Zwei-Faktor-Authentifizierung schützt Konten besser als jedes Passwort allein. Doch welche Authenticator-App hält, was sie verspricht? Dieser Vergleich testet Google Authenticator, Microsoft Authenticator, Aegis, 2FAS und Authy anhand von Sicherheitsarchitektur, Backup-Optionen, Plattformunterstützung und realen Einsatzszenarien, um Ihnen eine klare Entscheidung zu ermöglichen.
Warum Authenticator-Apps 2026 unverzichtbar sind
Phishing, Credential Stuffing und SIM-Swapping zählen zu den drei häufigsten Angriffsvektoren auf Nutzerkonten. Laut dem BKA-Cybercrime-Bericht 2025 wurden in Deutschland 333.922 digitale Straftaten erfasst, wobei ein erheblicher Anteil auf kompromittierte Zugangsdaten zurückzuführen ist. Passwörter allein reichen nicht mehr aus: Ein zusätzlicher Zeitcode, den nur das eigene Gerät erzeugt, blockiert den Großteil dieser Angriffe zuverlässig.
Authenticator-Apps erzeugen TOTP-Codes (Time-based One-Time Passwords) nach dem RFC 6238-Standard. Jeder Code ist 30 Sekunden gültig und wird lokal auf dem Gerät berechnet, ohne Netzwerkverbindung. Im Unterschied zu SMS-basierter 2FA können TOTP-Codes nicht per SS7-Angriff abgefangen werden. Dennoch bleibt eine Schwachstelle: Wer einen gültigen Code in eine Phishing-Seite eingibt, gibt dem Angreifer trotzdem Zugang, wenn dieser den Code innerhalb des 30-Sekunden-Fensters verwendet.
Die Wahl der richtigen App entscheidet darüber, wie sicher Ihre 2FA-Codes gespeichert werden, wie einfach ein Gerätewechsel ist und ob ein kompromittiertes Google- oder Microsoft-Konto automatisch auch Ihre Zwei-Faktor-Codes gefährdet. Genau hier unterscheiden sich die fünf Kandidaten grundlegend.
Wer bereits weiß, wie TOTP technisch funktioniert, findet in unserem Artikel zur Zwei-Faktor-Authentifizierung in Node.js eine praktische Implementierungsanleitung. Für die Wahl der App selbst gilt: Es gibt keine eine universelle Antwort, aber sehr klare Gewinner je nach Sicherheitsbedarf und Plattform.
Die fünf Apps auf einen Blick: Schnellvergleich
Bevor wir in die Details einsteigen, zeigt diese Tabelle die wichtigsten Eckdaten. Die vollständige Spezifikationsübersicht folgt im Abschnitt “Technischer Vergleich”.
| App | Preis | Plattformen | Open Source | Backup | Empfehlung |
|---|---|---|---|---|---|
| Google Authenticator | Kostenlos | iOS, Android | Nein | Google-Konto (kein E2EE) | Einsteiger im Google-Ökosystem |
| Microsoft Authenticator | Kostenlos | iOS, Android | Nein | Microsoft-Konto | Microsoft/Azure-Nutzer |
| Aegis Authenticator | Kostenlos | Android | Ja (MIT) | Lokal AES-256-GCM | Sicherheitsbewusste Android-Nutzer |
| 2FAS Auth | Kostenlos | iOS, Android | Ja (MIT) | Lokal + separates Backup-Passwort | Plattformübergreifende Nutzung |
| Authy | Kostenlos | iOS, Android | Nein | Cloud (verschlüsselt, Telefonnummer) | Nur für Bestandsnutzer |
Google Authenticator: Einfachheit mit einem wichtigen Backup-Problem
Google Authenticator ist die meistgenutzte Authenticator-App weltweit. In Deutschland erzeugt der Begriff “Google Authenticator App” allein 6.600 monatliche Suchanfragen und ist damit die erste Anlaufstelle für neue 2FA-Nutzer. Die App ist kostenlos, benötigt kein Konto für die Grundfunktion und wird von nahezu jedem Dienst, der TOTP unterstützt, als erstes in der Einrichtungsanleitung empfohlen. Das macht sie zur meistinstallierten App dieser Kategorie.
