Authenticator Apps sind im Jahr 2026 die wichtigste Verteidigungslinie gegen Kontodiebstahl, und die Wahl der richtigen App entscheidet über Sicherheit, Komfort und Wiederherstellbarkeit im Ernstfall. Google Authenticator, Microsoft Authenticator, Authy, 2FAS und Aegis liefern sich dabei einen harten Kampf, der weit über reine TOTP-Codes hinausgeht. Dieser Vergleich testet alle fünf Apps anhand von Sicherheitstiefe, Backup-Strategie, Plattformunterstützung, Open-Source-Status und Enterprise-Tauglichkeit, damit du die richtige Entscheidung für dein Konto oder dein Unternehmen treffen kannst.
Warum 2FA-Apps 2026 wichtiger sind als je zuvor
Der Diebstahl von Zugangsdaten ist das dominante Angriffsmuster in der digitalen Bedrohungslandschaft. Laut dem Verizon Data Breach Investigations Report 2025 sind 89 Prozent aller Datenpannen auf gestohlene oder kompromittierte Zugangsdaten zurückzuführen. Gleichzeitig ermittelt das Bundeskriminalamt für Deutschland 333.922 Cybercrime-Fälle allein im Jahr 2024, mit einem Gesamtschaden von 202 Milliarden Euro.
In diesem Umfeld schützt ein starkes Passwort allein nicht mehr. Microsoft-Sicherheitsforscherin Alex Weinert veröffentlichte Daten, die zeigen, dass Mehr-Faktor-Authentifizierung (MFA) 99,9 Prozent aller automatisierten Kontoübernahmeangriffe blockiert. Das gilt für einfache TOTP-Apps genauso wie für die Push-Benachrichtigungen des Microsoft Authenticators, solange Nutzer die Bestätigungsanfragen nicht blindlings akzeptieren. Wer noch kein MFA nutzt, ist statistisch gesehen das leichteste Ziel in jedem Unternehmensnetzwerk oder Privathaushalt, denn automatisierte Angriffswerkzeuge scannen aktiv nach Konten, die sich mit Passwort allein kompromittieren lassen.
Die BSI-Empfehlung für Privatnutzer und Unternehmen ist eindeutig: Jedes Konto, das eine zweite Authentifizierungsstufe unterstützt, sollte sie aktivieren. Welche Authenticator App dabei die beste Wahl ist, hängt vom eigenen Ökosystem, dem Sicherheitsbedarf und der Bereitschaft zur Nutzung von Open-Source-Lösungen ab. Dieser Vergleich liefert die Antwort.
TOTP erklärt: Was Authenticator Apps technisch leisten
Alle fünf getesteten Apps nutzen den gleichen kryptografischen Mechanismus: Time-based One-Time Password (TOTP), standardisiert in RFC 6238. Der Server und die App teilen beim Einrichten einen geheimen Schlüssel (Shared Secret), der als QR-Code gescannt wird. Beim Anmelden generiert die App aus diesem Schlüssel und dem aktuellen Unix-Timestamp einen 6- oder 8-stelligen Code, der alle 30 Sekunden wechselt.
Das mathematische Fundament ist HMAC-SHA1, also ein Hash-basierter Message Authentication Code mit SHA-1. Wichtig: Der Code ist zeitgebunden und ohne Kenntnis des Shared Secrets nicht vorherzusagen. Ein Angreifer, der den Code abfängt, hat genau 30 Sekunden, um ihn zu missbrauchen, bevor er wertlos wird. Da der Angreifer in der Praxis außerdem noch den Login-Vorgang abschließen muss, ist das realistische Zeitfenster noch kürzer, oft unter 10 Sekunden.
Neben TOTP unterstützen die meisten Apps auch HOTP (Counter-based OTP), bei dem ein Zähler statt der Zeit die Codegeneration steuert. HOTP wird seltener eingesetzt, ist aber relevant für Systeme ohne zuverlässige Zeitsynchronisierung. Microsoft Authenticator geht einen Schritt weiter und bietet für Microsoft-eigene Dienste zusätzlich Push-Benachrichtigungen und passwortlose Anmeldung, womit TOTP als Verfahren teilweise obsolet wird.
Ein wichtiger Aspekt, den viele Nutzer übersehen: Die Sicherheit der App selbst ist zweitrangig. Alle fünf getesteten Apps implementieren RFC 6238 korrekt. Der entscheidende Unterschied liegt in der Backup-Strategie, der Cloud-Anbindung und der Plattformunterstützung. Wer mit diesem Wissen die folgende Vergleichstabelle liest, versteht sofort, warum die “beste” App von den persönlichen Anforderungen abhängt.
Google Authenticator 2026: Schlicht, universell, mit Backup
Google Authenticator ist der Urvater der TOTP-Apps. Die App existiert seit 2010 und war jahrelang der Goldstandard für einfache Zwei-Faktor-Authentifizierung. 2023 vollzog Google einen entscheidenden Schritt: Cloud-Backup über das Google-Konto wurde eingeführt, womit das größte Manko der App, der Verlust aller Codes beim Handywechsel, beseitigt wurde.
Stärken 2026: Google Authenticator ist kostenlos, für iOS und Android verfügbar und funktioniert mit nahezu jedem TOTP-kompatiblen Dienst. Das Interface ist minimal und bietet keine Ablenkung. Die App benötigt kein Konto, kann aber über ein Google-Konto synchronisiert werden. Der QR-basierte Account-Transfer erleichtert den Gerätewechsel.
Schwächen 2026: Das Cloud-Backup ist an das Google-Konto gebunden. Wer sein Google-Konto verliert, verliert gleichzeitig Zugang zu seinen 2FA-Codes. Ende-zu-Ende-Verschlüsselung für die Backup-Daten wurde von Google angekündigt, ist aber zum Redaktionsschluss noch nicht standardmäßig für alle Nutzer ausgerollt. Eine Desktop-App existiert nicht. Für Nutzer, die Apple Watch, Wear OS oder ein Desktop-Interface benötigen, ist Google Authenticator die falsche Wahl.
Fireship, bekannt für seine kompakten Tech-Tutorials auf YouTube, beschreibt Google Authenticator als die “No-brainer-Wahl für alle, die einfach nur schnell 2FA einrichten wollen, ohne sich um Ökosysteme Gedanken zu machen.” Das trifft den Kern: Die App macht genau das, was sie verspricht, und macht es gut. Für komplexere Anforderungen greift man zur Konkurrenz.
