consumer

Trusted Shops Blog

Alles für ein sicheres und entspanntes Shopping-Erlebnis: Tipps, Trends und Insights, die dir helfen, dich vor Fake zu schützen.

Unverzichtbar: Multi-Faktor-Authentifizierung

Auf einem Handy erscheint der Schlüssel zur Multi-Faktor-Authentifizierung auf dem Laptop

Multi-Faktor-Authentifizierung (MFA) ergänzt dein Passwort um einen zweiten Schritt, z. B. eine Bestätigung auf dem Handy. So bleiben Angreifer selbst mit deinem Passwort draußen. Hier erfährst du mehr darüber, warum du MFA möglichst überall aktivieren solltest – vor allem bei Google, E-Mail, Zahlungsdiensten und Shopping-Accounts.

Was ist eine Multi-Faktor-Authentifizierung?

Hinter der Multi-Faktor-Authentifizierung, kurz MFA, steckt die folgende Idee: Ein Login soll nicht mehr nur von einer einzigen Information abhängen, nämlich deinem Passwort. Stattdessen muss beim Anmelden mindestens ein weiterer Nachweis erbracht werden. So wird es für Angreifer deutlich schwerer, sich als dich auszugeben – selbst dann, wenn sie dein Passwort kennen.

Beim normalen Login gibt es nur einen wichtigen Faktor: dein Passwort. Kennen Unbefugte dieses Passwort – etwa durch ein Datenleck oder eine Phishing-Mail – können sie sich ohne weitere Hürde einloggen. Genau hier setzt MFA an: Für mehr Sicherheit kommt mindestens ein zweiter Faktor dazu. Dieser zweite Schritt ist der zusätzliche Beweis, dass wirklich du dich anmeldest und nicht jemand, der zufällig oder durch einen Angriff an dein Passwort gekommen ist.

Dieser Beweis kann zum Beispiel sein:

  • eine Bestätigung auf deinem Smartphone („Ja, ich bin das"), bei der du aktiv zustimmen musst,  
  • ein sechsstelliger Code aus einer App (einer sogenannten Authenticator-App), der sich alle paar Sekunden ändert,  
  • ein sogenannter Passkey (dazu gleich mehr), der dein Passwort sogar komplett ersetzen kann,  
  • oder ein einmaliger Code per SMS, den du zusätzlich zum Passwort eingeben musst.


Je nach Methode ist dieser zweite Faktor mehr oder weniger komfortabel und sicher. Entscheidend ist: Ohne diesen zusätzlichen Schritt bleibt ein Login-Versuch stecken – und genau das schützt deine Konten im Alltag.

MFA beim Online-Shopping

Die meisten Angriffe funktionieren deshalb, weil dein Passwort irgendwo “aufgetaucht” ist.

Das passiert durch:

  • Datenlecks: Ein Onlineshop oder Dienst wird gehackt, Zugangsdaten werden veröffentlicht.
  • Phishing: Du landest auf einer gefälschten Seite, die täuschend echt aussieht, und gibst dort dein Passwort ein.
  • Wiederverwendete Passwörter: Wer überall dasselbe Passwort nutzt, gibt Angreifern mit einem Treffer gleich Zugang zu mehreren Konten.
  • Mehr hierzu: Wie sicher sind meine Daten beim Online-Shopping

Verfügt nun jemand nur dein Passwort, kennt aber nicht den zweiten Faktor, dann misslingt der Angriff. Eine MFA ist damit, wo immer möglich, sinnvoll.

Wie wirksam sind die gängigen Multi-Faktor-Methoden?

Passkey:
sehr gut, wenn verfügbar

Ein Passkey ersetzt das Passwort komplett. Beim Einloggen musst du dir also kein kompliziertes Kennwort mehr merken, sondern bestätigst den Login mit Face ID, Fingerabdruck oder der PIN deines Geräts. Die eigentlichen Zugangsdaten liegen dabei sicher auf deinem Gerät und werden nicht wie ein klassisches Passwort an die Website übertragen. Das macht Passkeys nicht nur bequemer, sondern auch deutlich sicherer: Selbst wenn eine Datenbank bei einem Dienst gehackt wird, kann daraus kein nutzbares „Passwort“ gestohlen werden.