Cloud-Sync und das E2EE-Problem: Seit 2023 bietet Google eine optionale Synchronisation der TOTP-Tokens über das Google-Konto an. Das klingt praktisch, hat aber einen entscheidenden Haken: Google implementiert für diese Backups keine Ende-zu-Ende-Verschlüsselung (E2EE). Das Unternehmen bestätigte selbst, dass E2EE “zu einem späteren Zeitpunkt” geplant sei, ohne konkreten Zeitplan. Technisch bedeutet das: Google kann auf Ihre gespeicherten TOTP-Secrets zugreifen, und bei einer Kompromittierung Ihres Google-Kontos sind nicht nur E-Mails und Dateien betroffen, sondern auch alle 2FA-Codes.
Privacy Screen: Eine nützliche Funktion ist der Privacy Screen, der vor dem Öffnen der App eine zusätzliche Authentifizierung (Biometrie oder PIN) verlangt, auch wenn das Gerät bereits entsperrt ist. Diese Ebene schützt vor neugierigen Blicken im öffentlichen Raum und bei kurz unbeaufsichtigtem Gerät.
Export-Optionen: Google Authenticator erlaubt den Export von Tokens via QR-Code, was die Migration auf ein neues Gerät vereinfacht. Allerdings ist der Export-QR-Code nicht verschlüsselt, was eine physische Sicherheitsschwachstelle darstellt, wenn der Code abfotografiert wird. Ein weiterer Punkt: Die App bietet keinen Desktop-Client, was für Entwickler und IT-Profis, die primär am PC arbeiten, unpraktisch ist.
Für wen geeignet: Für die meisten Privatnutzer, die bereits tief im Google-Ökosystem verankert sind und keine erhöhten Sicherheitsanforderungen haben, ist Google Authenticator die reibungsloseste Wahl. Wer dagegen ein dediziertes Angriffsziel darstellt, also Journalisten, Aktivisten, Unternehmensadministratoren oder Sicherheitsforscher, sollte die fehlende E2EE im Backup als ernstes Risiko werten und auf Aegis oder 2FAS wechseln.
Microsoft Authenticator: Klarer Sieger im Unternehmensumfeld
Microsoft Authenticator richtet sich primär an Nutzer von Microsoft 365, Azure Active Directory und Unternehmensumgebungen. Die App unterstützt den Standard-TOTP-Betrieb für beliebige Dienste, entfaltet ihr volles Potenzial aber erst in Kombination mit dem Microsoft-Ökosystem.
Push-basierte MFA und passwortloses Anmelden: Im Unterschied zu reinen TOTP-Apps sendet Microsoft Authenticator bei Microsoft-Konten Push-Benachrichtigungen mit Kontextinformationen: Welche App versucht sich anzumelden? Von welchem Standort? Zu welcher Zeit? Der Nutzer genehmigt oder lehnt mit einem Tipper ab. Diese Methode ist komfortabler als die manuelle Code-Eingabe und bietet bei korrekter Konfiguration Phishing-Resistenz, weil der Angreifer nicht nur den Code, sondern auch die Push-Genehmigung des Opfers benötigt.
Passwortloses Anmelden: Microsoft erlaubt es, das Passwort vollständig aus dem Anmeldeprozess zu entfernen und stattdessen die App als primären Authentifikator zu nutzen. Das setzt Windows Hello oder biometrische Entsperrung des Smartphones voraus, reduziert aber die Angriffsfläche erheblich: Kein Passwort, kein Credential-Stuffing-Risiko. Unternehmen, die auf Entra ID P1 (früher Azure AD P1) setzen, zahlen dafür 6 Euro pro Nutzer und Monat und erhalten dafür zentrale MFA-Verwaltung, Conditional-Access-Policies und Sicherheitsberichte.
