Die 10 besten Lösungen für Multi-Faktor-Authentifizierung (MFA).
Die Multi-Faktor-Authentifizierung (MFA) stellt sicher, dass nur autorisierte Nutzer auf Konten, sensible Daten oder Apps zugreifen können. Basierend auf Produktschwerpunkten, Funktionen und Nutzererfahrungen, die auf Bewertungsplattformen geteilt wurden, sind hier die führenden kommerziellen und kostenlosen MFA-Lösungen:
Marktpräsenz
Anpassungsfähigkeit der MFA
Lösungen mit:
- MFA für VPNs: Bietet MFA-Abdeckung für VPN-Verbindungen zu Netzwerkressourcen der Organisation.
- Offline-MFA: Aktiviert MFA für Offline-Anmeldungen.
Alle Lösungen in dieser Liste unterstützen die FIDO2-Authentifizierung , einen offenen Authentifizierungsstandard, der Public-Key-Kryptografie nutzt, um eine phishingresistente, passwortlose Authentifizierung zu ermöglichen. FIDO2-basierte Faktoren sind von Grund auf resistent gegen Phishing- und Man-in-the-Middle-Angriffe (MITM), im Gegensatz zu SMS-OTPs, die weiterhin anfällig für SIM-Swapping und Abfangen sind.
Funktionen für Unternehmen
Lösungen mit:
- Genehmigungsbasierter Workflow für Self-Service: Leitet Self-Service-Aktionen (z. B. Passwortzurücksetzung) zur Genehmigung an den Helpdesk weiter, bevor sie ausgeführt werden.
- Bedingter Zugriff: Automatisiert Zugriffskontrollentscheidungen auf Basis von Parametern wie IP-Adresse, Gerätezustand, Geschäftszeiten und Geolokalisierung.
- Mitarbeitersuche: Bietet Endbenutzern eine Suchfunktion, um die Verzeichnisprofilinformationen von Kollegen zu finden.
Die 10 besten MFA-Lösungen im Test
Eine Identität
One Identity bietet Multi-Faktor-Authentifizierung (MFA) über zwei komplementäre Produkte: OneLogin MFA für Mitarbeiter- und Kundenidentitäten und One Identity Defender für lokale und hybride Active Directory-Umgebungen. Beide sind in eine umfassendere Identitätsplattform integriert, die auch PAM (Safeguard) und Identity Governance (Identity Manager) abdeckt.
OneLogin MFA unterstützt OTP, SMS, E-Mail, Biometrie, Push-Benachrichtigungen und Hardware-Token. SmartFactor Authentication nutzt die KI-gestützte Bedrohungsanalyse Vigilance von One Identity, um Risiken zu bewerten und Authentifizierungsanforderungen dynamisch anzuwenden. So wird die Benutzerfreundlichkeit bei Anmeldungen mit geringem Risiko reduziert, während bei erhöhtem Risiko strengere Kontrollen durchgesetzt werden. Kontextbezogene Richtlinien können basierend auf IP-Adresse, Gerätestatus, Standort oder Tageszeit eine zusätzliche Authentifizierung auslösen.
One Identity Defender erweitert die Multi-Faktor-Authentifizierung (MFA) auf lokale Active Directory-Umgebungen und deckt Windows-Desktop-Anmeldung, VPN, RDP und SSH ab. Damit wird eine Lücke geschlossen, die Cloud-basierte MFA-Lösungen für Unternehmen mit umfangreicher lokaler Infrastruktur oder isolierten Systemen hinterlassen. Defender integriert sich in One Identity Safeguard, um den Zugriff auf privilegierte Sitzungen direkt per MFA zu steuern.
Was gut funktioniert
SmartFactor Authentication bietet ein ausgewogenes Verhältnis zwischen Sicherheit und Benutzerfreundlichkeit. Anmeldungen mit hohem Vertrauensniveau erfolgen reibungsloser, während in risikoreicheren Kontexten zusätzliche Verifizierungsschritte erforderlich sind. Desktop-to-Cloud-SSO schafft einen durchgängigen Authentifizierungsablauf von der Windows-Anmeldung bis zum Zugriff auf Cloud-Anwendungen.
Defender adressiert On-Premises- und Hybrid-Szenarien, die von reinen Cloud-Produkten nicht abgedeckt werden können, wodurch das kombinierte Angebot für Organisationen relevant wird, die nicht vollständig auf Cloud-Identität umsteigen können.
