Kennwortlos, aber sicher? Warum Sie die 2-Faktor-Auth vielleicht weiterhin benötigen

Die digitale Welt verspricht uns eine Zukunft ohne Kennwörter. Eine Welt, in der wir uns nicht mehr unzählige, komplexe Zeichenketten merken oder ständig zurücksetzen müssen. Eine Welt, in der Phishing-Angriffe auf Passwörter der Vergangenheit angehören. Das klingt verlockend, fast zu schön, um wahr zu sein. „Kennwortlos“ ist das Schlagwort der Stunde, und Technologien wie Passkeys erobern immer mehr Plattformen. Sie versprechen nicht nur mehr Komfort, sondern auch eine radikale Verbesserung der Sicherheit.

Doch während wir uns auf den Abschied vom klassischen Kennwort freuen, stellt sich eine entscheidende Frage: Ist kennwortlose Authentifizierung von Natur aus so sicher, dass wir auf bewährte Sicherheitsmechanismen verzichten können? Insbesondere auf die 2-Faktor-Authentifizierung (2FA), die in den letzten Jahren zum Goldstandard der Online-Sicherheit avanciert ist. Ist 2FA im Zeitalter der Passkeys noch relevant, oder können wir sie getrost in Rente schicken? Dieser Artikel beleuchtet die Vor- und Nachteile der kennwortlosen Ära und erklärt, warum der vermeintliche Abschied von 2FA vielleicht doch zu voreilig ist.

Der Frust des Kennworts – Warum kennwortlos so verlockend ist

Jeder kennt es: Der Moment, in dem man sich auf einer neuen Webseite registriert und vor der Aufgabe steht, ein „sicheres Kennwort“ zu erstellen. Mindestens acht Zeichen, Groß- und Kleinbuchstaben, Zahlen, Sonderzeichen – und bloß nicht dasselbe wie für andere Dienste! Doch die Realität sieht oft anders aus. Viele Menschen nutzen schwache, leicht zu erratende Kennwörter oder verwenden ein und dasselbe Kennwort für Dutzende von Diensten. Das Ergebnis ist eine Einladung für Cyberkriminelle.

Klassische Kennwörter sind das schwächste Glied in der digitalen Sicherheitskette. Sie sind anfällig für:

• Phishing: Betrüger versuchen, Anmeldedaten abzufangen, indem sie sich als vertrauenswürdige Quellen ausgeben.
• Brute-Force-Angriffe: Automatisierte Programme probieren systematisch alle möglichen Kennwortkombinationen aus.
• Credential Stuffing: Gestohlene Kennwortlisten aus Datenlecks werden genutzt, um sich bei anderen Diensten anzumelden, in der Hoffnung, dass Benutzer Kennwörter wiederverwendet haben.
• Keylogger: Schadsoftware zeichnet Tastatureingaben auf und stiehlt so Passwörter.

Der Wunsch nach einer einfacheren und gleichzeitig sichereren Lösung ist also mehr als verständlich. Hier setzt die kennwortlose Authentifizierung an. Sie verspricht, diese Schwachstellen zu eliminieren, indem sie das Kennwort einfach abschafft und stattdessen andere, meist kryptografisch stärkere Methoden zur Verifizierung der Identität nutzt.

Kennwortlos: Eine Revolution der Sicherheit? Die Vorteile.

Die kennwortlose Ära basiert auf dem Prinzip, dass Ihre Identität durch etwas anderes als ein Merkmal – das Kennwort – bestätigt wird. Die gängigsten Methoden sind:

• Biometrie: Fingerabdruckscanner (Touch ID), Gesichtserkennung (Face ID) oder Iris-Scanner. Ihre einzigartigen körperlichen Merkmale werden zur Authentifizierung genutzt.
• Hardware-Sicherheitsschlüssel (FIDO2/Passkeys): Ein physisches Gerät (z.B. ein USB-Stick) oder Ihr Smartphone/Computer selbst erzeugt und speichert kryptografische Schlüsselpaare. Wenn Sie sich anmelden, sendet Ihr Gerät eine kryptografisch signierte Bestätigung an den Dienst, ohne jemals ein Kennwort zu übertragen. Passkeys sind die jüngste und vielversprechendste Entwicklung in diesem Bereich, da sie plattformübergreifend und benutzerfreundlich sein sollen.
• Magic Links/OTP: Ein temporärer Link oder ein Einmalpasswort (OTP) wird per E-Mail oder SMS gesendet. Durch Klicken auf den Link oder Eingabe des Codes wird der Login bestätigt.
• Push-Benachrichtigungen: Eine Benachrichtigung auf einem vertrauenswürdigen Gerät fordert zur Bestätigung des Logins auf.

