Authentisierung: 2FA bei Apple, Google, Amazon & Co.

E-Mail-Adresse(n), Nutzer-Accounts von Samsung, Apple oder Google, Smart­phone-Zugangs­daten, Online-Banking, Account-Details zu diversen Online-Shops, Reise­bu­chungs­por­talen, Social-Media-Kanälen, Unter­hal­tungs-Apps wie Spotify und Netflix - da kommt einiges an Account-Infor­ma­tionen zusammen, die man sich im Zweifel merken muss. Gut, nicht überall muss man sich ab- und anschlie­ßend wieder anmelden, wenn man den Dienst später nutzen will.

Dennoch werden Account-Details immer wieder abge­fragt, beispiels­weise, wenn man sich ein neues Handy gekauft hat oder man Ände­rungen an seinem Konto vornehmen möchte. Mitt­ler­weile sollte auch bei den letzten Pass­wort-Muffeln ange­kommen sein, dass Klas­siker wie „hallo123“, „123456“ oder „pass­wort“ über­holt und gefähr­lich sind.

Erwei­terte Sicher­heit empfeh­lens­wert

Zusätz­lich zu einem starken Pass­wort gibt es mit der Zwei-Faktor-Authen­ti­sie­rung ein modernes Tool, das zusätz­li­chen Schutz für das Konto gewähr­leisten soll. „Authen­ti­sie­rung“ ist nicht zu verwech­seln mit „Authen­ti­fi­zie­rung“. Das Bürgeramt für Sicher­heit und Infor­ma­ti­ons­technik (BSI) schreibt auf seiner Webseite BSI für Bürger dazu: „Die Begriffe Authen­ti­sie­rung und Authen­ti­fi­zie­rung werden im allge­meinen Sprach­ge­brauch oft synonym verwendet, beschreiben aber verschie­dene Teil­pro­zesse z.B. eines Anmel­de­vor­gangs. Ein Benutzer AUTHENTISIERT sich an einem System mittels eindeu­tiger Anmel­de­in­for­ma­tionen (z.B. Pass­wort oder Chip­karte). Das System über­prüft daraufhin die Gültig­keit der verwen­deten Daten, es AUTHENTIFIZIERT den Nutzer oder die Nutzerin.“ Wann immer Dienste eine zweite Sicherheitsmethode anbieten, sollte sie auch genutzt werden
Foto: Image licensed by Ingram Image, Grafik/Montage: teltarif.de Oft wird auch die Abkür­zung „2FA“ verwendet. Dienste hausieren in der Regel aber nicht gerade mit der erwei­terten Sicher­heits­funk­tion, sodass Nutzer selbst heraus­finden müssen, ob der genutzte Dienst 2FA anbietet oder nicht. Im Bank- und Finanz­wesen wurde mit der EU-Zahlungs­diens­te­richt­linie 2018 die Zwei-Faktor-Authen­ti­sie­rung für den Euro­päi­schen Wirt­schafts­raum aber verpflich­tend einge­führt.

2FA soll das Konto sicherer machen

Die 2FA dient also dazu, dass der Nutzer die Möglich­keit hat, den Zugang zu einem Konto sicherer zu gestalten. Dienste bieten verschie­dene Möglich­keiten an. So kann nach der Eingabe des Pass­worts eine SMS mit einem Sicher­heits­code empfangen werden. Möglich ist auch die Gene­rie­rung eines Codes durch eine Dritt­an­bieter-App, ein sepa­rates Gerät oder eine E-Mail-Adresse. Der Sinn dahinter ist einfach zu erklären: Sollten sich Unbe­fugte Zugang zu dem Konto verschaffen wollen, hilft ihnen das Pass­wort alleine nicht. Soweit die Theorie.

Auch wenn niemand einen hundert­pro­zen­tigen Schutz gewähr­leisten kann, ist ein zusätz­li­cher Schutz­me­cha­nismus immer empfeh­lens­wert - es soll schon vorge­kommen sein, dass SMS-Nach­richten mit dem Sicher­heits­code abge­fangen wurden.

Zumin­dest wird auf diese Weise eine zusätz­liche Barriere erschaffen, die es Betrü­gern erschwert, sensible Daten abzu­greifen. Auch das Bundesamt für Sicher­heit in der Infor­ma­ti­ons­technik empfiehlt ganz prag­ma­tisch: „Wenden Sie eine Zwei-Faktor-Authen­ti­sie­rung an, sobald ein Online-Dienst dies ermög­licht.“

2FA mit Apple, Samsung, Google

2FA mit Apple

iPhone-Nutzer können die 2FA im Einstel­lungs­menü akti­vieren. Dazu müssen sie auf die Account-Infor­ma­tionen klicken und den Reiter „Pass­wort & Sicher­heit“ auswählen. Anschlie­ßend kann die zusätz­liche Sicher­heits­me­thode einge­richtet werden, indem eine vertrau­ens­wür­dige Tele­fon­nummer hinter­legt wird. Diese ist erfor­der­lich, um die 2FA über­haupt zu akti­vieren.