Die Unterstützung von FIDO2 und WebAuthn in beiden Produkten ermöglicht eine phishingresistente, passwortlose Authentifizierung.
Was muss verbessert werden?
Das Portfolio von One Identity umfasst mehrere Produkte (OneLogin, Defender, Safeguard, Identity Manager), die teilweise durch Akquisitionen zusammengeführt wurden. Die Implementierung des gesamten Stacks kann eine komplexe Integration zwischen älteren Defender-Komponenten und den neueren Cloud-nativen OneLogin-Funktionen erfordern.
Die Preise werden nicht öffentlich angeboten; Organisationen müssen den Vertrieb einschalten, um den Lizenzumfang festzulegen.
LastPass MFA
LastPass MFA ist ein Add-on für LastPass Business, das kontextbezogene Authentifizierungsrichtlinien, MFA-Unterstützung für Arbeitsstationen und VPNs sowie die Integration mit Drittanbieter-Identitätsanbietern (IdPs) bietet.
Sicherheitskontext : LastPass war im August 2022 von zwei zusammenhängenden Sicherheitsvorfällen betroffen, bei denen Angreifer Zugriff auf die Entwicklungsumgebung erlangten und anschließend verschlüsselte Kundendatensicherungen aus dem Tresor entwendeten. Im November 2025 verhängte das britische Information Commissioner’s Office (ICO) gegen LastPass UK Ltd. eine Geldstrafe in Höhe von 1.228.283 £ wegen unzureichender technischer Kontrollen gemäß der britischen DSGVO. Im Februar 2026 wurde ein Vergleich in einer Sammelklage über 24,5 Millionen US-Dollar erzielt, wovon 16 Millionen US-Dollar speziell für Kryptowährungsverluste im Zusammenhang mit den entwendeten Tresordaten vorgesehen waren. Im Januar 2026 startete eine neue Phishing-Kampagne, die LastPass-Nutzer mit gefälschten Wartungsbenachrichtigungen ins Visier nahm. 1
Was gut funktioniert
LastPass bietet detaillierte Steuerungsmöglichkeiten zur Anpassung der Authentifizierungsumgebung. Das Browser-Plugin ermöglicht das Anmelden, Hinzufügen von Passwörtern und die Verwaltung von Anmeldeinformationen geräteübergreifend. Die Autofill-Funktion reduziert die manuelle Eingabe von Anmeldedaten in verschiedenen Anwendungen.
Was muss verbessert werden?
Die Zero-Knowledge-Architektur von LastPass bedeutet, dass die Tresorverschlüsselung vollständig von der Stärke des Master-Passworts des Nutzers abhängt. Ist dieses schwach, können die im Zuge des Datenlecks von 2022 erbeuteten Tresordaten offline ohne weiteres Zutun des Angreifers ausgenutzt werden.
Die Lösung bietet keine unternehmensweite Gruppenzugriffsverwaltung (z. B. die Zuweisung unterschiedlicher Anmeldeinformationen nach Abteilung oder Zugriffsebene). Benutzer berichten von häufigen Abmeldungen, selbst wenn die Option „Angemeldet bleiben“ aktiviert ist.
1Password
1Password ist ein Passwort-Manager mit Browsererweiterung und Desktop-/Mobil-App für private und geschäftliche Anwendungsfälle. Die Business-Version umfasst erweitertes Zugriffsmanagement (XAM) zur Sicherung des Zugriffs in SaaS-basierten hybriden Arbeitsumgebungen.
Preise: Einzelabonnement 2,00 $/Monat. Familienabo (bis zu 5 Nutzer) 4,99 $/Monat. Geschäftskunden-Abos sind als Teams- und Business-Tarife verfügbar.
Was gut funktioniert
1Password verschlüsselt alle Daten clientseitig, bevor sie an die Server übertragen werden. Dadurch hat das Unternehmen keinen Zugriff auf Benutzerpasswörter, und selbst bei einem serverseitigen Sicherheitsverstoß würden die Zugangsdaten ohne das Masterpasswort des Benutzers nicht im Klartext offengelegt. Das Produkt unterstützt Hardware-Sicherheitsschlüssel (einschließlich YubiKey) für die Zwei-Faktor-Authentifizierung (2FA). Außerdem können Passwörter mit anderen Nutzern geteilt werden.
