonnummern ihrer Opfer. Damit können sie auf alle Daten und Accounts zugreifen, die mit der entsprechenden Rufnummer verknüpft sind.
Wir könnten hier noch weitere unseriöse Praktiken wie Pixnapping beleuchten. Der Punkt ist: Bei genauer Betrachtung beinhaltet jede noch so sichere Technologie auch Schwachstellen, die früher oder später aufgedeckt wird. Hinzu kommt der Faktor Mensch, der sich durch Social Engineering immer beeinflussen oder umgehen lässt. Doch was können Sie tun, um Ihre Logindaten zu sichern?
Egal, welche Methode Sie für die Zwei-Faktor-Authentifizerung verwenden: Bleiben Sie skeptisch! Seriöse Anbieter werden Sie niemals nach irgendwelchen Zugangsdaten fragen. Geben Sie deshalb keine Logins oder 2FA-Codes weiter. Vor allem dann nicht, wenn Sie jemand aus irgendwelchen Gründen dazu drängen möchte. Haben Sie Zweifel an einer Anfrage, prüfen Sie die Identität der Quelle nach. Sollte Ihnen ein Anruf, eine E-Mail oder eine SMS verdächtig vorkommen, antworten Sie nicht darauf. Verwenden Sie stattdessen die offiziellen Kanäle, zum Beispiel die bekannte Telefonnummer Ihrer Bank, und fragen Sie dort zurück. Achten Sie zudem darauf, wem Sie welche beruflichen und privaten Daten mitteilen, die sich im Zweifelsfall gegen Sie verwenden lässt.
Die Zukunft von 2FA und Alternativen
Grundsätzlich empfehlen wir auch weiterhin die Zwei-Faktor-Authentifizierung. Schließlich bietet 2FA einen viel besseren Schutz als die bloße Verwendung von Logindaten. Entsprechende Apps gelten trotz zunehmender Schwachstellen immer noch als sicher. Selbst die Verwendung von SMS als zweiten Sicherheitsfaktor erhöht den Schutz ihrer Accounts um ein Vielfaches im Vergleich zum reinen Gebrauch von Passwörtern.
Alternativ können Sie auch auf Hardware zurückgreifen. Spezielle USB-Sticks oder Schlüsselanhänger erzeugen analog zu den Apps in bestimmten Zeitabständen immer wieder neue Einmalpasswörter. Oder Sie verwenden Hardware-FIDO-Tokens als kryptografischen Sicherheitsschlüssel. Beide Methoden funktionieren autark und setzen keine Internetverbindung und damit auch kein Smartphone voraus. Dementsprechend lassen sie sich auch nur manipulieren, wenn sie in den physischen Besitz der Angreifer gelangen.
Ähnlich wie die FIDO-Hardware funktionieren Passkeys. Auch hier erzeugt Ihr Gerät ein kryptografisches Schlüsselpaar, wobei eine Hälfte immer bei Ihnen auf ihrem Smartphone, Tablet oder PC bleibt. Dabei aktivieren Sie ihren Key per PIN, Fingerabdruck oder Scan Ihres Gesichts, so dass Sie letztendlich sogar auf Passwörter verzichten können – und auf 2FA Apps.