Google Authenticator: Technische Spezifikationen
- Plattform: iOS 16+, Android 8+
- Protokolle: TOTP (RFC 6238), HOTP (RFC 4226)
- Cloud-Backup: Ja, über Google-Konto (Verschlüsselung im Rollout)
- Multi-Gerät: Ja, über Google-Konto-Sync
- Push-Benachrichtigungen: Nein
- Open Source: Nein (proprietär, Google)
- Preis: Kostenlos
Microsoft Authenticator 2026: Das beste App für Microsoft-Ökosysteme
Microsoft Authenticator ist weit mehr als eine reine TOTP-App. Für Nutzer innerhalb des Microsoft-Ökosystems, also Azure Active Directory, Microsoft 365, Teams, Xbox und Outlook, bietet die App drei grundlegend verschiedene Anmeldemethoden auf einmal: TOTP-Codes für Drittanbieter-Dienste, Push-Benachrichtigungen für Microsoft-Konten und vollständig passwortlose Anmeldung per Biometrie.
Push-Benachrichtigungen funktionieren so: Beim Login erscheint eine Anfrage auf dem Smartphone. Microsoft Authenticator zeigt dazu seit 2023 eine zweistellige Zahl, die auf dem Anmeldebildschirm erscheint. Der Nutzer muss diese Zahl in der App eingeben, bevor die Anmeldung bestätigt wird. Diese Number Matching genannte Funktion verhindert MFA-Fatigue-Angriffe, bei denen Angreifer Nutzer mit Push-Anfragen bombardieren, bis jemand aus Versehen auf “Genehmigen” tippt.
Die Integration in Microsoft Entra ID (früher Azure AD) macht Microsoft Authenticator zur ersten Wahl für Unternehmensadministratoren. IT-Abteilungen können die App über Intune oder gruppenrichtlinienähnliche Mechanismen zentral verwalten, MFA-Richtlinien durchsetzen und Nutzer aus der Ferne de-registrieren. Kein anderer der fünf getesteten Apps bietet dieses Niveau an Enterprise-Verwaltbarkeit.
Dazu kommt ein integrierter Passwort-Manager, der über Microsoft Edge synchronisiert werden kann, sowie die Option zur Verknüpfung mit einem Microsoft-Konto für Cloud-Backup. Die App hat laut Microsoft mehr als 100 Millionen aktive Nutzer, was sie zur meistgenutzten Authenticator App außerhalb von Google Authenticator macht.
Schwächen: Die Enterprise-Stärken sind gleichzeitig eine Schwäche für Privatnutzer ohne Microsoft-Konto. Wer primär Google-, Apple- oder Linux-Dienste nutzt, profitiert kaum von den Microsoft-spezifischen Features. Außerdem gilt: Das Cloud-Backup ist an das Microsoft-Konto gebunden, was dieselbe Single-Point-of-Failure-Problematik wie bei Google Authenticator erzeugt.
Microsoft Authenticator: Technische Spezifikationen
- Plattform: iOS 16+, Android 8+
- Protokolle: TOTP, HOTP, FIDO2/WebAuthn (für Microsoft-Dienste), Push-Benachrichtigung
- Cloud-Backup: Ja, über Microsoft-Konto
- Multi-Gerät: Ja, über Microsoft-Konto-Sync
- Push-Benachrichtigungen: Ja (mit Number Matching)
- Passwortlose Anmeldung: Ja (für Microsoft-Konten)
- Open Source: Nein (proprietär, Microsoft)
- Enterprise-Verwaltung: Ja (Microsoft Entra ID, Intune)
- Preis: Kostenlos
Authy 2026: Solide mobile App nach dem Desktop-Aus
Authy, entwickelt von Twilio, war jahrelang die bevorzugte Authenticator App für Nutzer, die TOTP-Codes auf mehreren Geräten synchron halten wollten, einschließlich einem Desktop-Client für Windows, macOS und Linux. Das änderte sich am 19. März 2024, als Twilio den Desktop-Client mit sofortigem Wirkungsgrad einstellte. Authy für den Desktop ist Geschichte.
Was bleibt, ist die mobile Authy-App für iOS und Android, und die ist nach wie vor stark. Das Alleinstellungsmerkmal von Authy ist die Ende-zu-Ende-verschlüsselte Backup-Funktion. Im Gegensatz zu Google Authenticator und Microsoft Authenticator, deren Backups an das jeweilige Cloud-Ökosystem des Anbieters gebunden sind, verschlüsselt Authy alle TOTP-Secrets clientseitig mit einem Backup-Passwort. Twilio selbst kann den Inhalt nicht entschlüsseln.
Ein weiteres Plus: Apple Watch-Unterstützung. Authy ist die einzige App in diesem Vergleich, die watchOS-Codes direkt auf der Uhr anzeigt, was für Situationen ohne Smartphone-Zugriff praktisch ist. Multi-Gerät-Sync über mehrere Telefone und Tablets ist ebenfalls möglich und bleibt nach dem Desktop-Aus der wichtigste Vorteil gegenüber simplen Apps wie Google Authenticator.
Schwäche: Authys Konto-Modell ist an eine Telefonnummer gebunden. Wer seine Nummer verliert oder wechselt, steht vor erheblichen Hürden bei der Wiederherstellung. Das ist ein struktureller Nachteil gegenüber E-Mail-basierten oder anonymen Lösungen wie 2FAS oder Aegis.
2FAS: Der Open-Source-Herausforderer aus Europa
2FAS ist die jüngste App in diesem Vergleich und gleichzeitig die interessanteste Neuentwicklung im Authenticator-Markt. Die App ist vollständig Open Source (GitHub: github.com/twofas), kostenlos und ohne Tracking. Anders als die großen Anbieter hinter Google Authenticator und Microsoft Authenticator ist 2FAS kein Nebenprodukt eines Tech-Konzerns, sondern eine spezialisierte Sicherheits-App.
ThePrimeagen, bekannt für seine kompromisslosen Ansichten zur Software-Qualität und Open-Source-Entwicklung, hat 2FAS mehrfach als bevorzugte TOTP-Lösung erwähnt: “Wenn ich meinen 2FA-Schlüsseln nicht blind vertrauen will, muss ich eine App nutzen, bei der ich den Code selbst lesen kann. 2FAS ist Open Source, funktioniert offline und hat keinen Vendor Lock-in.”