Die Vorteile von kennwortlosen Systemen sind offensichtlich:

• Eliminierung von Phishing: Da kein Kennwort eingegeben wird, kann auch keines gestohlen werden. Passkeys sind besonders resistent gegen Phishing, da sie an die spezifische Domain gebunden sind.
• Stärkere Sicherheit: Kryptografische Schlüssel sind wesentlich komplexer und sicherer als jedes vom Menschen gewählte Kennwort. Sie sind nicht erratbar und meist gerätegebunden.
• Verbesserte Benutzerfreundlichkeit: Ein Fingertipp oder Blick ersetzt das Eintippen langer Zeichenfolgen.
• Keine Kennwortwiederverwendung: Da es keine Kennwörter gibt, entfällt das Risiko der Wiederverwendung.

Insbesondere Passkeys werden als der Heilige Gral der Authentifizierung gefeiert. Sie basieren auf dem FIDO2-Standard und nutzen asymmetrische Kryptografie, um ein Schlüsselpaar auf Ihrem Gerät zu generieren. Der private Schlüssel verbleibt sicher auf Ihrem Gerät und verlässt es nie, während der öffentliche Schlüssel an den Dienst übermittelt wird. Beim Login muss nur noch die Existenz des privaten Schlüssels auf Ihrem Gerät bestätigt werden, oft durch Biometrie oder eine PIN. Dies macht Passkeys extrem sicher und phishingresistent.

Die Kehrseite der Medaille: Wo kennwortlos an Grenzen stößt.

Trotz der beeindruckenden Vorteile ist auch die kennwortlose Zukunft nicht gänzlich frei von Herausforderungen und potenziellen Schwachstellen. Die Sicherheit hängt stark von der Implementierung und der spezifischen Methode ab. Wo könnten Probleme auftreten?

• Verlust oder Diebstahl des Authentifizierungsgeräts: Was passiert, wenn Ihr Smartphone, Tablet oder Laptop, auf dem Ihre biometrischen Daten oder Passkeys gespeichert sind, verloren geht oder gestohlen wird? Wenn das Gerät unzureichend gesichert ist (z.B. keine Bildschirmsperre, schwache PIN), könnte ein Angreifer Zugriff erhalten.
• Gerätespezifische Malware: Wenn Ihr Gerät mit Malware infiziert ist, die in der Lage ist, biometrische Daten zu umgehen oder Autorisierungsanfragen abzufangen, könnte die Sicherheit untergraben werden.
• Social Engineering: Angreifer könnten Benutzer dazu manipulieren, eine Push-Benachrichtigung zu bestätigen oder einen Magic Link anzuklicken, der sie zu einer bösartigen Seite führt, auch wenn kein Kennwort eingegeben wird. Der menschliche Faktor bleibt eine Schwachstelle.
• Wiederherstellung von Accounts: Die Wiederherstellung eines Accounts ohne Kennwort kann komplex sein. Wenn Sie keinen Zugriff mehr auf Ihre registrierten Geräte haben oder diese verloren gegangen sind, benötigen Sie einen robusten Wiederherstellungsprozess, der selbst sicher sein muss, um nicht zur Achillesferse zu werden.
• Single Point of Failure: Wenn alle Ihre Passkeys auf einem einzigen Gerät gespeichert sind und dieses Gerät beschädigt wird oder nicht mehr funktioniert, könnten Sie den Zugriff auf alle Ihre Online-Dienste verlieren. Obwohl Passkeys über Cloud-Synchronisierung (z.B. iCloud Schlüsselbund, Google Passwortmanager) über mehrere Geräte verteilt werden können, schafft dies neue Abhängigkeiten und potenzielle Angriffsvektoren, wenn die Cloud-Dienste kompromittiert werden.

Diese Punkte zeigen, dass selbst die elegantesten kennwortlosen Lösungen nicht automatisch eine hundertprozentige Immunität gegen alle Arten von Angriffen bieten. Sie verschieben lediglich die Angriffsflächen, statt sie vollständig zu eliminieren.

Die 2-Faktor-Authentifizierung: Der bewährte Wächter im digitalen Zeitalter.

Die 2-Faktor-Authentifizierung (2FA), manchmal auch Multi-Faktor-Authentifizierung (MFA) genannt, hat sich in den letzten Jahren als eine der effektivsten Sicherheitsmaßnahmen etabliert. Ihr Grundprinzip ist einfach, aber genial: Um sich anzumelden, müssen Sie nicht nur einen Nachweis erbringen, sondern zwei voneinander unabhängige Faktoren kombinieren. Diese Faktoren stammen in der Regel aus drei Kategorien:

1. Wissen (Something you know): Ein Kennwort, eine PIN, eine Antwort auf eine Sicherheitsfrage.
2. Besitz (Something you have): Ein Smartphone (für eine Authenticator-App oder SMS-Codes), ein Hardware-Token (z.B. YubiKey), eine Smartcard.
3. Inhärenz (Something you are): Ein biometrisches Merkmal wie Fingerabdruck, Gesichtserkennung, Iris-Scan.