Der zusätz­liche Sicher­heits­code, der zur Bestä­ti­gung der Iden­tität bei einer Anmel­dung mit der Apple-ID benö­tigt wird, kann auf verschie­denen Wegen empfangen werden. Wer beispiels­weise bereits ein iPhone besitzt und ein weiteres Apple-Gerät mit der glei­chen Apple-ID verwenden möchte, nutzt das Smart­phone als Refe­renz­gerät bezie­hungs­weise als vertrau­ens­wür­diges Gerät. Dabei handelt es sich um ein iPhone, iPad oder ein iPod touch mit iOS 9 oder neuer oder ein Mac mit OS X El Capitan oder neuer, auf dem die 2FA bereits genutzt wird. Wichtige Accounts sollten mit 2FA geschützt werden
Logos: Anbieter, Foto: Image licensed by Ingram Image, Montage: teltarif.de Eine Apple Watch mit watchOS 6 oder neuer kann beim Anmelden mit der Apple-ID zwar Bestä­ti­gungs­codes empfangen, aber stellt kein vertrau­ens­wür­diges Gerät für das Zurück­setzen des Pass­worts dar, wie es im Apple-Support heißt.

Bei der Anmel­dung des neuen Geräts muss zunächst auf dem Display des iPhones die Anmel­dung des neuen Geräts erlaubt werden. Anschlie­ßend muss auf dem neuen Gerät der auf dem iPhone ange­zeigte Bestä­ti­gungs­code einge­geben werden.

Codes können auch per Sprach­anruf oder als SMS an die hinter­legte Tele­fon­nummer oder im bereits genannten Reiter „Pass­wort & Sicher­heit“ mit „Bestä­ti­gungs­code erhalten“ empfangen werden. Bestä­ti­gungs­codes sind immer zeit­lich begrenzt und können nicht mehr­fach verwendet werden.

2FA mit Samsung

Nutzer eines Samsung-Smart­phones müssen über einen Samsung-Account verfügen, um die 2FA verwenden zu können. Sind sie auf dem Smart­phone mit dem Account bereits ange­meldet, ist die Akti­vie­rung der Sicher­heits­funk­tion simpel. Am Beispiel eines in der Redak­tion genutzten Samsung Galaxy S10+ kann das Feature im Einstel­lungs­menü aufge­rufen werden. Oben rechts neben der Such-Lupe gibt es einen Avatar, der beim Klick darauf zu den Samsung Account-Infor­ma­tionen leitet. Unter dem Reiter „Pass­wort und Sicher­heit“ kann die 2FA akti­viert werden. Dort gibt es nun verschie­dene Möglich­keiten, zusätz­liche Sicher­heit zu gene­rieren.

Nutzer, die eine Tele­fon­nummer hinter­legt haben, können sich einen Bestä­ti­gungs­code per SMS oder - ähnliche wie bei Apple - an ein weiteres genutztes Samsung-Galaxy-Gerät schi­cken lassen. Eine weitere Option ist eine Authen­ti­fi­zierer-App, beispiels­weise Google Authen­ti­cator (für Android und iOS). Hier werden zeit­lich begrenzte Codes gene­riert. Vorteil: Nutzer können auch Zugangs­codes zu ihren dort hinter­legten Accounts erhalten, wenn sich das Smart­phone im Offline-Modus befindet.

Wir haben den Samsung-Account unter anderem mit dieser Methode zusätz­lich geschützt. Um den Account in einer Authen­ti­fi­zierer-App zu hinter­legen, muss bei der Einrich­tung ein QR-Code gescannt werden. Wir haben das mit einem zweiten Handy gemacht, auf dem der Google Authen­ti­cator instal­liert ist. Dafür muss der App Zugriff auf die Kamera gewährt werden.

Ein zweites Handy ist jedoch keine Voraus­set­zung. Der Einrich­tungs­schlüssel kann auch kopiert und in die Authen­ti­fi­zierer-App einge­fügt werden, die sich auf dem glei­chen Gerät befindet. Dann ist der Account verknüpft und ein dort ange­zeigter sechs­stel­liger Code muss als zweite Schutz­me­thode bei der Anmel­dung des Accounts einge­geben werden. Tipp: Nicht zu viel Zeit lassen bei der Eingabe des Codes. Denn dieser läuft recht schnell ab. Anschlie­ßend ist dann nur der neu ange­zeigte Code gültig.