Technische Besonderheit: 2FAS bietet ein Browser-Plugin (Chrome, Firefox, Edge), das TOTP-Codes direkt im Browser einfügen kann, ohne die App manuell öffnen zu müssen. Das Plugin kommuniziert per Bluetooth oder lokaler Verbindung mit der Smartphone-App und benötigt keine Cloud-Dienste dafür. Das erhöht den Komfort erheblich und macht 2FAS zur einzigen App in diesem Test mit echter Desktop-Integration nach dem Tod von Authy Desktop.
Backup: 2FAS bietet verschlüsseltes Cloud-Backup über iCloud (iOS) oder Google Drive (Android), wobei die Verschlüsselung clientseitig erfolgt. Ein manuelles Export-Format (verschlüsselte JSON-Datei) ermöglicht geräte- und cloud-unabhängige Sicherungen.
Aegis Authenticator: Die Android-Festung für Power-User
Aegis Authenticator ist die radikalste Option in diesem Vergleich: Open Source, lokal, ohne Cloud-Zwang und ausschließlich für Android. Die App richtet sich an Nutzer, die maximale Kontrolle über ihre TOTP-Secrets wollen und darauf verzichten können, Codes auf mehreren Geräten oder in der Cloud zu synchronisieren.
Der Vault in Aegis ist eine AES-256-GCM-verschlüsselte Datei, die lokal auf dem Gerät gespeichert wird. Der Vault-Key wird durch ein Passwort und/oder biometrische Authentifizierung geschützt. Wer den Vault auf andere Geräte übertragen möchte, exportiert ihn manuell. Cloud-Sync fehlt absichtlich, was Aegis für Angreifer mit Zugriff auf Cloud-Dienste uninteressant macht.
Aegis unterstützt neben TOTP und HOTP auch Steam Guard-Codes, das proprietäre Format von Valve für Steam-Konten, was eine Nische bedient, die andere Apps ignorieren. Die Import-Funktion unterstützt Exporte aus Google Authenticator, Authy, Bitwarden und weiteren Apps, was den Wechsel zu Aegis erleichtert.
Einschränkung: Aegis ist nur für Android verfügbar. iOS-Nutzer müssen auf eine Alternative ausweichen. Für gemischte iPhone/Android-Haushalte oder Nutzer, die zwischen iOS und Android wechseln, ist Aegis nicht die richtige Wahl.
Großer Vergleich: Alle 5 Authenticator Apps auf einen Blick
Die folgende Tabelle vergleicht alle fünf Apps nach den 15 wichtigsten Kriterien. Zusätzlich wird der YubiKey 5 NFC als Hardware-Referenzpunkt für die höchste verfügbare Sicherheitsstufe aufgeführt.
| Merkmal | Google Auth | Microsoft Auth | Authy | 2FAS | Aegis | YubiKey 5 NFC |
|---|---|---|---|---|---|---|
| Preis | Kostenlos | Kostenlos | Kostenlos | Kostenlos | Kostenlos | ~54 € |
| Plattform | iOS, Android | iOS, Android | iOS, Android | iOS, Android | Android | Hardware |
| TOTP | Ja | Ja | Ja | Ja | Ja | Ja (64 Seeds) |
| Cloud-Backup | Ja (Google) | Ja (Microsoft) | Ja (E2E) | Ja (E2E) | Nein | Kein Backup nötig |
| Multi-Gerät-Sync | Ja | Ja | Ja | Ja | Nein | Nein |
| Desktop-App | Nein | Nein | Nein (seit März 2024) | Browser-Plugin | Nein | USB/NFC |
| Open Source | Nein | Nein | Nein | Ja | Ja | Nein |
| Apple Watch | Nein | Nein | Ja (watchOS) | Nein | Nein | Nein |
| Push-Benachrichtigungen | Nein | Ja (Microsoft) | Nein | Nein | Nein | Nein |
| Passwortlose Anmeldung | Nein | Ja (Microsoft) | Nein | Nein | Nein | Ja (Passkey) |
| FIDO2/WebAuthn | Nein | Eingeschränkt | Nein | Nein | Nein | Ja (CTAP2.1) |
| Phishing-Resistenz | Mittel | Hoch (Number Matching) | Mittel | Mittel | Mittel | Maximal |
| Enterprise-Verwaltung | Nein | Ja (Entra ID) | Nein | Nein | Nein | Nein |
| Steam Guard | Nein | Nein | Nein | Nein | Ja | Nein |
| Browser-Plugin | Nein | Nein | Nein | Ja | Nein | Nein |
Sicherheitstiefe: TOTP vs Push vs Hardware-Key im Vergleich
Nicht alle MFA-Methoden sind gleich sicher. Die Wahl zwischen TOTP-Codes, Push-Benachrichtigungen und Hardware-Sicherheitsschlüsseln hat konkrete Auswirkungen auf die Anfälligkeit gegen Phishing-Angriffe, die in Deutschland 2025 um 82,6 Prozent KI-generiert sind und damit schwieriger von echten Anmeldeseiten zu unterscheiden sind.
TOTP-Apps: Sicher, aber nicht phishing-resistent
TOTP-Codes schützen gegen automatisierte Credential-Stuffing-Angriffe. Sie schützen nicht gegen Echtzeit-Phishing, bei dem ein Angreifer eine gefälschte Anmeldeseite erstellt, die Login-Daten und TOTP-Code gleichzeitig abgreift und innerhalb der 30-Sekunden-Gültigkeitsfenster weiterleitet. Dieser Angriff ist mit Tools wie Evilginx2 oder Modlishka vollständig automatisierbar und wird von professionellen Angreifern regelmäßig eingesetzt.
Google Authenticator, Authy, 2FAS und Aegis bieten alle das gleiche TOTP-Sicherheitsniveau. Die App selbst ist irrelevant: Was zählt, ist das Protokoll. Alle vier schützen gut gegen Passwort-Leaks und automatisierte Angriffe, aber nicht gegen gezieltes Spear-Phishing.
Push-Benachrichtigungen: Komfort mit Risiko
Microsoft Authenticators Push-Benachrichtigungen sind komfortabler als TOTP, haben aber eine spezifische Schwachstelle: MFA Fatigue. Bei diesem Angriff sendet ein Angreifer mit gestohlenen Zugangsdaten Dutzende Push-Anfragen, bis der Nutzer eine davon versehentlich genehmigt. Microsoft hat 2023 mit dem Number Matching reagiert: Statt nur “Genehmigen/Ablehnen” muss der Nutzer jetzt die auf dem Anmeldebildschirm angezeigte Zahl in der App eintippen. Das macht MFA-Fatigue-Angriffe deutlich schwieriger, aber nicht unmöglich, wenn der Angreifer die Seite in Echtzeit kontrolliert.