Was muss verbessert werden?
Telefonischer Support ist bei Privatkunden-Tarifen nicht verfügbar. Die Weitergabe von Gastpasswörtern ist bei Privatkunden-Tarifen nicht möglich.
Cisco Duo
Cisco Duo bietet Multi-Faktor-Authentifizierung (MFA) für Anwendungen, Dienste, Server und Remote Desktop Protocol (RDP)-Sitzungen. Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat die von Duo über FIDO2 implementierte, phishingresistente MFA als Goldstandard für Authentifizierungssicherheit eingestuft. 2
Im Cisco Duo-Bericht „State of Identity Security 2025“ wurde festgestellt, dass fast 60 % der Sicherheitsverantwortlichen die Tokenverwaltung als größtes Hindernis für die großflächige Einführung von phishingresistenter MFA nannten. 3 Im April 2024 wurde ein Telefonie-Subprozessor, der die SMS-MFA-Nachrichten von Duo verarbeitete, durch Phishing kompromittiert. Dabei wurden Nachrichtenprotokolle offengelegt, die Telefonnummern, Netzbetreiberdaten und Zeitstempel der Nachrichten enthielten – allerdings wurde auf keine Nachrichteninhalte zugegriffen. 4 Der Vorfall bestärkte Duo in seinem Bestreben, auf FIDO2-basierte passwortlose Authentifizierung umzusteigen und SMS als zweiten Faktor abzuschaffen.
Was gut funktioniert
Die Endpunktvalidierung von Cisco Duo stellt sicher, dass Geräte, die mit integrierten Plattformen interagieren, die Compliance-Anforderungen (Konfiguration und Patch-Status) erfüllen, bevor der Zugriff gewährt wird. API-Integrationen verbinden Duo mit SIEM-Systemen, Firewalls, Threat-Intelligence-Feeds und EDR/XDR-Plattformen. Verified Duo Push beugt MFA-Müdigkeitsangriffen vor, indem es Benutzer zur Bestätigung einer Push-Benachrichtigung zur Eingabe eines numerischen Codes verpflichtet und so die versehentliche Annahme betrügerischer Anfragen verhindert.
Was muss verbessert werden?
Push-basierte MFA ist weiterhin anfällig für MFA-Müdigkeitsangriffe (wiederholte Push-Benachrichtigungen bis zur Bestätigung durch den Nutzer). Duo Mobile unterstützt weder biometrische Daten noch PIN-Schutz auf App-Ebene. Authentifizierungs-Apps von Drittanbietern (Aegis, andere Open-Source-Apps) können von Duo ausgegebene QR-Codes nicht scannen, was zu einer Abhängigkeit registrierter Nutzer vom jeweiligen Anbieter führt.
Microsoft Entra-ID
Microsoft Entra-ID
Microsoft Entra ID (ehemals Azure Active Directory) ist ein cloudbasierter Identitäts- und Zugriffsverwaltungsdienst, der in drei Stufen verfügbar ist:
- Kostenlos : Benutzer- und Gruppenverwaltung, lokale Verzeichnissynchronisierung, Self-Service-Passwortzurücksetzung für Cloud-Benutzer, SSO für Azure und andere SaaS-Anwendungen.
- P1 : Hybrider Zugriff auf lokale und Cloud-Ressourcen, dynamische Mitgliedergruppen und Self-Service-Gruppenverwaltung.
- P2 : Risikobasierter bedingter Zugriff, privilegiertes Identitätsmanagement zur Einschränkung und Überwachung von Administratorrollen.
Seit Oktober 2024 ist die Multi-Faktor-Authentifizierung (MFA) für alle Anmeldungen am Azure-Portal und am Entra Admin Center obligatorisch. Seit Oktober 2025 gilt diese Regelung auch für die Azure CLI, Azure PowerShell, die Azure Mobile App, IaC-Tools und REST-API-Endpunkte für Erstellungs-, Aktualisierungs- und Löschvorgänge. 5
Was gut funktioniert
Entra ID unterstützt gerätebasierte Multi-Faktor-Authentifizierung (MFA) mit Identitätsmanagement pro Asset und gewährleistet so die Kontrolle darüber, welche Geräte sich mit dem Netzwerk verbinden. Die vollständige Festplattenverschlüsselung mit BitLocker sichert ruhende Daten. Die Integration mit Office 365 vereinfacht die Kontobereitstellung und Zugriffsüberwachung für Unternehmen, die bereits im Office 365-Ökosystem aktiv sind.
