Die 2-Faktor-Authentifizierung, kurz 2FA, ist ein Login-Verfahren, das neben Benutzername und Passwort einen zweiten Faktor verlangt. Üblich sind Einmal-Codes aus Apps wie Google Authenticator, Microsoft Authenticator oder Authy, Push-Bestätigungen, Hardware-Tokens nach FIDO2-Standard oder per SMS verschickte Codes.
Die Logik dahinter folgt dem Prinzip „etwas, das du weißt" (Passwort) plus „etwas, das du hast" (Token oder Smartphone). Selbst wenn ein Angreifer durch Phishing oder Datenlecks an das Passwort kommt, fehlt ihm der zweite Faktor. Damit verhindert 2FA in der Praxis einen Großteil aller Account-Übernahmen. SMS-Codes gelten dabei als schwächster Faktor, weil sie über SIM-Swapping abgegriffen werden können. App-basierte Codes oder Hardware-Schlüssel sind deutlich robuster.
Für Unternehmen ist 2FA heute Standard, in vielen regulierten Branchen Pflicht. Sinnvoll ist die Verpflichtung für alle administrativen Konten, alle Cloud-Dienste mit Zugriff auf Kundendaten und alle Mitarbeitenden mit Zugang zu finanziellen Workflows. Identity-Provider wie Microsoft Entra ID, Okta oder Google Workspace setzen die Pflicht zentral durch und kombinieren 2FA mit Conditional-Access-Regeln.