Push-MFA ohne Number Matching, wie es viele ältere Enterprise-Systeme noch nutzen, bietet faktisch schlechtere Phishing-Resistenz als TOTP. Mit Number Matching ist es vergleichbar mit TOTP, aber nicht besser.
Hardware-Keys: Maximale Sicherheit, keine Phishing-Chance
YubiKey und ähnliche FIDO2-Hardware-Keys funktionieren grundlegend anders. Die Authentifizierung ist origin-bound: Der Key signiert eine Challenge nur, wenn die aktuelle Webseiten-Domain mit der registrierten Domain übereinstimmt. Eine Phishing-Seite auf login.micr0soft.com.evil.com bekommt keine gültige Signatur, weil die Domain nicht mit microsoft.com übereinstimmt. Google berichtete nach zwei Jahren Einsatz von Hardware-Keys für alle 85.000 Mitarbeiter: null erfolgreiche Phishing-Angriffe auf Konten, die mit Hardware-Keys gesichert waren.
Der Preis für diese Sicherheit ist real: Ein YubiKey 5 NFC kostet rund 54 Euro, ein zweiter Key als Backup weitere 54 Euro. Der Einrichtungsaufwand ist höher als bei einer App-Installation. Und Hardware kann verloren gehen oder brechen, was ohne Backup-Key zum Kontoverlust führt.
| Methode | Schutz vs. Passwort-Leak | Schutz vs. Phishing | Schutz vs. MFA Fatigue | Einrichtungsaufwand |
|---|---|---|---|---|
| TOTP (alle Apps) | Sehr hoch | Mittel | Hoch | Niedrig |
| Push (Microsoft Auth) | Sehr hoch | Mittel-Hoch | Mittel (ohne Number Matching), Hoch (mit) | Niedrig |
| Hardware-Key (FIDO2) | Maximal | Maximal | Maximal | Mittel |
| SMS-OTP | Mittel | Niedrig | Hoch | Minimal |
| Kein MFA | Kein Schutz | Kein Schutz | Kein Schutz | Kein Aufwand |
Backup und Wiederherstellung: Was passiert, wenn das Handy weg ist?
Der häufigste Praxisfall, der Menschen den Zugang zu ihren Konten kostet, ist kein Hackerangriff, sondern ein verlorenes oder kaputtes Smartphone. Ohne Backup-Strategie bedeutet das: keine TOTP-Codes, kein Zugang zu den gesicherten Konten, aufwendige Wiederherstellungsverfahren über den Kundensupport jedes einzelnen Dienstes.
Google Authenticator: Cloud-Backup über Google-Konto. Bei Geräteverlust reicht die Anmeldung im neuen Gerät mit demselben Google-Konto. Risiko: Wer das Google-Konto verliert (zum Beispiel durch Phishing), verliert auch alle TOTP-Codes. Das Backup ist so sicher wie das Google-Konto selbst, weshalb das Google-Konto unbedingt mit einem Hardware-Key oder TOTP eines anderen Geräts gesichert werden sollte.
Microsoft Authenticator: Cloud-Backup über Microsoft-Konto. Gleiche Logik wie Google: Sicherheit des Backups hängt von der Sicherheit des Microsoft-Kontos ab. Microsoft unterstützt die passwortlose Anmeldung für das Microsoft-Konto selbst, was die Bootstrap-Sicherheit erhöht.
Authy: Ende-zu-Ende-verschlüsseltes Backup mit eigenem Backup-Passwort. Das Backup liegt auf Twilio-Servern, ist aber ohne das Backup-Passwort wertlos. Vorteil: Twilio kann den Inhalt nicht lesen. Nachteil: Wer das Backup-Passwort vergisst und kein Authy-Gerät mehr hat, verliert alle Codes dauerhaft. Das Backup-Passwort sollte in einem Passwort-Manager gesichert sein.
2FAS: Verschlüsseltes Backup auf iCloud oder Google Drive mit clientseitiger Verschlüsselung. Zusätzlich: manueller Export als verschlüsselte JSON-Datei, die vollständig offline gespeichert werden kann. Das ist die flexibelste Backup-Lösung in diesem Vergleich.
Aegis: Kein automatisches Cloud-Backup, ausschließlich manueller Vault-Export. Das maximiert die Kontrolle, erfordert aber disziplinierte manuelle Backups. Wer den Vault nicht regelmäßig exportiert und sicher lagert (zum Beispiel auf einem verschlüsselten USB-Stick), riskiert den Totalverlust aller Codes bei Geräteverlust.
Empfehlung für Backup-Sicherheit: Unabhängig von der gewählten App sollten mindestens die TOTP-QR-Codes beim Einrichten fotografiert oder die Backup-Codes des Dienstes gespeichert werden. Viele Dienste bieten beim Einrichten von 2FA einmalige Recovery-Codes an, die bei Verlust des 2FA-Geräts die Anmeldung ermöglichen. Diese Codes gehören in einen Passwort-Manager oder einen sicheren physischen Speicherort.
Enterprise-Einsatz: Welche App skaliert für Unternehmen?
Für Unternehmensadministratoren stellen sich andere Fragen als für Privatnutzer. Zentrale Verwaltung, erzwingbare MFA-Richtlinien, Integration in bestehende Identity-Provider und Support-Möglichkeiten bei Geräteverlust sind die entscheidenden Faktoren.
Microsoft Authenticator ist in diesem Vergleich der klare Gewinner für Unternehmen, die das Microsoft-Ökosystem nutzen. Die Integration in Microsoft Entra ID (früher Azure AD) ermöglicht es Administratoren, MFA-Registrierungen zentral zu verwalten, Nutzer aus der Ferne zu de-authentifizieren und Richtlinien wie “Number Matching ist Pflicht” oder “Passwortlose Anmeldung für privilegierte Konten” durchzusetzen. Conditional Access-Richtlinien können MFA für bestimmte Anwendungen, Standorte oder Risikostufen erzwingen.
