Sicheres Login: 2FA, Security Keys und Passkeys im Vergleich
Alle Login-Schutzmethoden im direkten Vergleich. Erfahre wie Authenticator-Apps, Hardware-Schlüssel und Passkeys funktionieren und welche du nutzen solltest.
Zurück zum Blog
Mal ehrlich. Dein Passwort ist wahrscheinlich miserabel.
Vielleicht ist es der Name deines Hundes plus Geburtsjahr. Vielleicht nutzt du seit 2014 überall dasselbe. Vielleicht hast du ein “System”, bei dem du einfach die Zahl am Ende hochzählst. Passwort1, Passwort2, Passwort3… genial, oder?
Aber selbst ein gutes Passwort reicht heute nicht mehr. Credential Stuffing nimmt geleakte Passwörter aus einem Datenleck und probiert sie überall anders aus. Phishing bringt dich dazu, dein Passwort auf einer gefälschten Seite einzutippen. Datenlecks legen immer wieder Milliarden von Konten offen - du kannst jetzt prüfen, ob deins betroffen ist.
Ein Passwort allein ist wie eine Mauer voller Risse. Du brauchst eine zweite Schutzschicht. Also vergleichen wir alle Optionen und schauen, welche sich wirklich lohnen.
SMS- und E-Mail-Codes
Du meldest dich an, dein Handy vibriert, du tippst einen sechsstelligen Code ein. Die häufigste Form von 2FA - und gleichzeitig die schwächste.
SMS-Codes laufen über das Netz deines Mobilfunkanbieters, und das kann per SIM-Swapping oder SS7-Exploits gekapert werden. E-Mail-Codes sind kaum besser - hat jemand Zugriff auf dein Postfach, gehören die Codes ihm.
Wir haben einen ausführlichen Artikel darüber, warum SMS-2FA nicht reicht, falls du es genauer wissen willst.
Fazit: Besser als nichts, aber nur als Notlösung. Sobald etwas Besseres verfügbar ist, sofort wechseln.
Authenticator-Apps (TOTP)
Jetzt wird es interessant. Statt einen Code per SMS zu bekommen, erzeugt eine App ihn direkt auf deinem Gerät. Kein Netzwerk beteiligt.
Bei der Einrichtung tauschen deine App und der Dienst ein gemeinsames Geheimnis aus. Stell dir das wie einen geheimen Handschlag vor, der sich alle 30 Sekunden ändert. Deine App generiert einen Code aus diesem Geheimnis und der aktuellen Uhrzeit, der Server macht die gleiche Berechnung, und wenn beide übereinstimmen - bist du drin. Das ist TOTP (Time-based One-Time Password).
Das Gute: Funktioniert offline, kostenlos, wird fast überall unterstützt, und dein Mobilfunkanbieter kann nicht ausgetrickst werden.
Der Haken: Immer noch anfällig für Phishing, wenn ein Angreifer deinen Code in Echtzeit an die echte Seite weiterleitet. Und wenn du dein Handy ohne Backup verlierst, bist du ausgesperrt.
Wichtiger Tipp: Halte deine 2FA-App getrennt von deinem Passwort-Manager. Wenn jemand deinen Passwort-Manager knackt und dort auch deine TOTP-Codes liegen, hat er alles auf einen Schlag. Zwei separate Apps bedeuten, dass er in beide einbrechen müsste.
Nimm eine App, die Open Source ist, verschlüsselte Backups unterstützt und kein Cloud-Konto verlangt.
Push-Benachrichtigungen als 2FA
Statt einen Code einzutippen, bekommst du eine Benachrichtigung: “Jemand versucht sich anzumelden. Warst du das?” Antippen, bestätigen, fertig.
Der Dienst schickt eine Anfrage an dein registriertes Gerät, du bestätigst per Fingertipp (manchmal auch mit Biometrie), und eine signierte Antwort geht zurück. Keine Codes eintippen, keine Zahlen falsch ablesen.
Das Gute: Super einfach, schwerer zu phishen als TOTP, weil es keinen Code zum Abfangen gibt.
Der Haken: Braucht Internet auf beiden Seiten. An den jeweiligen Anbieter gebunden. Und es gibt einen fiesen Trick namens MFA Fatigue - ein Angreifer mit deinem Passwort bombardiert dich um 3 Uhr nachts mit Push-Benachrichtigungen, bis du verschlafen auf “Bestätigen” tippst, nur damit endlich Ruhe ist.
Wenn du Push-Benachrichtigungen bekommst, die du nicht ausgelöst hast, immer ablehnen und sofort dein Passwort ändern.
Hardware Security Keys
Ein kleines physisches USB- oder NFC-Gerät, das du beim Anmelden einsteckst oder antippst. Wenn Authenticator-Apps ein solides Türschloss sind, dann sind das hier Tresortüren.
Der Schlüssel erzeugt ein einzigartiges Schlüsselpaar: einen privaten Schlüssel (der das Gerät nie verlässt) und einen öffentlichen Schlüssel (der mit dem Dienst geteilt wird). Beim Login schickt der Dienst eine Anfrage, der Schlüssel signiert sie, und der Dienst prüft die Signatur. Simpel.
Das Killer-Feature ist Origin Binding. Der Schlüssel prüft die tatsächliche Domain der Website, bevor er irgendetwas signiert. Auf google.com? Er antwortet. Auf g00gle-login.com? Er verweigert. Automatisch. Die überzeugendste Phishing-Seite der Welt funktioniert nicht, weil der Schlüssel schlicht nicht mit einer gefälschten Seite zusammenarbeitet.