2FA mit Google

Google bietet eben­falls verschie­dene Möglich­keiten an, um das Konto zu schützen. Der 2FA-Sicher­heits­me­cha­nismus kann in den Konto-Einstel­lungen akti­viert werden. Im Einstel­lungs­menü des Android-Smart­phones gibt es in der Regel den Punkt „Konten“ oder - am Beispiel der OneUI-Benut­zer­ober­fläche auf dem Samsung Galaxy S10+ - einen eigenen Menü­punkt „Google“. Unter „Google-Konto verwalten“ und dem Reiter „Sicher­heit“ kann die 2FA akti­viert werden.

Neben einer hinter­legten Tele­fon­nummer und der zum Google-Konto zuge­hö­rigen E-Mail-Adresse kann auch eine Authen­ti­fi­zierer-App verwendet werden. Das Einrich­tungs­pro­ze­dere ist mit dem wie oben beschrieben iden­tisch: Entweder kann mit einem zweiten Gerät, auf dem die App instal­liert ist, der QR-Code gescannt oder - zur Verwen­dung einer Authen­ti­fi­zierer-App auf dem glei­chen Gerät - der Einrich­tungs­schlüssel kopiert und zur Regis­trie­rung in der App einge­fügt werden.

2FA mit Web.de, GMX, Twitter, Insta­gram

2FA mit Web.de und GMX

Bei den beiden E-Mail-Anbie­tern Web.de und GMX Mail & Cloud kann die 2FA über die Webseite (nicht über die jewei­lige Android oder iOS-App) einge­stellt werden. Wer die Einstel­lungen aus der App heraus vornehmen will, wird auto­ma­tisch auf die Webseite über den Browser weiter­ge­leitet. Unter „Pass­wort/Konto“ und „Sicher­heit“ können eine Sicher­heits­te­le­fon­nummer und auch eine weitere Mail-Adresse zur Konto­her­stel­lung hinter­legt werden. Social-Media- und E-Mail-Dienste bieten oft auch eine 2FA an
Logos: Anbieter, Foto: Image licensed by Ingram Image, Montage: teltarif.de Die Akti­vie­rung der 2FA lässt sich beispiels­weise mit der Google Authen­ti­cator-App reali­sieren. Wer die Smart­phone-Apps von Web.de und GMX nutzt, muss die 2FA nicht regel­mäßig eingeben. Nur wenn das Mail-Konto in der App hinter­legt oder der Login über einen Browser vorge­nommen werden soll, muss die vorher akti­vierte 2FA-Methode ange­wendet werden. Anschlie­ßend ist das Konto in der App regis­triert, und der Zugriff kann durch eine App-PIN oder beispiels­weise mittels FaceID unter­stüt­zenden iPhones oder iPads gesperrt werden.

So ist es letzt­lich auch bei anderen Diensten wie Twitter oder Insta­gram. Wer die App auf einem Smart­phone nutzt, ist in der Regel ständig einge­loggt. Kriti­sche Stimmen könnten nun laut werden, dass der Account spätes­tens dann gefährdet ist, wenn Dritte das Smart­phone in die Hände bekommen und an der Display­sperre vorbei­kommen.

Wer auf Nummer sicher gehen will, sollte sich nach der Nutzung eines Dienstes abmelden und bei Bedarf erneut wieder anmelden. Das ist umständ­lich und erscheint nicht beson­ders praxisnah, ist aber ein Sicher­heits­tipp, um das Risiko, den Zugriff auf sensible Daten zu verlieren, zu redu­zieren.

2FA mit Twitter und Insta­gram

Die Einstel­lung zur Akti­vie­rung in der Twitter-App ist etwas versteckt. Unter „Einstel­lungen und Daten­schutz“ und „Account“ gibt es den Reiter „Sicher­heit“. Dort kann die 2FA akti­viert werden, beispiels­weise über eine Authen­ti­fi­zierer-App. Zusätz­lich besteht die Möglich­keit, E-Mail-Adresse oder Tele­fon­nummer zu bestä­tigen, wenn das Account-Pass­wort zurück­ge­setzt werden soll.

In der Insta­gram-App lässt sich die 2FA im Profil-Menü akti­vieren. Dazu muss das Menü über die drei Striche rechts oben (Beispiel iOS-App) geöffnet werden. Unter „Einstel­lungen“ und „Sicher­heit“ kann die „Zwei­stu­fige Authen­ti­fi­zie­rung“ akti­viert werden. Bestä­ti­gungs­codes können so per SMS an eine hinter­legte Tele­fon­nummer gesendet und/oder über eine Authen­ti­fi­zierer-App gene­riert werden.

