Passwortmanager plus 2FA: Was das BSI Verbrauchern empfiehlt

Passwortmanager plus Zwei-Faktor-Authentisierung ist die wichtigste Kombination für sichere Online-Konten, weil starke Passwörter allein bei Phishing, Datenlecks oder Wiederverwendung nicht reichen. Das BSI empfiehlt Verbrauchern Passwortmanager zur sicheren Verwaltung vieler Zugangsdaten und zusätzlich 2FA, damit Angreifer mit einem gestohlenen Passwort nicht sofort ins Konto kommen.

Für Nutzer von Software ist das ein praktischer Ratgeber, weil fast jeder Alltag aus Logins besteht: E-Mail, Online-Banking, Shopping, Streaming, Social Media, Cloudspeicher und Arbeitskonten. Ein Passwortmanager hilft bei langen, einzigartigen Passwörtern. Zwei-Faktor-Authentisierung schützt den Login zusätzlich mit einem zweiten Nachweis.

Der wichtigste Punkt: Ein Passwortmanager ersetzt 2FA nicht. 2FA ersetzt auch keinen Passwortmanager. Beide Werkzeuge lösen unterschiedliche Probleme. Der Passwortmanager verhindert schwache und mehrfach genutzte Passwörter. 2FA senkt das Risiko, falls ein Passwort trotzdem abgefangen, erraten oder durch ein Datenleck bekannt wird.

Besonders wichtig sind E-Mail-Konten. Wer Zugriff auf das Hauptpostfach verliert, verliert oft auch die Möglichkeit zur Wiederherstellung anderer Konten. Viele Dienste senden Passwort-Reset-Links per E-Mail. Ein kompromittiertes Postfach kann deshalb zum Generalschlüssel werden.

Passkeys werden als weitere Login-Alternative wichtiger. Google Passkeys auf Android zeigen bereits, wie Logins ohne klassisches Passwort funktionieren können. Trotzdem bleiben Passwortmanager und 2FA für viele Konten unverzichtbar, weil längst nicht jeder Dienst Passkeys sauber unterstützt.

Warum Passwortmanager und 2FA zusammengehören

Ein Passwortmanager speichert Zugangsdaten verschlüsselt in einem Tresor. Nutzer müssen sich nur noch das Master-Passwort merken. Gute Passwortmanager erzeugen lange, zufällige Passwörter und füllen sie nur auf der passenden Website ein. Das schützt besser als einfache Merksätze, wiederverwendete Passwörter oder unverschlüsselte Listen.

2FA fügt einen zweiten Faktor hinzu. Nach Benutzername und Passwort folgt ein zusätzlicher Schritt, etwa ein Code aus einer Authenticator-App, eine Bestätigung per Hardware-Sicherheitsschlüssel oder ein biometrisch geschützter Passkey. Das Konto hängt dann nicht mehr allein am Passwort.

SchutzmaßnahmeWas sie verhindertWas sie nicht löst
Passwortmanagerwiederverwendete und schwache PasswörterGerätesicherheit und 2FA
Starkes Master-Passworteinfachen Zugriff auf den Tresorvergessenen Tresorschlüssel
2FA per Authenticator-AppLogin nur mit gestohlenem PasswortMalware auf dem Gerät
2FA per Hardware-Tokenviele Phishing- und Übernahmeversucheverlorenen Sicherheitsschlüssel
SMS-CodeZugriff ohne zweiten FaktorSIM-Swap und abgefangene SMS
Passkeyklassische Passwort-Phishing-Angriffefehlende Unterstützung bei manchen Diensten
Backup-CodesAussperren bei Geräteverlustunsichere Aufbewahrung
Geräte-PINZugriff auf entsperrte Geräteschwache Kontopasswörter

Für normale Nutzer ergibt sich eine klare Reihenfolge:

  • Passwortmanager auswählen: Verschlüsselung, Updates, Anbietertransparenz und einfache Nutzung prüfen.
  • Master-Passwort festlegen: Lang, einzigartig und nirgendwo sonst verwenden.
  • 2FA für den Passwortmanager aktivieren: Der Tresor ist das wichtigste Konto.
  • E-Mail zuerst absichern: Das Postfach schützt viele andere Konten indirekt.
  • Banking und Bezahldienste prüfen: PayPal, Klarna, Broker und Shopping-Konten brauchen zusätzlichen Schutz.
  • Backup-Codes sichern: Ohne Wiederherstellung kann 2FA zum Aussperrproblem werden.

