Zwei-Faktor-Authentifizierung macht Deine Konten spürbar sicherer. Genau diese Sicherheit kippt jedoch in dem Moment, in dem das Smartphone verloren geht, im Klo landet oder gestohlen wird. Der zweite Faktor sitzt nämlich fast immer auf genau diesem Gerät.
Dann hilft nur noch eine Handvoll Zeichen, die fast niemand griffbereit hat: die Wiederherstellungscodes. Sie sind die Versicherung, die jeder Dienst beim Einrichten von 2FA anbietet und die kaum jemand wirklich abspeichert. Erfreulich ist, dass Du dieses Versäumnis in zehn Minuten nachholst.
Warum 2FA Dich aussperren kann
Beim Anmelden mit aktivierter Zwei-Faktor-Authentifizierung tippst Du Dein Passwort ein und bestätigst danach einen zweiten Faktor. Meistens ist das ein Code aus einer Authenticator-App, eine SMS oder eine Push-Bestätigung. Alle drei Varianten hängen am Smartphone.
Fällt das Gerät aus, fehlt Dir der zweite Faktor. Das Passwort allein reicht nicht mehr, und der Dienst lässt Dich konsequent nicht hinein. Genau das ist ja der Sinn von 2FA, nur trifft es Dich diesmal selbst.
Die Grundlagen dazu findest Du im ausführlichen Beitrag zur Zwei-Faktor-Authentifizierung. Hier geht es um den Notausgang, wenn der zweite Faktor plötzlich weg ist.
Was Wiederherstellungscodes sind
Beim Einrichten von 2FA zeigt Dir fast jeder Dienst eine Liste mit acht bis zehn einmalig nutzbaren Codes. Google, Microsoft, GitHub, Dropbox, viele Banken und Social-Media-Plattformen handhaben das gleich. Jeder Code öffnet einmal das Konto, danach ist er verbraucht.
Diese Codes ersetzen im Notfall den zweiten Faktor. Mit ihnen kommst Du auch dann hinein, wenn das Smartphone fehlt, der Authenticator gelöscht wurde oder die SMS nicht ankommt. Sie sind bewusst so gebaut, dass sie unabhängig vom Gerät funktionieren.
Der Haken liegt im Zeitpunkt. Die Codes erscheinen ein einziges Mal, direkt beim Aktivieren, und werden danach selten wieder eingeblendet. Wer sie in diesem Moment wegklickt, steht im Ernstfall mit leeren Händen da.
Vor dem Ernstfall sichern, nicht danach
Wiederherstellungscodes lassen sich nur abgreifen, solange Du noch Zugang zum Konto hast. Ist der zweite Faktor erst verloren und die Codes nie gespeichert, gibt es kein bequemes Hintertürchen mehr. Dann bleibt nur der oft langwierige Support-Weg des jeweiligen Dienstes.
Darum gehört das Sichern direkt zum Einrichten von 2FA, nicht in eine vage Zukunft. Plane beim Aktivieren zwei zusätzliche Minuten ein, in denen Du die Codes wegschreibst, bevor Du das Fenster schließt.
Hast Du 2FA bereits aktiv, ohne die Codes je gespeichert zu haben, kein Drama. In den Sicherheitseinstellungen der meisten Dienste lassen sich neue Codes erzeugen. Die alten verfallen dabei, der frische Satz ist Dein aktueller Notausgang.
Sicher aufbewahren heißt offline
Wiederherstellungscodes sind so mächtig wie ein Generalschlüssel. Wer sie hat, umgeht Deinen zweiten Faktor. Deshalb gehören sie nicht in eine offene Notizen-App, nicht ins E-Mail-Postfach und nicht als Foto in die Cloud-Galerie, die selbst wieder per 2FA geschützt sein will.
Bewährt haben sich drei Wege, die ohne Smartphone-Abhängigkeit auskommen:
- Ausgedruckt im Ordner: Codes ausdrucken und zu den wichtigen Unterlagen legen, idealerweise dort, wo auch andere Notfall-Dokumente liegen.
- Im Passwortmanager: Ein guter Passwortmanager speichert die Codes verschlüsselt im jeweiligen Eintrag. Voraussetzung ist, dass Du an den Manager auch ohne das verlorene Handy herankommst.
- Im Tresor oder Safe: Für besonders kritische Konten wie E-Mail oder Bank lohnt sich die physische Aufbewahrung an einem abschließbaren Ort.
Das E-Mail-Postfach verdient dabei Sonderbehandlung. Über die Passwort-vergessen-Funktion hängt fast jeder andere Dienst daran. Sperrst Du Dich aus Deiner Mailadresse aus, fällt im schlimmsten Fall eine ganze Kette von Konten mit.
Ersatzwege je Dienst kennen
Wiederherstellungscodes sind der direkteste Notausgang, aber nicht der einzige. Viele Dienste erlauben mehrere zweite Faktoren parallel, und genau das ist Deine zweite Sicherheitsleine. Lege beim Einrichten ruhig mehr als eine Methode an.
Sinnvoll kombinieren lassen sich etwa diese Bausteine:
- Zweites Gerät: Ein Tablet oder ein altes Smartphone mit derselben Authenticator-App liefert dieselben Codes wie das Hauptgerät.
- Hardware-Sicherheitsschlüssel: Ein kleiner USB- oder NFC-Schlüssel funktioniert unabhängig vom Handy und übersteht dessen Verlust problemlos.
- Hinterlegte Telefonnummer: Als Rückfall-Option besser als nichts, auch wenn SMS der schwächste der zweiten Faktoren bleibt.
Schau bei Deinen wichtigsten Konten einmal in die Sicherheitseinstellungen und prüfe, welche Ersatzwege überhaupt aktiv sind. Was Du heute hinterlegst, erspart Dir im Ernstfall den Gang über den Support.
Authenticator-App migrieren statt verlieren
Ein Gerätewechsel ist der unterschätzte Klassiker, an dem 2FA-Zugänge verloren gehen. Wer das alte Handy verkauft oder zurücksetzt, ohne die Authenticator-App umzuziehen, löscht damit auch alle zweiten Faktoren darin.
Die meisten Apps bieten heute eine Export- oder Übertragungsfunktion. Beim Google Authenticator wandern die Einträge per QR-Code aufs neue Gerät, andere Apps synchronisieren über ein verschlüsseltes Konto. Wichtig ist, diesen Umzug zu erledigen, solange das alte Gerät noch funktioniert.
Plane den Wechsel deshalb bewusst, bevor Du das alte Smartphone aus der Hand gibst. Und auch wenn die Migration sauber läuft, bleiben die Wiederherstellungscodes Deine letzte Rückfallebene, falls beim Übertragen doch etwas hakt.
Fazit
2FA ist eine der wirksamsten Schutzmaßnahmen für Deine Konten, und die Wiederherstellungscodes sind der Teil davon, der über den Ernstfall entscheidet. Sicherst Du sie beim Einrichten offline und legst zusätzlich einen zweiten Faktor an, bleibt der Verlust des Handys ein Ärgernis statt einer Katastrophe.
Nimm Dir die zehn Minuten für Deine wichtigsten Konten, allen voran E-Mail und Bank. Wer hier vorsorgt, behandelt seine Codes so selbstverständlich wie den Ersatzschlüssel für die Wohnungstür. Falls doch einmal mehr schiefgeht, hilft Dir der Leitfaden für den Ernstfall am eigenen Konto beim ruhigen Vorgehen.