Für Unternehmen außerhalb des Microsoft-Ökosystems sind die Optionen weniger klar. Google Workspace-Administratoren können Google Authenticator und TOTP-Apps über die Admin Console verwalten, aber ohne die tiefe Integration, die Microsoft Entra bietet. Drittanbieter-Lösungen wie Duo Security (Cisco), RSA SecurID oder Okta Verify füllen diese Lücke und unterstützen alle genannten Apps, bieten aber zusätzliche Kosten:
| Lösung | Preis pro Nutzer/Monat | Unterstützte MFA-Methoden | Identity-Provider-Integration |
|---|---|---|---|
| Microsoft Authenticator (Entra P1) | ca. 6 € | TOTP, Push, FIDO2, Passwortlos | Entra ID, Intune, Azure |
| Duo Security (Essentials) | 3 $ | Push, TOTP, SMS, Hardware-Key | Okta, ADFS, Entra ID |
| Okta Verify | ca. 2 $ | Push, TOTP, FIDO2 | Okta, Salesforce, AWS |
| Google Authenticator (Workspace) | In Workspace enthalten | TOTP | Google Workspace, SAML |
MKBHD (Marques Brownlee) betrachtet Microsoft Authenticator aus Nutzerperspektive: “Die App hat die beste Balance aus Sicherheit und Einfachheit für Menschen, die tief im Microsoft-Universum stecken. Für alle anderen ist es überengineert.” Das trifft den Punkt für Privatnutzer: Wer nicht täglich Azure oder Teams nutzt, braucht den Funktionsumfang von Microsoft Authenticator nicht.
Preisvergleich: 5 kostenlose Apps und ein teurer Hardware-Key
Der Preisvergleich fällt im Software-Bereich eindeutig aus: Alle fünf Authenticator Apps sind kostenlos und enthalten keine In-App-Käufe. Der Unterschied liegt nicht im Preis, sondern in den Datenschutzbedingungen und dem Geschäftsmodell dahinter.
| Lösung | Preis | Finanzierungsmodell | Datenschutz-Hinweis |
|---|---|---|---|
| Google Authenticator | 0 € | Google-Ökosystem | Backup-Daten im Google-Konto |
| Microsoft Authenticator | 0 € | Microsoft-Ökosystem | Backup über Microsoft-Konto |
| Authy | 0 € (mobil) | Twilio B2B-Dienste | E2E-verschlüsseltes Backup |
| 2FAS | 0 € | Open Source / Spenden | E2E-verschlüsseltes Backup |
| Aegis | 0 € | Open Source / Spenden | Lokal, kein Cloud-Zwang |
| YubiKey 5 NFC | ~54 € (einmalig) | Hardware-Verkauf | Kein Server, keine Daten |
| YubiKey 5C NFC | ~51 € (einmalig) | Hardware-Verkauf | USB-C + NFC |
| YubiKey Security Key | ~23 € (einmalig) | Hardware-Verkauf | FIDO2/U2F only |
Migrations-Anleitung: Von Authy zu 2FAS in 5 Schritten
Mit dem Ende des Authy Desktop-Clients im März 2024 haben viele Nutzer begonnen, auf Alternativen umzusteigen. 2FAS ist dabei die häufigste Empfehlung in der Security-Community, weil es Open Source ist, E2E-verschlüsseltes Backup bietet und durch das Browser-Plugin den Komfort-Vorteil des Desktop-Clients teilweise wiederherstellt. Die Migration ist in 5 Schritten möglich.
Schritt 1: Vorbereitung, Authy-Backup anlegen
Öffne Authy, gehe zu Einstellungen und stelle sicher, dass Backups aktiviert sind und dein Backup-Passwort notiert ist. Ohne das Backup-Passwort kann kein anderes Gerät deine Authy-Accounts entschlüsseln. Notiere das Passwort sicher in deinem Passwort-Manager, bevor du weitergehst.
Schritt 2: 2FAS installieren
Lade 2FAS aus dem Apple App Store oder Google Play Store. Die App ist kostenlos. Beim ersten Start kannst du entweder ein neues 2FAS-Konto anlegen oder direkt ohne Konto loslegen. Für das Cloud-Backup ist ein Konto empfehlenswert.
Schritt 3: Dienste neu einrichten
Leider bietet Authy keinen standardisierten TOTP-Export im Klartext. Das bedeutet: Für jeden gesicherten Dienst musst du in den Account-Einstellungen des jeweiligen Dienstes 2FA deaktivieren und neu einrichten. Das ist zeitaufwendig, aber sicher. Während du jeden Dienst neu einrichtest, scanne den QR-Code zuerst mit 2FAS und teste den Code, bevor du den Authy-Eintrag löschst.
Schritt 4: Browser-Plugin installieren
Installiere das 2FAS Browser-Plugin für Chrome, Firefox oder Edge von der offiziellen Website 2fas.com. Koppele das Plugin mit der Smartphone-App. Ab jetzt kannst du TOTP-Codes direkt aus dem Browser anfordern, ohne die App öffnen zu müssen.
Schritt 5: 2FAS-Backup einrichten
Aktiviere das Cloud-Backup in 2FAS-Einstellungen (iCloud für iOS, Google Drive für Android). Exportiere zusätzlich einen verschlüsselten Backup-File manuell und lagere ihn offline. Erst wenn beide Backups bestätigt sind, lösche Authy von deinen Geräten.
5 Empfehlungen: Welche Authenticator App für welchen Nutzertyp?
Es gibt keine universell beste Authenticator App. Die Wahl hängt vom eigenen Nutzungsprofil, dem Ökosystem und dem Sicherheitsbedarf ab.
1. Privatnutzer im Google-Ökosystem
Empfehlung: Google Authenticator. Wer Android nutzt, bei Google Drive sichert und Gmail als primäres E-Mail-Konto hat, ist mit Google Authenticator am besten bedient. Das Cloud-Backup ist nahtlos integriert, der Gerätewechsel reibungslos. Voraussetzung: Das Google-Konto selbst muss stark gesichert sein, idealerweise mit einem Hardware-Key oder einer zweiten TOTP-App auf einem anderen Gerät.
2. Unternehmensnutzer im Microsoft-Ökosystem
Empfehlung: Microsoft Authenticator. Wer täglich Microsoft 365, Azure oder Teams nutzt, profitiert massiv von der tiefen Integration in Microsoft Entra ID. Push-Benachrichtigungen mit Number Matching, passwortlose Anmeldung und zentrale IT-Verwaltung machen Microsoft Authenticator zur besten Unternehmenslösung in diesem Vergleich.
3. Datenschutzbewusste Nutzer, cross-platform
Empfehlung: 2FAS. Wer keine Daten bei Google oder Microsoft hinterlegen möchte, Open Source bevorzugt und das Browser-Plugin zu schätzen weiß, findet in 2FAS die beste Kombination aus Komfort und Datenschutz. Verfügbar für iOS und Android.