Am Beispiel der Insta­gram-App taucht mit „Wieder­her­stel­lungs­codes“ ein weiteres wich­tiges Sicher­heits­thema auf. Diese sind sowas wie der letzte Not-Anker und können verwendet werden, wenn das Smart­phone mit der Authen­fi­zie­rungs-App bezie­hungs­weise dem SMS-Empfang nicht zur Hand ist, weil es viel­leicht gestohlen wurde.

Neben Insta­gram bieten auch einige andere Dienste solche Wieder­her­stel­lungs­codes an. Diese sollten sich Nutzer für den Notfall notieren, am besten so, dass Dritte keine Zuord­nung zum passenden Account machen können.

2FA mit PayPal und Amazon

2FA mit PayPal und Amazon

Die 2FA kann für den Online-Bezahl­dienst PayPal über die Webseite akti­viert werden. Nutzer müssen nach dem Login nur auf das Zahnrad-Symbol oben rechts klicken, um zu den Einstel­lungen zu kommen. Unter „Sicher­heit“ kann die 2FA nun akti­viert werden. Dort wird eine Tele­fon­nummer hinter­legt, an die bei jedem Login ein Code gesendet wird, der nach der Eingabe des Account-Pass­worts zusätz­lich einge­geben werden muss. Gerade für Dienste, bei denen Zahlungsinformationen hinterlegt sind, ist eine 2FA sinnvoll
Logos: Anbieter, Foto: Image licensed by Ingram Image, Montage: teltarif.de Amazon-Kunden können die 2FA für ihren Account über die Desktop-Webseite akti­vieren. Die nötigen Einstel­lungen müssen unter „Mein Konto“ und „Anmelden und Sicher­heit“ vorge­nommen werden. Amazon unter­stützt mehrere Methoden, wovon eine als bevor­zugte Methode, beispiels­weise das Senden eines Bestä­ti­gungs­codes per SMS an eine hinter­legte Tele­fon­nummer, fest­ge­legt wird. Zusätz­lich können Bestä­ti­gungs­codes auch über eine Authen­fi­zierer-App gene­riert werden.

2FA „umgehen“ und Nach­teile

Die 2FA lässt sich „umgehen“, wobei die Methode aber weiterhin aktiv bleibt. Konkret bedeutet das, die Methode kann vom Nutzer für ein vertrau­ens­wür­diges Gerät bezie­hungs­weise einen vertrau­ens­wür­digen Browser deak­ti­viert werden. PayPal und Amazon beispiels­weise bieten diese Möglich­keit an, in dem beim Login ein Häkchen bei der entspre­chenden Option gesetzt werden muss. Anschlie­ßend wird dem Browser, der zum Login genutzt wird, vertraut und der zweite Sicher­heits­schritt entfällt.

Das macht den Login leichter, verrin­gert aber wiederum die Sicher­heit, wie auch das Bundesamt für Sicher­heit in der Infor­ma­ti­ons­technik zu bedenken gibt. Unsere Anmer­kung: Man kann die 2FA zwar über den Weg über­springen, in dem man Geräten und Brow­sern vertraut, zusätz­liche Sicher­heit ist aber nun mal umständ­li­cher als der einfachste Weg und sollte daher auch genutzt werden.

Die 2FA hat aber auch erwäh­nens­werte Nach­teile. Wenn das Smart­phone mit SIM-Karte und Authen­ti­fi­zierer-App nicht mehr vorliegen, wird auch der Zugang zum Dienst blockiert, weil die zweite Sicher­heits­me­thode fehlt. Dann können die erwähnten Wieder­her­stel­lungs­codes helfen, wenn sie vom Dienst bereit­ge­stellt werden und der Nutzer sie zuvor auffindbar notiert hat.

Darauf alleine sollte man sich aller­dings nicht verlassen, weil im Notfall viel­leicht auch der Zugriff auf die Wieder­her­stel­lungs­codes aus diversen Gründen verwehrt sein kann. Es ist ratsam, eine weitere Sicher­heits­me­thode in der Hinter­hand zu haben, beispiels­weise eine zweite im Account hinter­legte Tele­fon­nummer oder E-Mail-Adresse.

Prak­tisch kann auch ein zweites Gerät sein, auf dem die Authen­ti­fi­zierer-App instal­liert ist. So kann diese 2FA für Accounts auch dann verwendet werden, wenn das Haupt-Smart­phone abhanden gekommen ist.

