2 Factor Authentication (2FA) fügt dem Login-Prozess einen zweiten, unabhängigen Identitätsnachweis hinzu, sodass ein gestohlenes oder erratenes Passwort allein nicht ausreicht, um Zugriff auf ein Konto zu erhalten. Der erste Faktor ist etwas, das der Nutzer weiß, das Passwort; der zweite Faktor ist etwas, das der Nutzer besitzt oder generiert, etwa ein rotierender sechsstelliger Code aus einer Authenticator-App, ein Hardware Security Key oder ein per SMS versendeter Einmalcode.
Bei Krypto-Exchanges schützt 2FA in der Regel Logins, Withdrawals und Änderungen an API-Keys, da diese Plattformen ein attraktives Ziel für Angreifer sind und, anders als eine Bank, kaum Möglichkeiten zur Wiederherstellung bieten, sobald Funds eine Wallet verlassen haben. Die meisten Exchanges verwenden Time-based One-Time Password (TOTP) Codes, die von Apps wie Google Authenticator, Authy oder 2FAS erzeugt werden, sich alle 30 Sekunden erneuern und lokal auf dem Gerät berechnet werden, statt über das Netzwerk übertragen zu werden.
2FA per SMS ist die schwächste verbreitete Option, da sie vom Mobilfunknetz des Anbieters abhängt und über einen SIM Swap umgangen werden kann, bei dem ein Angreifer einen Mobilfunkanbieter überzeugt, die Telefonnummer des Opfers auf eine von ihm kontrollierte SIM-Karte zu übertragen. TOTP-Apps schließen diese Lücke, bleiben aber anfällig für Echtzeit-Phishing-Seiten, die einen gültigen Code innerhalb seines kurzen Gültigkeitsfensters weiterleiten. Deshalb empfiehlt die Sicherheitspraxis zunehmend FIDO2/WebAuthn Hardware Keys, die den Login kryptografisch an die echte Domain binden und von einer gefälschten Seite nicht wiederverwendet werden können.
Wer ohne gespeicherte Backup-Codes den Zugriff auf ein 2FA-Gerät verliert, kann dauerhaft von einem Exchange-Konto ausgesperrt werden, weshalb die meisten Plattformen bei der Einrichtung die Registrierung von Backup-Codes oder einer zweiten Methode verlangen.