Was muss verbessert werden?
Die risikobasierte MFA-Abfrage von Entra ID basiert auf dem internen Risikobewertungsmodell von Microsoft, das Sonderfälle übersehen kann – beispielsweise die Anmeldung von einem neuen Gerät oder einem ungewöhnlichen Standort, ohne eine zusätzliche Abfrage auszulösen.
Die benutzerbezogene MFA-Aktivierung (im Gegensatz zur richtlinienbasierten Durchsetzung) ist während der Einrichtung fehleranfällig und verfügt über keine zentrale Protokollierung, was das Risiko von Fehlkonfigurationen bei der Wartung erhöht.
Google Authentifikator
Google Authenticator ist eine softwarebasierte Authentifizierungs-App, die eine Zwei-Faktor-Authentifizierung über zeitbasierte Einmalpasswörter (TOTP) und HMAC-basierte Einmalpasswörter (HOTP) bietet.
Was gut funktioniert
Der Authenticator unterstützt eine Vielzahl von Diensten, darunter Facebook, Amazon, Dropbox und alle Plattformen, die TOTP-basierte Zwei-Faktor-Authentifizierung (2FA) unterstützen. Dank der Cloud-Backup-Funktion können Sie Ihren Code geräteübergreifend wiederherstellen und sind so vor Verlust geschützt, falls Ihr Smartphone ausgetauscht oder zurückgesetzt wird. Die Benutzeroberfläche ist benutzerfreundlich und die Codeübertragung zwischen Geräten reduziert den Aufwand für die manuelle Neuregistrierung.
Was muss verbessert werden?
Google Authenticator unterstützt keine Sicherheitsfunktionen auf App-Ebene wie PIN-Sperren, biometrische Authentifizierung oder Verschlüsselung gespeicherter TOTP-Codes. Das bedeutet, dass der physische Zugriff auf ein entsperrtes Telefon direkten Zugriff auf alle registrierten Codes ermöglicht.
RSA SecurID
RSA SecurID eignet sich ideal für Unternehmen, die detaillierte Authentifizierungsrichtlinien benötigen, insbesondere im Gesundheitswesen, im Finanzsektor und im öffentlichen Dienst, wo regulatorische Vorgaben eine starke Authentifizierung erfordern. Es wird als Teil der Unified Identity Platform von RSA angeboten und vereint Authentifizierung, Governance und Identitätslebenszyklusmanagement.
Was gut funktioniert
RSA SecurID bietet risikobasierte Authentifizierung und passt die Sicherheitsanforderungen dynamisch an das Nutzerverhalten und den Zugriffskontext an. Es unterstützt über 500 Cloud- und On-Premises-Anwendungen, einschließlich kundenspezifischer interner Anwendungen.
Was muss verbessert werden?
Physische Hardware-Tokens bergen ein praktisches Risiko: Verlorene Tokens verhindern den Benutzerzugriff. Die mobile App benötigt eine Internet- oder Mobilfunkverbindung; die Offline-Codegenerierung wird nicht unterstützt, was den Zugriff in Umgebungen ohne Internetverbindung oder mit geringer Konnektivität einschränkt.
IBM Überprüfen
Verify eignet sich für Unternehmen, die auf cloudbasiertes IAM umsteigen und Implementierungen im Enterprise-Maßstab benötigen. Es unterstützt MFA via Push-Benachrichtigungen, QR-Codes und mobiler App-Authentifizierung und bietet Vorlagen für das Einwilligungsmanagement zur Unterstützung der DSGVO-Konformität.
Was gut funktioniert
IBM Verify deckt mehrere MFA-Methoden auf einer einzigen Plattform ab und beinhaltet integrierte Vorlagen für das Consent-Lifecycle-Management – nützlich für Organisationen, die Datenschutzbestimmungen wie der DSGVO unterliegen.
Was muss verbessert werden?
Die Ersteinrichtung und Konfiguration sind zeitaufwändig und erfordern technisches Fachwissen. Organisationen ohne dediziertes IAM-Personal sollten den Implementierungsaufwand einkalkulieren.