Weiterhin ist es wichtig, alle genutzten Geräte aktuell zu halten. Das betrifft sämt­liche Soft­ware-Updates für Apps und Firm­ware-Aktua­li­sie­rungen. Außerdem können Sie weitere Sicher­heits­vor­keh­rungen treffen, um sich vor Malware und Daten­lecks zu schützen.

Ratgeber zum Thema "Sicherheit im Internet"

• Ratgeber: So finden Sie ein sicheres Passwort
• Passwort-Check: Zugangsdaten gehackt?
• Sicherheit für PC, Handy & Co.
• Tipps für mehr Sicherheit bei E-Mails
• Phishing: Gefahr für Kontodaten
• Authentisierung: 2FA bei Apple, Google, Amazon & Co.
• WLAN-Sicherheit: Heimisches Netzwerk schützen
• Digitaler Nachlass: Accounts erben und vererben
• Identitätsdiebstahl: So verhalten Sie sich richtig

Mehr zum Thema Sicherheit

• 07.05.24 - Google: Zweifaktor-Authentifizierung ohne Handynummer
• 29.04.24 - WLAN-Sicherheit: So schützen Sie Ihr Heimnetz
• 25.04.24 - Login: WhatsApp für iOS dank Passkeys jetzt sicherer
• 25.04.24 - Google One VPN: Termin für Abschaltung steht fest
• 25.04.24 - TikTok setzt süchtig machendes Belohnungs-System aus
• 24.04.24 - Bundesbank-Chef: Das bringt der digitale Euro wirklich
• 22.04.24 - EU-Prüfung: Ist TikTok für die Psyche gefährlich?
• 20.04.24 - Vorsicht Betrug: App installiert - Bankkonto leer
• 15.04.24 - So schützen Sie sich vor Betrugsmaschen am Telefon
• 14.04.24 - Festplatten, SSD und Handy: So löschen Sie Ihre Daten richtig
• 13.04.24 - Identitätsdiebstahl: So können Sie sich schützen
• 12.04.24 - Google stellt VPN-Dienst ein: Das ist der Grund
• 11.04.24 - Neue E-Perso-PIN darf nicht digital übermittelt werden
• 11.04.24 - Fahrrad smart machen - mit diesem Zubehör
• 10.04.24 - Juice Jacking: Wenn der Handy-Ladestopp zur Datenfalle wird
• 07.04.24 - Spyware, Cookies, Internetspuren: So schützen Sie Ihre Daten
• 04.04.24 - "Frank geht ran": Telefonnummern schützen vor Werbung
• 02.04.24 - Suchmaschinen: Tipps zur Suche mit Google, Bing & Co.
• 01.04.24 - Sind alternative YouTube-Apps illegal?
• 27.03.24 - Telegram Premium: Kostenloses Abo gegen OTP-SMS
• 26.03.24 - Samsung Galaxy S24: April-Patch startet bereits jetzt
• 23.03.24 - Android und iOS: Handy gegen obszöne Fotos abschotten
• 21.03.24 - EuGH: Neue Verordnung für Fingerabdrücke auf Perso nötig
• 19.03.24 - Höhere IT-Sicherheit - dafür weniger neue Autos?
• 14.03.24 - Telekom Sicherheitspaket L: VPN, Kinderschutz und mehr
• 14.03.24 - Drohender Eigentümerwechsel: Tiktok kündigt Widerstand an
• 13.03.24 - Kurze Leine für KI: EU beschließt "historisches" Regelwerk
• 10.03.24 - Gesichter-Suchmaschinen: Darum rechtlich bedenklich
• 07.03.24 - Freemailer und sichere E-Mail: Das müssen Sie wissen
• 06.03.24 - Bericht: Internetadresse fritz.box abgeschaltet
• 05.03.24 - Störung bei Meta: Facebook, Instagram und Threads betroffen
• 05.03.24 - Google fügt sich: Suchergebnisse weniger Google-lastig
• 05.03.24 - DMA der EU startet: Das ändert sich auf unseren Smartphones
• 05.03.24 - Unterwegs in fremden Netzen: 5 Hotspot-Sicherheitsregeln
• 03.03.24 - Festplatten und SSDs sicher löschen
• 28.02.24 - Telekom Bling-Tarif: 12 GB für 15 Euro und Internet-Filter
• 26.02.24 - "Open Gateway": Online sicher bezahlen ohne 2FA
• 20.02.24 - WhatsApp: Screenshot-Sperre für Profilfotos ist lückenhaft
• 20.02.24 - WhatsApp-Lockanrufe: Nicht zurückrufen spart Ärger
• 18.02.24 - Editorial: Sind 7 Jahre Software-Updates wirklich nachhaltig?
• mehr…