Der größte Fehler ist Passwort-Wiederverwendung. Ein Passwort für mehrere Dienste wirkt bequem, macht Datenlecks aber gefährlich. Wird ein Passwort bei einem Shop bekannt, testen Angreifer es oft bei E-Mail, sozialen Netzwerken, Streamingdiensten und Zahlungsdiensten. Ein Passwortmanager verhindert genau dieses Muster, weil jedes Konto ein eigenes Passwort bekommt.

Der zweite große Fehler ist ein ungeschützter Passwortmanager. Wer alle Passwörter in einem Tresor sammelt, muss diesen Tresor besonders gut schützen. Das Master-Passwort sollte nicht kurz, nicht wiederverwendet und nicht in einer Cloud-Notiz gespeichert sein. Zusätzlich gehört 2FA auf den Passwortmanager selbst.

Welcher zweite Faktor für welche Konten sinnvoll ist

Nicht jede 2FA-Methode ist gleich stark. SMS und E-Mail-Codes sind besser als kein zweiter Faktor. Authenticator-Apps, Hardware-Sicherheitsschlüssel und Passkeys sind für viele Nutzer aber die bessere Wahl. Der Grund ist einfach: SMS kann durch SIM-Swap, Rufnummernübernahme oder Mobilfunkprobleme angreifbarer sein. E-Mail-Codes hängen an genau dem Postfach, das oft selbst geschützt werden muss.

2FA-MethodeEinschätzungGeeignet für
Authenticator-Appguter Standard für viele KontenE-Mail, Social Media, Shopping, Passwortmanager
Hardware-Sicherheitsschlüsselsehr stark, aber zusätzlicher Gegenstand nötigPasswortmanager, Google, Microsoft, Admin-Konten
Passkeysehr bequem und phishingresistenterunterstützte Google-, Apple-, Microsoft- und Shop-Konten
SMS-Codebesser als kein 2FA, aber schwächerÜbergangslösung
E-Mail-Codebesser als kein 2FA, aber vom E-Mail-Schutz abhängignur wenn keine bessere Methode verfügbar ist
Biometrische Freigabebequem, aber geräteabhängigSmartphone und Laptop
Push-Bestätigungbequem, aber auf Push-Betrug achtenbekannte Geräte und Dienste
Einmalige Backup-Codeswichtig für Notfällesicher offline verwahren

Für Verbraucher reicht oft eine einfache Priorisierung. Nicht jedes Konto muss am ersten Tag perfekt abgesichert werden. Zuerst kommen Konten mit hoher Schadenswirkung. Danach folgen Komfortkonten.

KontotypPrioritätEmpfohlene Absicherung
Haupt-E-Mailsehr hochstarkes Passwort plus 2FA oder Passkey
Passwortmanagersehr hochstarkes Master-Passwort plus 2FA
Online-Bankingsehr hochBankverfahren aktiv halten
Bezahldienstesehr hoch2FA und Login-Benachrichtigungen
Apple-, Google- oder Microsoft-KontohochPasskey oder Authenticator-App
Social Mediahoch2FA gegen Kontoübernahme
Shopping-Kontenmitteleigenes Passwort, 2FA bei Zahlungsdaten
Streamingdienstemitteleigenes Passwort
Foren und alte Kontenabhängig vom Inhaltlöschen oder Passwort erneuern

Beim Google-Konto können gefährdete Nutzer zusätzliche Schutzschichten nutzen. Android Advanced Protection geht über normale 2FA hinaus und richtet sich an Nutzer mit erhöhtem Risiko, etwa Journalisten, Aktivisten, Politiker oder Personen mit vielen sensiblen Kontodaten. Für die meisten Verbraucher reicht zunächst ein starkes Passwort, Passkey oder Authenticator-App und aktuelle Wiederherstellungsdaten.

Wichtig ist auch die Wiederherstellung. 2FA schützt nur dann gut, wenn Nutzer bei Geräteverlust nicht ausgesperrt werden. Backup-Codes sollten ausgedruckt oder in einem sicheren Offline-Ort liegen. Sie gehören nicht unverschlüsselt in dieselbe Notiz-App, die auf dem verlorenen Smartphone liegt.

  • Backup-Codes ausdrucken: In einem verschlossenen Ordner oder Tresor aufbewahren.
  • Zweites Gerät prüfen: Authenticator-App oder Passkey nach Möglichkeit redundant einrichten.
  • Wiederherstellungs-E-Mail aktualisieren: Alte Adressen entfernen.
  • Telefonnummer aktuell halten: Nur als Wiederherstellungsweg, nicht als einzige Sicherheit.
  • Notfallkontakt planen: Besonders bei Familienkonten und digitalem Nachlass.

