Passwörter stellten nur eine von mehreren Möglichkeiten einer Authentisierung für Nutzer dar, bestätigt Niels Räth vom BSI. Einen bestimmten Gegenstand wie eine Transaktions-(Tan-)Liste oder ein Smartphone zu nutzen, sei ebenso möglich wie der Nachweis eines biometrischen Merkmals, beispielsweise eines Fingerabdrucks. Würden diese Verfahren kombiniert, spreche man von Drei-Faktor-Authentisierung. Mehrere Faktoren erhöhten die Sicherheit erheblich, so Räth. Der Aufwand, den Unbefugte beim Angriff auf das entsprechende Konto treiben müssten, sei dadurch viel größer als bei einem einfachen Passwort.

Beim Online-Banking wird zur Bestätigung einer Überweisung meist eine Tan-Nummer abgefragt, auf die ausschließlich der Kontoinhaber Zugang haben soll. Die Nummer ist kurzzeitig und nur einmalig gültig. Sie wird meist über eine entsprechende Smartphone-App oder einen speziellen Tan-Generator erzeugt. Wie der Branchenverband Bitkom berichtet, sollen Tan-Listen auf Papier ab dem 14. September EU-weit nicht mehr genutzt und komplett durch die digitale Zwei-Faktor-Authentisierung ersetzt werden.

Harald Kelter vom BSI rät Nutzern, vor allem beim Zugriff auf sensible Daten eine Zwei-Faktor-Authentisierung einzurichten, beispielsweise bei Unterlagen zu Gesundheit und Finanzen. Bezahlvorgänge bei Online-Käufen müssten – vor allem bei kleineren Geldbeträgen – nicht immer separat abgesichert werden, so Kelter.

Allerdings sei auch die Zwei-Faktor-Authentisierung keine absolute Sicherheitsgarantie. Gebe man etwa auf einer betrügerischen Webseite die eigenen Anmeldedaten ein, könne auch ein besonders abgesichertes Verfahren nicht helfen, betont Kelter.

Bei sozialen Netzwerken wie Facebook oder Twitter müssten Nutzer die Zwei-Faktor-Authentisierung meist zunächst in den Kontoeinstellungen einrichten, erklärt Andreas Weck vom Fachmagazin t3n. Der zweite Code werde hier in der Regel nur abgefragt, wenn ein Nutzer sich von einem neuen Gerät oder Internetbrowser anmelden wolle – bei der regelmäßigen Anmeldung am Computer zu Hause reiche also das Passwort aus.

Im Gegensatz zu diesen Plattformen, die den Nutzer zwischen SMS-Code oder einer Smartphone-App auswählen ließen, beschränke sich der Bezahl-Dienst Paypal auf die Verifizierung per SMS, so Weck. Hier verberge sich die Zwei-Faktor-Authentisierung hinter dem Begriff Sicherheitsschlüssel, unterscheide sich aber sonst kaum von dem Sicherheitsprinzip anderer Anbieter.

Biometrische Merkmale können inzwischen von den meisten neueren Smartphones überprüft werden. Ein solche Eigenschaft könne ein Fingerabdruck, die Regenbogenhaut des Auges (Iris), die Gesichtszüge oder auch die Stimme des Nutzers sein, so die Landesbeauftragte für den Datenschutz Niedersachsen, Barbara Thiel. Diese Merkmale seien zwar individuell, das schütze aber nicht vor Missbrauch, betont Chris Wojzechowski vom Institut für Internet-Sicherheit in Gelsenkirchen: „Seine Fingerabdrücke hinterlässt man überall. Smartphones sind praktisch damit übersät und bringen den Schlüssel zum Schloss schon mit.“

Auch die Überprüfung der Iris bietet keine absolute Sicherheit. Das geht aus einem Test des Chaos Computer Clubs (CCC) hervor. Um ein Smartphone mit Iris-Scan zu überlisten, druckten die Technik-Experten ein Foto des entsprechenden Auges aus, legten anschließend, um die Form des Auges nachzubilden, eine Kontaktlinse darüber und konnten so auf das Gerät zugreifen. In Zeiten sozialer Medien sei ein solches Foto leicht zu besorgen, warnt Jan Krissler vom CCC. Um den sicheren Zugang zum Smartphone zu gewährleisten, empfiehlt deshalb Dirk Engling, Sprecher des CCC, hier besser auf altbewährte Methoden wie einen Pin-Code oder ein Passwort zurückzugreifen.