Ein weiterer Vorteil: Passkeys funktionieren technisch nur auf der echten Website oder App des Anbieters. Landest du auf einer Fake-Seite, passt der Passkey meist gar nicht – der Login schlägt dann einfach fehl. So bist du sehr gut gegen Phishing geschützt. Wo immer dir ein Passkey angeboten wird, solltest du ihn daher nutzen und Passwörter nach und nach ersetzen.

Bestätigung am Handy (Google-Prompt):
sehr gut im Alltag

Bei der Handy-Bestätigung bekommst du auf deinem Smartphone eine Nachricht eingeblendet: „Versuchst du dich gerade anzumelden?" – oft mit Angaben zum Standort und zum Gerät. Mit einem Tipp auf „Ja" oder „Nein" bestätigst oder blockierst du den Login-Versuch.

Das ist unkompliziert, schnell und funktioniert im Alltag sehr gut, weil du keinen Code abtippen musst. Gleichzeitig behältst du die Kontrolle: Fallen dir verdächtige Details auf (falscher Standort, falsches Gerät), kannst du den Versuch ablehnen und so einen möglichen Angriff stoppen. Für viele Nutzer ist das die bequemste Variante, um MFA konsequent einzusetzen.

Authenticator-App:
gut, sehr zuverlässig

Eine App wie Google Authenticator, Microsoft Authenticator oder ähnliche Lösungen erzeugt alle 30 Sekunden einen neuen sechsstelligen Code. Diesen Einmal-Code gibst du zusätzlich zu deinem Passwort ein. Der Code wird lokal auf deinem Gerät mit einem geheimen Schlüssel berechnet, der nur dir und dem jeweiligen Dienst bekannt ist.

Der große Vorteil: Die Methode funktioniert auch ohne Internetverbindung oder Mobilfunkempfang, solange die Uhrzeit auf deinem Gerät korrekt ist. Außerdem sind diese Codes schwer abzufangen oder zu manipulieren, weil sie nur sehr kurz gültig sind. Wichtig ist, dass du beim Einrichten die Backup-Optionen nutzt (z. B. Wiederherstellungscodes oder ein zweites Gerät), damit du bei Handyverlust nicht ausgesperrt bist.

SMS-Code:
okay als Notlösung

Beim SMS-Verfahren bekommst du einen einmaligen Code per SMS zugeschickt, den du beim Einloggen zusätzlich zum Passwort eingibst. Das ist besser als gar kein zweiter Faktor und oft schnell eingerichtet, weil du nur deine Handynummer hinterlegen musst.

Allerdings gibt es bekannte Angriffe, bei denen SMS abgefangen oder umgeleitet werden können – zum Beispiel, wenn jemand deine Handynummer übernimmt (SIM-Swapping) oder deine Mobilfunkverbindung manipuliert. Auch Phishing ist hier ein Problem: Landest du auf einer gefälschten Login-Seite und tippst dort deinen SMS-Code ein, kann der Angreifer ihn sofort missbrauchen.

Deshalb sollte SMS vor allem als Notlösung dienen oder als zusätzlicher Backup-Weg, falls du keinen Zugriff mehr auf dein gewohntes Gerät oder deine Authenticator-App hast. Wenn möglich, sind Passkeys, Handy-Bestätigung oder Authenticator-Apps die deutlich bessere Wahl.

Empfohlene Einstellungen bei Google

Bei Google heißt das Ganze “Bestätigung in zwei Schritten“ (2-Step Verification). Die Einstellungen findest du in deinem Google-Konto unter “Sicherheit".

Sinnvoll ist die folgende Reihenfolge:

    • Passkey, wenn er dir angeboten wird,
    • Google-Prompt (Handy-Bestätigung),
    • Authenticator-App,
    • SMS, falls nichts anderes verfügbar ist.

Häufige Fragen zur MFA

„Ich habe doch ein starkes Passwort, reicht das nicht?"

Ein starkes Passwort ist gut und bleibt eine wichtige Grundlage für die Sicherheit deiner Konten. Doch in der Praxis ist es nur ein Teil des Schutzes: Wird dein Passwort etwa durch ein Datenleck bei einem Online-Dienst oder durch eine täuschend echte Phishing-Mail abgegriffen, spielt es keine Rolle mehr, wie lang, komplex oder einzigartig es war. In dem Moment, in dem Angreifer dein Passwort kennen, können sie es wie einen echten Schlüssel verwenden – ohne weitere Hürden. Genau deshalb reicht ein starkes Passwort allein heute nicht mehr aus und zusätzliche Sicherheitsmaßnahmen wie die Multi-Faktor-Authentifizierung werden so wichtig.