4. Android-Puristen mit Fokus auf maximale Kontrolle
Empfehlung: Aegis Authenticator. Für Android-Nutzer, die keinerlei Cloud-Dienste nutzen wollen und maximale Kontrolle über ihre TOTP-Secrets bevorzugen, ist Aegis die richtige Wahl. Die AES-256-verschlüsselte lokale Vault-Datei und der saubere Open-Source-Code machen Aegis zur sichersten App in diesem Vergleich gegen Cloud-basierte Angriffe.
5. Höchste Sicherheitsanforderungen, für alle Gerätetypen
Empfehlung: YubiKey 5 NFC + 2FAS als TOTP-Backup. Wer maximale Phishing-Resistenz benötigt, beispielsweise für Finanzkonten, privilegierte Admin-Zugänge oder journalistische Quellenschutz-Accounts, sollte in einen Hardware-Key investieren. Der YubiKey 5 NFC unterstützt FIDO2, WebAuthn, PIV-Smartcard und TOTP auf einem einzigen Gerät. 2FAS dient als TOTP-Fallback für Dienste, die noch keine Hardware-Keys unterstützen.
BSI-Empfehlungen und Expertenstandards für 2FA in Deutschland
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt Zwei-Faktor-Authentifizierung für alle Online-Konten, bei denen persönliche Daten, finanzielle Informationen oder berufliche Ressourcen gespeichert sind. Die BSI-Leitlinie zur Zwei-Faktor-Authentisierung stuft FIDO2-Hardware-Keys als sicherste verfügbare Methode ein, gefolgt von Authenticator Apps (TOTP), Push-MFA, E-Mail-OTP und schließlich SMS-OTP als schwächste Option.
Für Unternehmen mit erhöhtem Schutzbedarf empfiehlt das BSI die Kombination aus starker Authentifizierung und Zero-Trust-Prinzipien: Auch nach erfolgreicher MFA-Anmeldung soll der Zugriff auf sensible Ressourcen durch weitere Kontextprüfungen abgesichert werden. Microsoft Authenticators Number Matching und Entra ID Conditional Access spiegeln diese Empfehlung direkt wider.
Die FIDO Alliance hat 2022 gemeinsam mit Apple, Google und Microsoft Passkeys eingeführt, eine Weiterentwicklung von FIDO2, die TOTP-Apps langfristig ablösen soll. Passkeys sind geräteseitig gespeicherte kryptografische Schlüssel, die phishing-resistent sind und kein Eintippen von Codes erfordern. Zum aktuellen Zeitpunkt unterstützen nicht alle Dienste Passkeys, weshalb Authenticator Apps noch auf Jahre hinaus relevant bleiben. Mehr dazu in unserem Vergleich Passkeys vs. Passwörter.
Für deutsche Unternehmen, die die Microsoft Authenticator-Dokumentation für Enterprise-Deployments nutzen, bietet Microsoft detaillierte Konfigurationsanleitungen für Number Matching, FIDO2-Schlüssel und passwortlose Authentifizierung in Microsoft Entra.
Fazit: Klarer Sieger je nach Anforderung
Es gibt keine universell beste Authenticator App, weil die Anforderungen zu unterschiedlich sind. Hier ist das klare Urteil nach diesem Vergleich:
Google Authenticator gewinnt für Privatnutzer im Google-Ökosystem, die einfache Einrichtung und nahtloses Backup wollen. Die App macht genau das, wofür sie gebaut ist, ohne Ablenkung.
Microsoft Authenticator gewinnt für Unternehmensnutzer und alle, die täglich Microsoft 365 oder Azure nutzen. Push-MFA mit Number Matching, passwortlose Anmeldung und Entra-Integration machen sie zur mächtigsten App in diesem Vergleich, aber nur im Microsoft-Ökosystem.
2FAS gewinnt für datenschutzbewusste Nutzer und Entwickler, die Open Source, E2E-Backup und Browser-Integration kombinieren wollen. Die App ist für iOS und Android verfügbar und bietet nach dem Tod von Authy Desktop die beste Desktop-Integration via Browser-Plugin.
Aegis gewinnt für Android-Nutzer, die maximale lokale Kontrolle wollen und keinen Cloud-Diensten vertrauen. Die Kombination aus AES-256-Vault und Open-Source-Code ist technisch überzeugend.
Authy bleibt eine solide Wahl für bestehende Nutzer, die die mobile App weiterhin verwenden. Neue Nutzer ohne Authy-Geschichte sollten jedoch 2FAS oder Google/Microsoft Authenticator bevorzugen, weil die Zukunft von Authy nach dem Desktop-Aus unklarer ist als die der anderen Anbieter.
Wer maximale Sicherheit braucht und nicht auf Phishing-Resistenz verzichten will, investiert in einen YubiKey und nutzt 2FAS als TOTP-Fallback. Das ist die sicherste Kombination, die dieser Vergleich empfehlen kann.
5 Praxisbeispiele: Authenticator Apps in realen Szenarien
Abstrakte Sicherheitsratschläge helfen wenig ohne konkreten Kontext. Die folgenden fünf Szenarien zeigen, wie sich die Wahl der Authenticator App in der Praxis auswirkt.
Praxisbeispiel 1: Der Freelancer mit 30 SaaS-Konten
Ein Webentwickler nutzt täglich 30 verschiedene Dienste: GitHub, Vercel, Cloudflare, Stripe, AWS, Figma, Notion und weitere. Er wechselt regelmäßig zwischen macOS und iPhone. Sein bisheriges Werkzeug war Authy Desktop, bis der Client im März 2024 abgeschaltet wurde.
Lösung: 2FAS mit Browser-Plugin. Das Plugin für Chrome sendet eine Benachrichtigung an die iPhone-App, wenn auf einem gesicherten Konto eine 2FA-Eingabe erkannt wird. Der Entwickler genehmigt die Anfrage per Face ID, ohne den TOTP-Code manuell ablesen und eintippen zu müssen. Backup läuft verschlüsselt über iCloud. Migration von 30 Diensten dauerte etwa 90 Minuten.
Praxisbeispiel 2: Das mittelständische Unternehmen mit 150 Mitarbeitern
Ein Maschinenbauunternehmen aus Baden-Württemberg mit 150 Mitarbeitern läuft vollständig auf Microsoft 365. Nach einer Phishing-Kampagne, die drei Mitarbeiter-Konten kompromittierte, entschied sich die IT-Abteilung für die Einführung von MFA für alle Benutzer.