Die Stärke von 2FA liegt darin, dass ein Angreifer beide Faktoren kompromittieren muss, um Zugriff zu erhalten. Selbst wenn er Ihr Kennwort kennt, benötigt er zusätzlich Ihr physisches Gerät oder Ihre biometrischen Daten. Gängige 2FA-Methoden sind:

• Authenticator-Apps: Apps wie Google Authenticator oder Authy generieren zeitbasierte Einmalpasswörter (TOTP).
• Hardware-Sicherheitsschlüssel: Physische Token, die kryptografische Schlüssel verwenden und oft als sicherste 2FA-Methode gelten.
• SMS-Codes: Ein Einmalpasswort wird per SMS an Ihre registrierte Telefonnummer gesendet (obwohl diese Methode als weniger sicher gilt, da SMS anfällig für SIM-Swapping sind).
• E-Mail-Codes: Ein Einmalpasswort wird an Ihre E-Mail-Adresse gesendet (ebenfalls weniger sicher, da E-Mail-Accounts selbst kompromittiert werden können).

Die Implementierung von 2FA hat Millionen von Online-Konten vor unbefugtem Zugriff geschützt, auch wenn die primären Kennwörter gestohlen wurden. Sie ist eine bewährte Verteidigungslinie und hat ihre Relevanz in einer zunehmend bedrohlichen Cyberlandschaft unter Beweis gestellt.

Kennwortlos UND 2FA: Eine Symbiose für maximale Sicherheit?

Hier kommen wir zum Kern der Frage: Schließen sich kennwortlose Authentifizierung und 2FA gegenseitig aus, oder können sie Hand in Hand gehen? Die Antwort ist komplex, aber im Wesentlichen: Sie können und sollten sich ergänzen. Tatsächlich sind viele der fortschrittlichsten kennwortlosen Methoden bereits von Natur aus Multi-Faktor-Authentifizierung.

Betrachten wir beispielsweise Passkeys in Kombination mit Biometrie auf Ihrem Smartphone. Dies ist im Grunde genommen eine 2FA:

• Faktor 1 (Besitz): Ihr physisches Smartphone (etwas, das Sie haben).
• Faktor 2 (Inhärenz): Ihr Fingerabdruck oder Gesichtsscan zur Entsperrung des Passkeys (etwas, das Sie sind).

In diesem Szenario ist die Passkey-Authentifizierung bereits stark und multi-faktoriell. Ein Angreifer müsste sowohl Ihr Gerät stehlen als auch Ihre Biometrie überwinden, was extrem schwierig ist. Für die meisten Benutzer und Anwendungen bietet dies ein ausgezeichnetes Sicherheitsniveau, das die traditionelle Kennwort-plus-2FA-Kombination in vielen Aspekten übertrifft.

Doch es gibt weiterhin Szenarien, in denen eine zusätzliche, *separate* 2FA-Ebene oder die Anwendung von 2FA in spezifischen Kontexten absolut sinnvoll bleibt:

1. Robuste Account-Wiederherstellung: Wenn Sie den Zugriff auf alle Ihre Passkey-fähigen Geräte verlieren, ist ein sicherer Wiederherstellungsprozess entscheidend. Hier kann ein Hardware-Sicherheitsschlüssel, der an einem sicheren Ort aufbewahrt wird, oder ein Satz von Wiederherstellungscodes, die durch eine separate 2FA-Methode geschützt sind, eine unverzichtbare Rückfalloption sein.
2. Kennwortlose Methoden ohne inhärente 2FA: Nicht alle kennwortlosen Methoden sind per se multi-faktoriell. Ein einfacher Magic Link, der per E-Mail gesendet wird, ist im Grunde ein Einzelfaktor (Zugriff auf die E-Mail). Eine zusätzliche Bestätigung über eine Authenticator-App auf einem separaten Gerät würde die Sicherheit hier deutlich erhöhen.
3. Ultimative Sicherheit für Hochrisikokonten: Für extrem sensible Konten (z.B. Bankkonten, Krypto-Wallets, hochrangige Geschäfts-E-Mails) könnte eine „Verstärkung” der bereits multi-faktoriellen Passkey-Authentifizierung durch einen *dritten, unabhängigen Faktor* in Betracht gezogen werden. Stellen Sie sich vor, der Passkey auf Ihrem Gerät ist Faktor 1 & 2 (Besitz + Inhärenz), und ein zusätzlicher Hardware-Sicherheitsschlüssel, der physisch an einem anderen Ort liegt, dient als Faktor 3 (weiterer Besitz). Dies wäre eine Art „2FA on top of 2FA”.
4. Schutz vor fortgeschrittenen Angriffen auf das Gerät: Obwohl selten, könnten ausgeklügelte Malware-Angriffe theoretisch versuchen, die biometrische Sperre eines Geräts zu umgehen, um Passkeys zu missbrauchen. Ein völlig unabhängiger zweiter Faktor (z.B. ein Hardware-Token) würde in solchen extremen Szenarien einen zusätzlichen Schutz bieten.