„Was, wenn ich mein Handy verliere und mich aussperrt?"

Das Risiko lässt sich mit ein bisschen Vorbereitung klein halten. Wichtig ist, dass du dir schon beim Einrichten überlegst, wie du im Zweifel wieder an dein Konto kommst. Google bietet dafür mehrere Backup-Optionen an: ein zweites Gerät (zum Beispiel ein Tablet oder ein weiteres Smartphone), auf dem du die Bestätigung ebenfalls aktivierst, oder einmalige Backup-Codes, die du ausdrucken, als PDF sichern und an einem wirklich sicheren Ort aufbewahren kannst – etwa in einem verschlossenen Ordner oder Tresor, getrennt von deinen Geräten.

Idealerweise kombinierst du beides: ein zweites Gerät plus Backup-Codes. Geht dein Handy verloren, wird gestohlen oder ist defekt, kannst du dich damit weiterhin einloggen und in Ruhe ein neues Gerät einrichten, statt komplett ausgesperrt zu sein. Nimm dir dafür einmal bewusst ein paar Minuten Zeit, folge den Schritten im Google-Konto und prüfe am Ende kurz, ob der Zugriff über ein Backup auch tatsächlich funktioniert. Einmal sorgfältig eingerichtet, läuft die MFA im Alltag weitgehend im Hintergrund mit – und du musst dir um den Notfall kaum noch Gedanken machen.

„Ich will nicht bei jedem Login noch einen Schritt mehr."

Verständlich. In der Praxis musst du den zweiten Schritt aber meist nur bei neuen Geräten oder nach längerer Zeit bestätigen – zum Beispiel, wenn du dich zum ersten Mal an einem neuen Laptop anmeldest, deinen Browser neu installiert hast oder Google eine ungewöhnliche Anmeldung (anderer Ort, anderes Netzwerk) erkennt.

Im normalen Alltag, also wenn du dich regelmäßig mit demselben Gerät und vom gewohnten Standort aus einloggst, fragt dich Google in der Regel nur gelegentlich nach dieser Bestätigung. So bleibt dein Konto deutlich besser geschützt, ohne dass du bei jedem einzelnen Login einen aufwendigen Zusatzschritt erledigen musst.

Begriffe kurz erklärt

Phishing:
Eine gefälschte Nachricht oder Website, die aussieht wie echt und darauf ausgerichtet ist, Passwörter oder andere Daten abzugreifen.

Datenleck:
Zugangsdaten wurden bei einem Dienst gestohlen oder versehentlich veröffentlicht. Oft erfährt man davon erst Monate später.

Passkey:
Ein Ersatz für Passwörter. Der Login erfolgt über dein Gerät. Per Fingerabdruck, Face ID oder PIN.

Authenticator-App:
Eine App, die zeitlich begrenzte Einmalcodes für den Login erzeugt, unabhängig von SMS oder Internetverbindung.

 

27.02.26

Weitere relevante Artikel

Gastzugang oder Konto anlegen

Gastbestellung oder Kundenkonto: was ist sicherer?

 AI im Einkaufswagen

Wie verlässlich sind KI-Shoppingtipps?

 Eine Hand zeigt auf den Schriftzug

Bei einem Fake-Shop bestellt? Das solltest du jetzt tun

Weitere interessante Blog-Artikel

Tipps & Tricks in Consumer

Gastbestellung oder Kundenkonto: was ist sicherer?

Gastbestellung oder Kundenkonto? Der Beitrag zeigt Vorteile, Nachteile und Sicherheitsaspekte und wann welche Option sinnvoll ist.

Jetzt lesen
3min. Lesezeit  |  15.05.26
Tipps & Tricks in Consumer

Wie verlässlich sind KI-Shoppingtipps?

KI empfiehlt Produkte, Preise und Shops. Doch wie aktuell und sicher sind die Tipps wirklich? Worauf Online-Shopper achten sollten.

Jetzt lesen
3min. Lesezeit  |  11.05.26
Tipps & Tricks in Consumer

Bei einem Fake-Shop bestellt? Das solltest du jetzt tun

Bei einem Fake-Shop bestellt? Der Beitrag zeigt konkret, was jetzt zu tun ist, wie du reagieren solltest und welche Schritte wirklich helfen.

Jetzt lesen
4min. Lesezeit  |  04.05.26

Fragen oder Ideen?

Wir freuen uns von Dir zu hören.

E-Mail uns