Zwei Faktoren – und warum SMS-Codes das schwache Glied sind
25. Juni 2026 · 3 Minuten Lesezeit · Kommentare
Dieser Artikel enthält Affiliate-Links. Wenn Sie über sie einkaufen, erhalten wir möglicherweise eine Provision – ohne zusätzliche Kosten für Sie.
Die Zwei-Faktor-Authentifizierung ist eine der effektivsten Sicherheitsverbesserungen, die Sie vornehmen können. Aber nicht alle zwei Faktoren sind gleich – und die häufigste Version, die von den meisten Diensten standardmäßig verwendet wird, weist eine spezifische, gut dokumentierte Schwachstelle auf, von der die meisten Menschen nichts wissen.
Die Zwei-Faktor-Authentifizierung erfordert etwas, das Sie wissen (Ihr Passwort) und etwas, das Sie haben (normalerweise einen Code). Selbst wenn jemand Ihr Passwort stiehlt, kann er sich ohne den zweiten Faktor nicht anmelden. Es ist wirklich gut. Die Frage ist, was „etwas, das man hat“ bedeutet.
Das Problem mit SMS-Codes
SMS-Codes werden an Ihre Telefonnummer gesendet. Ihre Telefonnummer wird von Ihrem Mobilfunkanbieter kontrolliert. Und Netzbetreiber können manipuliert werden – manchmal durch Social Engineering, manchmal durch direkte Bestechung von Mitarbeitern –, um Ihre Nummer auf eine SIM-Karte zu übertragen, die der Angreifer kontrolliert. Dies wird als SIM-Tausch bezeichnet.
Sobald Ihre Nummer übertragen wurde, gelangt jeder an „Ihr“ Telefon gesendete SMS-Code an das Gerät des Angreifers. Ihr Passwort und alle SMS-basierten Zwei-Faktor-Passwörter gehören jetzt ihnen. Hochwertige Ziele – Personen mit bedeutenden Kryptowährungen, Führungskräfte, Journalisten – werden auf diese Weise regelmäßig kompromittiert.
Was stattdessen verwendet werden sollte
Eine Authentifizierungs-App generiert zeitbasierte Codes auf Ihrem Gerät. Sie werden nicht über das Telefonnetz übertragen – kein SIM-Swap kann sie abfangen. Apps wie Google Authenticator oder Authy funktionieren auf diese Weise. NordPass verfügt außerdem über einen integrierten Authentifikator, was bedeutet, dass Ihre 2FA-Codes und Passwörter im selben sicheren Tresor gespeichert sind.
- Switch SMS 2FA to an authenticator app wherever the service allows it
- Prioritise accounts with the most at stake: email, banking, primary social
- NordPass generates and stores your TOTP codes alongside your passwords
- Passkeys — where offered — are better still: no code to phish at all
Selbst in seiner schwächsten Form lohnt es sich, den Zwei-Faktor zu haben. SMS 2FA ist deutlich besser als kein 2FA. Wenn Sie es jedoch verwenden möchten, dauert das Upgrade von SMS auf eine Authentifizierungs-App pro Konto etwa zwei Minuten – und die Lücke beim Schutz ist erheblich.
Häufig gestellte Fragen
What is credential stuffing?+
Beim Credential Stuffing nehmen Angreifer E-Mail- und Passwortkombinationen, die bei einem Verstoß offengelegt wurden, und versuchen sie automatisch gegen andere Dienste auszuprobieren. Wenn Sie Passwörter wiederverwenden, erhalten Angreifer durch einen Verstoß an einer Site Zugriff auf alle Konten mit denselben Anmeldeinformationen.
Is it safe to store all your passwords in one place?+
Ja, wenn Sie einen seriösen Passwort-Manager verwenden. Der verschlüsselte Tresor ist weitaus sicherer als wiederverwendete oder schwache Passwörter. Passwortmanager wie NordPass verwenden eine Zero-Knowledge-Architektur – das heißt, selbst das Unternehmen kann Ihre gespeicherten Passwörter nicht sehen.
What is two-factor authentication and should I use it?+
Die Zwei-Faktor-Authentifizierung (2FA) erfordert neben Ihrem Passwort einen zweiten Verifizierungsschritt – normalerweise einen Code aus einer App. Verwenden Sie eine Authentifizierungs-App (Google Authenticator, Authy) anstelle von SMS-Codes, die anfällig für SIM-Swap-Angriffe sind.