Das Gute: Stärkster verfügbarer Phishing-Schutz. Der private Schlüssel kann niemals ausgelesen werden. Funktioniert offline. Nichts einzutippen. Kein Akku, der leer werden kann.
Der Haken: Kostet Geld, du musst ihn immer dabeihaben, und wenn du deinen einzigen Schlüssel ohne Backup-Codes verlierst, hast du ein echtes Problem.
Praxis-Tipp: Kauf dir immer zwei Schlüssel. Registriere beide überall. Einen am Schlüsselbund, einen sicher zu Hause. Achte auf FIDO2-Zertifizierung und USB-C/NFC-Unterstützung.
Angst, dass jemand deinen Schlüssel klaut? Keine Sorge. Er bräuchte trotzdem noch dein Passwort, und die meisten Schlüssel unterstützen zusätzlich einen PIN-Schutz.
Passkeys
Gleiche Kryptographie wie bei Hardware Keys, aber der Schlüssel lebt auf deinem Handy, Laptop oder in deinem Passwort-Manager statt auf einem separaten Gerät. Das ist die Methode, die starke Sicherheit endlich mühelos macht.
Dein Gerät generiert ein Schlüsselpaar, speichert den privaten Schlüssel in seiner Secure Enclave, und beim Login verifizierst du dich per Biometrie (Fingerabdruck, Gesicht) oder PIN. Kein Passwort merken, keinen Code eintippen, kein Gerät einstecken. Und genau wie bei Hardware Keys wird die Domain automatisch geprüft - Phishing blockiert.
Das Gute: Phishing-resistent, nichts zu merken, in alle großen Betriebssysteme und Browser integriert, kann über Geräte hinweg synchronisiert werden, ersetzt Passwort UND 2FA in einem Schritt.
Der Haken: Noch nicht alle Seiten unterstützen sie. Plattformübergreifende Synchronisation kann verwirrend werden, wenn du das Ökosystem wechselst. Und wenn sie über ein Cloud-Konto synchronisiert werden, vertraust du diesem Anbieter.
Es gibt zwei Varianten: Synchronisierte Passkeys werden in der Cloud gesichert und erscheinen auf all deinen Geräten (praktisch, aber du vertraust der Cloud), und gerätegebundene Passkeys existieren nur auf einem Gerät (sicherer, aber weg ist weg). Hardware Security Keys sind im Grunde gerätegebundene Passkeys in physischer Form.
Für die meisten Leute sind synchronisierte Passkeys in einem seriösen Passwort-Manager der beste Kompromiss.
Der Vergleich
| Eigenschaft | SMS/E-Mail | Auth-Apps | Push | Hardware Keys | Passkeys |
|---|---|---|---|---|---|
| Phishing-Schutz | Keiner | Keiner (Echtzeit-Relay) | Teilweise | Stark | Stark |
| Funktioniert offline | Nein | Ja | Nein | Ja | Ja |
| Einrichtung | Sehr einfach | Einfach | Einfach | Mittel | Einfach |
| Tägliche Nutzung | Einfach | Einfach | Sehr einfach | Einfach (einstecken+tippen) | Sehr einfach (Biometrie) |
| Wiederherstellung bei Verlust | Einfach | Schwer ohne Backup | Mittel | Backup-Schlüssel nötig | Abhängig von Sync |
| Kosten | Kostenlos | Kostenlos | Kostenlos | Einmalige Anschaffung | Kostenlos |
| Website-Unterstützung | Überall | Sehr verbreitet | Begrenzt | Wachsend | Stark wachsend |
Fällt dir auf, wie Passkeys den besten Kompromiss treffen? Starke Sicherheit bei sehr einfacher täglicher Nutzung. Deshalb drängt die ganze Branche in diese Richtung.
Welche Methode wo einsetzen
Kritische Konten (E-Mail, Passwort-Manager, Banking): Hardware Keys oder Passkeys. Idealerweise beides - Passkey für den Alltag, Hardware Key als Backup.
Wichtige Konten (Social Media, Cloud-Speicher, Arbeit): Passkeys wenn unterstützt, sonst TOTP mit einer Authenticator-App. Backup-Codes immer sichern.
Alles andere (Foren, Newsletter): Authenticator-App wenn verfügbar, SMS nur wenn es nichts anderes gibt. Jeder zweite Faktor ist besser als nur ein Passwort.
Grundregeln: Passkeys zuerst nutzen, wann immer verfügbar. Immer eine Backup-Methode einrichten. SMS loswerden, angefangen bei deinen wichtigsten Konten.
Zusammenfassung
Hier ist dein Plan:
- Prüfe deine aktuelle 2FA. Fang bei E-Mail und Banking an.
- Ersetze SMS durch eine Authenticator-App wo immer möglich.
- Aktiviere Passkeys bei jedem Dienst, der sie unterstützt.
- Ziehe Hardware Keys in Betracht für deine wichtigsten Konten. Zwei Schlüssel, beide registriert.
Wenn du dich immer noch auf SMS-Codes verlässt, wird es höchste Zeit umzusteigen.
Fang mit deinen wichtigsten Konten an, rüste eins nach dem anderen auf, und du wirst ein Setup haben, das wirklich schwer zu knacken ist. Dein zukünftiges Ich wird dir danken.