Es geht also nicht darum, ob kennwortlos *oder* 2FA, sondern darum, wie wir die Stärken beider Ansätze kombinieren können, um die bestmögliche Defense-in-Depth-Strategie zu entwickeln.

Wann ist 2FA *immer noch* unverzichtbar?

Die 2-Faktor-Authentifizierung bleibt für bestimmte Szenarien und Benutzergruppen von entscheidender Bedeutung:

• Für alle Konten, die noch kennwortbasiert sind: Solange nicht alle Dienste auf kennwortlose Authentifizierung umgestellt sind, ist 2FA die absolute Mindestanforderung für Kennwort-basierte Logins.
• Für die Account-Wiederherstellung: Wie bereits erwähnt, ist ein robuster und gesicherter Wiederherstellungsprozess ohne Kennwort essenziell. 2FA (z.B. über spezielle Wiederherstellungscodes oder einen separaten Hardware-Token) kann hier die letzte Verteidigungslinie sein.
• Für weniger robuste kennwortlose Methoden: Wenn ein Dienst eine kennwortlose Methode anbietet, die nicht von Haus aus multi-faktoriell ist (z.B. reine E-Mail-Links oder einfache Push-Benachrichtigungen ohne Biometrie-Bestätigung), sollte 2FA unbedingt als zusätzliche Schicht aktiviert werden.
• In Unternehmensumgebungen mit hohen Sicherheitsanforderungen: Organisationen, die sensible Daten verwalten oder Compliance-Vorgaben erfüllen müssen, profitieren von zusätzlichen Sicherheitslagen, auch wenn bereits kennwortlose Systeme im Einsatz sind. Hier können zusätzliche, unabhängige Faktoren die Risiken weiter minimieren.
• Als Fallback-Lösung: Sollte die primäre kennwortlose Methode einmal nicht funktionieren (z.B. das Smartphone ist leer, Biometrie-Sensor defekt), kann eine alternative 2FA-Methode den Zugriff sichern.

Fazit: Die Zukunft ist kennwortlos – aber nicht unbedingt „ein-faktor-los”.

Die kennwortlose Authentifizierung ist zweifellos ein Meilenstein in der Cybersicherheit. Sie bietet ein enormes Potenzial, die Benutzerfreundlichkeit zu erhöhen und viele der klassischen Angriffsvektoren, die auf Kennwörtern basieren, auszumerzen. Insbesondere Passkeys, die auf offenen Standards wie FIDO basieren, stellen eine enorme Verbesserung dar und sind oft bereits von Grund auf multi-faktoriell.

Doch die Vorstellung, dass „kennwortlos” automatisch „ein-Faktor-los” bedeutet oder dass wir überhaupt keine zusätzlichen Sicherheitsvorkehrungen mehr benötigen, wäre naiv. Die Diskussion sollte sich vielmehr darauf konzentrieren, wie wir ein optimales Zusammenspiel verschiedener Authentifizierungsfaktoren erreichen. Für viele Dienste ist die in Passkeys integrierte Multi-Faktor-Authentifizierung (z.B. Gerät + Biometrie/PIN) absolut ausreichend und sogar überlegen.

Aber für die höchste Sicherheit, für die Absicherung von Wiederherstellungsprozessen oder in Fällen, in denen die kennwortlose Methode selbst nicht stark genug ist, bleibt die 2-Faktor-Authentifizierung in ihrer breiteren Definition (als die Anforderung von *zwei oder mehr unterschiedlichen, unabhängigen Faktoren*) weiterhin ein unverzichtbarer Baustein unserer digitalen Verteidigung. Die Devise lautet: Embrace kennwortlos, aber denken Sie immer in mehreren Schichten. Denn im Kampf gegen Cyberkriminalität ist „mehr” oft „sicherer”. Nutzen Sie daher weiterhin alle verfügbaren Möglichkeiten, um Ihre digitalen Identitäten zu schützen.