So stellen Verbraucher ihren Passwortmanager sicher ein

Ein guter Passwortmanager muss nicht der teuerste Anbieter sein. Entscheidend sind sichere Verschlüsselung, regelmäßige Updates, verständliche Datenschutzangaben, 2FA für den Tresor, Exportmöglichkeit und eine einfache Bedienung. Ein Werkzeug hilft nur, wenn es im Alltag wirklich genutzt wird.

PrüfpunktGute UmsetzungWarnsignal
Master-Passwortlang, einzigartig, gut merkbarkurz oder wiederverwendet
Verschlüsselungtransparent beschriebenunklare Technik
2FA für den TresorAuthenticator, Passkey oder Hardware-Tokenkeine 2FA verfügbar
Geräte-SyncEnde-zu-Ende-verschlüsseltDaten nur schwach geschützt
Exportverschlüsselter Export möglichkein Backup möglich
Phishing-WarnungURL-Abgleich beim Ausfüllenfüllt auf falschen Seiten aus
Passwortgeneratorlange Zufallspasswörtererzeugt kurze Passwörter
AnbieterhistorieSicherheitsvorfälle offen dokumentiertschlechte Kommunikation bei Vorfällen
Notfallzugriffklar geregeltHintertür ohne klare Kontrolle

Lokale Passwortmanager und Cloud-Passwortmanager haben unterschiedliche Stärken. Lokale Tresore geben mehr Kontrolle, brauchen aber eigene Backups und manuellen Abgleich zwischen Geräten. Cloudbasierte Tresore sind bequemer, setzen aber Vertrauen in Anbieter, Verschlüsselung und Kontoschutz voraus.

VarianteVorteilNachteil
Lokaler PasswortmanagerDaten bleiben stärker beim NutzerBackup und Sync selbst lösen
Cloud-Passwortmanagerbequem auf mehreren GerätenAnbieter und Kontoschutz entscheidend
Browser-Passwortspeichersofort verfügbarBrowser ist großes Angriffsziel
Papierlistenicht per Malware aus Cloud geleaktschwer aktuell zu halten
Unverschlüsselte Textdateitechnisch einfachsehr riskant bei Geräteverlust oder Malware
Passkeysphishingresistenter bei guter Umsetzungnicht überall verfügbar
Single Sign-onweniger EinzelkontenAnbieter sieht mehr Login-Verhalten
Passwort im Kopfkein gespeicherter Tresorführt oft zu Wiederverwendung

Die Migration sollte kontrolliert laufen. Nutzer sollten nicht an einem Abend alle Passwörter ändern und danach die Wiederherstellung vergessen. Besser ist ein stufenweiser Plan: E-Mail, Passwortmanager, Banking, Google oder Apple, Microsoft, Bezahldienste, Social Media, Shopping, danach alte Konten.

Für kompromittierte Systeme gilt ein anderer Ablauf. Wenn ein PC oder Smartphone mit Malware infiziert ist, reicht ein Passwortwechsel auf demselben Gerät nicht. Erst Gerät prüfen, Updates installieren und Schadsoftware entfernen. Danach Passwörter ändern und 2FA neu setzen. Bei größeren Sicherheitsvorfällen kann auch eine Passwortrotation nötig werden. Die Fortinet-Welle mit dem Hinweis auf Passwortrotation zeigt, wie wichtig neue Zugangsdaten nach kompromittierten Systemen werden können.

Eine gute Start-Checkliste sieht so aus:

  • Tag 1: Passwortmanager installieren und Master-Passwort festlegen.
  • Tag 1: 2FA für den Passwortmanager aktivieren.
  • Tag 2: Haupt-E-Mail mit neuem Passwort und 2FA absichern.
  • Tag 3: Banking, Bezahldienste und Shopping-Konten prüfen.
  • Woche 1: Social-Media-Konten und Cloudspeicher absichern.
  • Woche 2: Alte Konten löschen oder mit neuen Passwörtern versehen.
  • Monatlich: Sicherheitswarnungen im Passwortmanager prüfen.

Der beste aktuelle Stand lautet: Passwortmanager und 2FA gehören zusammen. Verbraucher sollten für jedes Konto ein eigenes starkes Passwort nutzen, den Passwortmanager mit einem starken Master-Passwort und 2FA absichern und besonders E-Mail, Banking, Bezahldienste, Social Media und zentrale Plattformkonten priorisieren. SMS- und E-Mail-Codes sind besser als kein zweiter Faktor. Authenticator-Apps, Hardware-Token und Passkeys sind für wichtige Konten die bessere Wahl.