Lösung: Microsoft Authenticator mit Conditional Access in Microsoft Entra ID. Die IT-Abteilung aktivierte Number Matching und erzwang MFA für alle Anmeldungen außerhalb des Firmennetzwerks. Drei Monate nach Rollout: null erfolgreiche externe Kontoübernahmen. Die Einrichtung aller 150 Benutzer dauerte mit Self-Service-Enrollment zwei Wochen.
Praxisbeispiel 3: Die Journalistin mit Quellenschutz-Anforderungen
Eine investigative Journalistin kommuniziert mit Quellen über verschlüsselte Kanäle. Ihre digitale Sicherheit ist keine persönliche Präferenz, sondern berufliche Pflicht. Sie ist täglich Ziel von Spear-Phishing-Angriffen und braucht MFA, das auch bei gezielten Angriffen standhält.
Lösung: YubiKey 5 NFC als primäre Authentifizierung für alle kritischen Konten (E-Mail, Signal, Passwort-Manager, Cloud-Storage). Aegis auf einem dedizierten, offline-nutzungsfähigen Android-Gerät als TOTP-Fallback für Dienste ohne Hardware-Key-Unterstützung. Kein Cloud-Backup für TOTP-Codes. Backup-YubiKey in einem Bankschließfach.
Praxisbeispiel 4: Der Privatnutzer mit iPhone und Apple-Ökosystem
Ein Privatnutzer nutzt ausschließlich Apple-Geräte: iPhone 15, MacBook Pro und Apple Watch. Er möchte 2FA für seine wichtigsten Konten aktivieren (Bank, E-Mail, Social Media), sucht aber nach einer einfachen Lösung ohne Lernkurve.
Lösung: Apple hat ab iOS 15 und macOS Monterey native TOTP-Unterstützung im iCloud-Schlüsselbund integriert. Für viele Standardanwendungsfälle ist kein separater Authenticator nötig: In den Systemeinstellungen unter Passwörter kann ein TOTP-Setup direkt für unterstützte Dienste gespeichert werden. Für Dienste außerhalb des Safari-Ökosystems empfiehlt sich 2FAS, das auch auf dem iPad sync-bereit ist. Alternativ funktioniert Google Authenticator für Apple-Nutzer gut, da das Cloud-Backup über ein Google-Konto läuft, das unabhängig vom Apple-ID-Konto ist.
Praxisbeispiel 5: Das Start-up mit Remote-Team in 5 Ländern
Ein SaaS-Start-up mit 25 Mitarbeitern in Deutschland, Österreich, der Schweiz, Polen und den Niederlanden nutzt keine Microsoft-Infrastruktur, sondern Google Workspace, GitHub, AWS und Notion. Der CTO sucht eine MFA-Lösung, die ohne zentralen Identity-Provider funktioniert und in jedem Land verfügbar ist.
Lösung: Google Authenticator für alle Mitarbeiter im Google Workspace-Kontext, kombiniert mit 2FAS für Dienste außerhalb von Google. Das Start-up nutzt Google Workspace-Admin-Konsole zur Überprüfung, ob MFA aktiv ist. Für Github-Konten wurden Hardware-Keys für die drei Administratoren angeschafft, weil ein kompromittiertes Admin-Konto den gesamten Code-Repository gefährden würde.
Sicherheitsvorfälle: Was passiert, wenn Authenticator Apps versagen?
Authenticator Apps sind kein Allheilmittel. Mehrere reale Angriffe haben gezeigt, wo die Grenzen liegen und welche App-Eigenschaften das Risiko minimieren.
MFA-Fatigue-Angriffe: 2022 nutzte die Hackergruppe Lapsus$ MFA-Fatigue gegen Okta, Uber und Nvidia. Dabei wurden Dutzende Push-Benachrichtigungen an Mitarbeiter gesendet, bis jemand versehentlich zustimmte. Microsoft reagierte mit Number Matching in Microsoft Authenticator, das genau diese Angriffsmethode adressiert. TOTP-Apps sind gegen MFA-Fatigue immun, weil sie keine Push-Mechanismen haben.
Real-Time-Phishing (Adversary-in-the-Middle): Tools wie Evilginx und Modlishka agieren als transparente Proxies zwischen Opfer und legitimem Dienst. Sie fangen sowohl Passwort als auch TOTP-Code in Echtzeit ab und leiten sie weiter. Dieser Angriff funktioniert gegen alle TOTP-Apps. Einzige Abhilfe: FIDO2-Hardware-Keys, deren origin-gebundene Authentifizierung auf Proxy-Seiten nicht funktioniert.
Malware auf dem Endgerät: Wenn das Smartphone mit Malware infiziert ist, die Bildschirminhalte ausliest, können TOTP-Codes direkt abgegriffen werden. Diese Angriffsklasse ist gegen alle App-basierten Lösungen wirksam und lässt sich nur durch robuste Gerätesicherheit (aktuelles Betriebssystem, kein Jailbreak/Root) minimieren. Aegis speichert den Vault lokal verschlüsselt, was den Schaden bei einem Geräte-Backup-Kompromiss begrenzt.
SIM-Swapping: Gegen SIM-Swapping sind alle fünf Authenticator Apps vollständig immun, weil sie kein Mobilfunknetz nutzen. Das ist der entscheidende Vorteil gegenüber SMS-OTP. Authy ist das einzige Tool in diesem Vergleich mit einer Telefonnummer-Abhängigkeit für die Kontowiederherstellung, was bei SIM-Swapping ein theoretisches Risiko darstellt, aber durch das E2E-Backup-Passwort gemindert wird.
Datenschutz-Analyse: Wem gehören deine TOTP-Codes?
Authenticator Apps verarbeiten hochsensible Daten: TOTP-Shared-Secrets, die Zugang zu deinen wichtigsten Konten ermöglichen. Wer diese Daten wie speichert und verarbeitet, ist eine berechtigte Datenschutzfrage.
Google Authenticator: Der TOTP-Shared-Secret wird im Cloud-Backup an Google übertragen. Google kündigte Ende-zu-Ende-Verschlüsselung für das Backup an, aber die vollständige Implementierung für alle Nutzer steht noch aus. Im Worst Case bedeutet das: Ein Google-Mitarbeiter mit entsprechenden Rechten könnte theoretisch auf Backup-Daten zugreifen. Für die meisten Nutzer ist das kein praktisches Risiko, aber für Hochsicherheitsanforderungen ist es ein Problem.