NordPass Business
NordPass ist ein Passwort-Manager mit Funktionen zum Teilen von Passwörtern, Browser-Autofill und Benutzerverwaltung. Der Business-Tarif, der ab fünf Benutzern verfügbar ist, bietet zusätzlich Tools zur Gruppenverwaltung, darunter einen Data Breach Scanner und Berichte zur Passwortsicherheit.
Was gut funktioniert
Die Berechtigungsverwaltung im Admin-Panel wird von Nutzern positiv bewertet. Die Plattform unterstützt Zwei-Faktor-Authentifizierungscodes für gemeinsam genutzte Konten, was insbesondere für teamverwaltete Anmeldeinformationen nützlich ist, auf die mehrere Benutzer zugreifen.
Was muss verbessert werden?
Gelöschte Passwörter werden endgültig und unwiederbringlich entfernt. Bei Massenlöschungen wird nur die Anzahl, nicht aber die einzelnen Einträge protokolliert. Die Passwortinhaberschaft kann nicht zwischen Benutzern übertragen werden; nur der ursprüngliche Inhaber kann ein Passwort löschen.
Okta Adaptive MFA
Okta Adaptive MFA ermöglicht es Unternehmen, kontextbezogene Zugriffsrichtlinien zu erstellen, die eine zusätzliche Authentifizierung erfordern oder den Zugriff basierend auf Benutzer- und Gerätesignalen blockieren. Beispielsweise löst eine Zugriffsanfrage eines US-amerikanischen Benutzers aus einem nicht erkannten Land automatisch zusätzliche Verifizierungsschritte aus.
Sicherheitskontext : Im Oktober 2023 gab Okta eine Sicherheitslücke in seinem Supportsystem bekannt. Angreifer hatten sich über das kompromittierte Konto eines Mitarbeiters (Google) Zugang verschafft und Sitzungstoken aus HAR-Dateien extrahiert, die im Rahmen der Fehlerbehebung übermittelt wurden. Mithilfe dieser Token konnten alle Benutzer des Okta-Kundensupportsystems auf Kundensupportdaten zugreifen. 6 Okta aktivierte anschließend die ASN-basierte Sitzungsbindung, um das Risiko zu verringern, dass gestohlene Sitzungstoken von verschiedenen Netzwerkstandorten aus erneut abgespielt werden.
Was gut funktioniert
Okta Adaptive MFA unterstützt mehrere Authentifizierungsfaktoren, darunter Okta FastPass, FIDO2 WebAuthn-Schlüssel, Smartcards, Sicherheitsfragen, SMS-/Sprach-/E-Mail-OTPs, Push-Benachrichtigungen von mobilen Apps und Biometrie. Das Okta Integration Network bietet vorkonfigurierte Konnektoren für über 8.000 Anwendungen und ermöglicht so die zentrale Zugriffsverwaltung in hybriden Umgebungen.
Was muss verbessert werden?
Die Überprüfung von Passwörtern für in Okta integrierte Anwendungen ist über die Endbenutzeroberfläche nicht intuitiv. Die Dokumentation für komplexe Konfigurationen, wie z. B. bedingte Zugriffsrichtlinien mit verschachtelten Bedingungen oder die Integration von MFA in ältere Anwendungen, ist begrenzt.
FAQs
MFA-Lösungen schützen Benutzerkonten, indem sie die Benutzer auffordern, ihre Identität auf zwei oder mehr Arten zu authentifizieren, bevor sie auf Konten, sensible Informationen, Systeme oder Apps zugreifen können.
Zusätzlich zur Eingabe eines Benutzernamens und Passworts als Authentifizierungsfaktor werden Nutzer nach einem zweiten Faktor gefragt, um ihre Identität zu bestätigen. Zu den Authentifizierungsfaktoren gehören Einmalpasswörter für SMS, E-Mail oder Telefonanrufe sowie risikobasierte Authentifizierung.
MFA-Lösungen können als eigenständige Lösungen, die sich in die Benutzerkonten eines Unternehmens integrieren lassen, oder als Teil einer Gesamtlösung, typischerweise in Identitätsprodukten wie arbeitsplatzbasierter Identity- und Access-Management-Software (IAM) oder kundenbasierten Privileged-Access-Management-Lösungen (PAM) , verkauft werden.
Mehr dazu: Außenministerium Preisgestaltung , Open-Source-MFA-Tools .
Referenzlinks
Seien Sie der Erste, der kommentiert
Ihre E-Mail-Adresse wird nicht veröffentlicht. Alle Felder sind erforderlich.