Microsoft Authenticator: Ähnliche Situation. Das Backup läuft über Microsoft-Server und ist an das Microsoft-Konto gebunden. Microsoft unterliegt als US-Unternehmen dem CLOUD Act, was für europäische Nutzer mit strengen DSGVO-Anforderungen relevant sein kann.
Authy: Das Backup ist Ende-zu-Ende-verschlüsselt. Twilio (US-Unternehmen) speichert die Daten, kann aber ohne das Backup-Passwort nichts damit anfangen. Für DSGVO-Compliance ist zu beachten, dass die Daten auf US-Servern liegen.
2FAS und Aegis: Open-Source-Code bedeutet, dass jede Zeile Code unabhängig auditierbar ist. 2FAS nutzt iCloud oder Google Drive für das Backup, aber clientseitig verschlüsselt. Aegis speichert ausschließlich lokal. Aus DSGVO-Perspektive sind beide Lösungen die sauberste Wahl für Unternehmen, die personenbezogene Daten verarbeiten und im Rahmen einer DSGVO-konformen Lieferkette bleiben müssen.
Pros und Cons: Schnellübersicht
Google Authenticator
| Pros | Cons |
|---|---|
| Kostenlos, keine Registrierung nötig | Backup abhängig vom Google-Konto |
| Nahtlose Integration in Android | Keine Desktop-App |
| Einfachste Einrichtung aller Apps | Kein Open Source |
| QR-basierter Gerätetransfer | Keine Apple Watch-Unterstützung |
Microsoft Authenticator
| Pros | Cons |
|---|---|
| Number Matching verhindert MFA Fatigue | Optimiert für Microsoft-Ökosystem |
| Passwortlose Anmeldung für MS-Konten | Kein Open Source |
| Enterprise-Verwaltung via Entra ID | Backup an Microsoft-Konto gebunden |
| 100+ Mio. aktive Nutzer | Für Nicht-MS-Nutzer überdimensioniert |
Verwandte Artikel
Mehr zum Thema Authentifizierung und Account-Sicherheit auf shattered.io:
- Zwei-Faktor-Authentifizierung in Node.js: 11 Schritte, 30 Min
- Passkeys vs. Passwörter: 8,5 vs. 31 Sekunden Anmeldezeit
- Bitwarden vs. 1Password: 10 € vs. 36 € pro Jahr im Vergleich
- KeePassXC vs. Bitwarden: 0 € Lokal vs. Cloud im Vergleich
- Node.js Session Management: 11 Schritte, 30 Min
Häufig gestellte Fragen (FAQ)
Welche Authenticator App empfiehlt das BSI?
Das BSI empfiehlt FIDO2-Hardware-Keys als sicherste Methode, gefolgt von Authenticator Apps mit TOTP. Für die konkrete App-Wahl gibt das BSI keine Empfehlung für einen bestimmten Anbieter, aber die Prinzipien Open-Source-Code, Ende-zu-Ende-verschlüsseltes Backup und keine Telefonnummer-Bindung sprechen für 2FAS oder Aegis.
Was passiert mit meinen Codes, wenn ich mein Handy verliere?
Das hängt von der genutzten App ab. Google Authenticator und Microsoft Authenticator stellen Codes über das Cloud-Backup wieder her, solange Zugang zum jeweiligen Google- oder Microsoft-Konto besteht. Authy nutzt E2E-verschlüsseltes Backup mit eigenem Passwort. 2FAS bietet manuellen Export. Aegis hat kein automatisches Backup, was manuellen Export voraussetzt. Bei Verlust des Handys ohne Backup kann die Wiederherstellung nur über den Kundensupport der einzelnen Dienste erfolgen, bei denen 2FA aktiv war.
Ist Authy nach dem Desktop-Aus noch empfehlenswert?
Authy Mobile funktioniert weiterhin und ist sicher. Das E2E-verschlüsselte Backup ist ein echter Vorteil. Für Nutzer, die den Desktop-Client aktiv genutzt haben, ist 2FAS mit Browser-Plugin die beste Alternative. Für neue Nutzer ohne bestehende Authy-Einrichtung gibt es keinen zwingenden Grund, Authy statt 2FAS zu wählen.
Schützt eine Authenticator App gegen Phishing?
Eingeschränkt. TOTP-Codes schützen gegen automatisierte Credential-Stuffing-Angriffe, weil das Passwort allein nicht ausreicht. Gegen Echtzeit-Phishing, bei dem der Angreifer Code und Passwort gleichzeitig abgreift und sofort weiterleitet, bieten TOTP-Apps keinen zuverlässigen Schutz. Dafür braucht man FIDO2-Hardware-Keys, deren Authentifizierung origin-bound ist und auf gefälschten Seiten nicht funktioniert.
Kann ich mehrere Authenticator Apps gleichzeitig nutzen?
Ja. Es ist möglich und oft empfehlenswert, beim Einrichten eines neuen Dienstes den QR-Code gleichzeitig in zwei Apps zu scannen, also den gleichen TOTP-Seed in zwei Apps zu hinterlegen. Das dient als gegenseitiges Backup. Wichtig: Beide Apps erzeugen dann identische Codes zur gleichen Zeit, weil sie denselben Shared Secret und dieselbe Zeitbasis verwenden.
Was ist der Unterschied zwischen 2FAS und Aegis?
Beide sind Open Source und kostenlos. Der Hauptunterschied: 2FAS ist für iOS und Android verfügbar, bietet Cloud-Backup und hat ein Browser-Plugin. Aegis ist ausschließlich für Android und setzt auf lokale Verschlüsselung ohne Cloud. Wer ein iPhone hat, kann Aegis nicht nutzen. Wer maximale Kontrolle ohne Cloud will und Android nutzt, ist mit Aegis besser bedient. Alle anderen wählen 2FAS.
Wie sicher sind Authenticator Apps gegen SIM-Swapping?
Authenticator Apps sind vollständig immun gegen SIM-Swapping, weil sie keine SMS-OTPs verwenden. SIM-Swapping ist ein Angriff, bei dem ein Angreifer die Telefonnummer des Opfers auf eine eigene SIM überträgt und dadurch SMS-basierte OTP-Codes abfangen kann. TOTP-Apps generieren Codes lokal auf dem Gerät, ohne Mobilfunknetz-Abhängigkeit. Das ist einer der Hauptgründe, warum Authenticator Apps SMS-OTP immer vorzuziehen sind.