Backup und Migration: Microsoft Authenticator sichert Tokens über das Microsoft-Konto. Das vereinfacht die Wiederherstellung auf einem neuen Gerät erheblich, bringt aber dieselbe Abhängigkeit mit sich wie Google Authenticator: Ein kompromittiertes Microsoft-Konto gefährdet auch die 2FA-Tokens. Die App unterstützt keinen Export in andere Authenticator-Formate, was einen Wechsel zu Aegis oder 2FAS aufwendiger macht.
Plattformabdeckung: iOS und Android werden vollständig unterstützt. Eine Desktop-Anwendung für Windows und macOS existiert nicht; Microsoft setzt stattdessen auf Windows Hello für Desktops. Für reine TOTP-Szenarien außerhalb von Microsoft-Diensten bietet Microsoft Authenticator keine Vorteile gegenüber 2FAS oder Google Authenticator.
Aegis Authenticator: Der Sicherheits-Favorit für Android-Nutzer
Aegis Authenticator ist die Empfehlung von Sicherheitsforschern und der Privacy-Community, wenn maximale Kontrolle über TOTP-Tokens gefragt ist. Die App ist vollständig Open Source unter MIT-Lizenz, auf GitHub einsehbar und überprüfbar, und verzichtet bewusst auf jegliche Cloud-Anbindung.
Lokale Verschlüsselung als Kernfunktion: Aegis speichert alle Tokens in einer lokal verschlüsselten Datenbank. Als Verschlüsselungsalgorithmus kommt AES-256-GCM zum Einsatz; der Schlüssel wird durch ein Master-Passwort oder biometrische Entsperrung geschützt. Kein Server, kein Cloud-Konto, keine externe Abhängigkeit. Selbst wenn das Gerät gestohlen und der Dieb das Entsperrpasswort des Telefons kennt, bleibt die Aegis-Datenbank durch das zusätzliche Master-Passwort geschützt.
Export und Backup: Aegis erlaubt den Export der verschlüsselten Datenbank als Datei, die der Nutzer selbst sichert, etwa auf einem USB-Stick, in einem selbstverwalteten Cloud-Storage oder auf einem Backup-Gerät. Das erfordert mehr Eigenverantwortung als automatische Cloud-Synchronisation, gibt aber die vollständige Kontrolle zurück. Keine andere App in diesem Vergleich bietet ein vergleichbares Sicherheitsmodell für mobile TOTP-Verwaltung.
Import aus anderen Apps: Aegis kann Tokens aus Google Authenticator, Authy und anderen Quellen importieren. Dafür scannt die App den Export-QR von Google Authenticator oder liest Authy-Backups aus, was einen Umstieg erleichtert.
Einschränkung: Android only. Aegis läuft ausschließlich auf Android. Wer iPhone, iPad oder Desktop-Zugang zu TOTP-Codes benötigt, muss auf eine andere Lösung zurückgreifen. Das ist die einzige echte Schwäche dieser App. Im Keyword-Vergleich zeigt “aegis authenticator” 720 monatliche Suchanfragen in Deutschland bei einem Keyword-Difficulty-Score von nur 17, was auf geringe SEO-Konkurrenz hindeutet und erklärt, warum diese App in deutschsprachigen Tech-Communities unterrepräsentiert bleibt, obwohl sie technisch überlegen ist.
Community und Entwicklung: Das Projekt wird aktiv auf GitHub gewartet. Sicherheitslücken werden transparent in Release-Notes dokumentiert. Das ist ein Vorteil gegenüber Closed-Source-Apps wie Google und Microsoft Authenticator, bei denen Nutzer auf externe Audits angewiesen sind, um das Sicherheitsmodell zu verstehen. Das offizielle Aegis-Projekt stellt auf der Website eine detaillierte Dokumentation der Verschlüsselungsarchitektur bereit.
2FAS Auth: Open Source, plattformübergreifend und Browser-fähig
2FAS (Two Factor Authentication Service) ist die jüngste, aber am schnellsten wachsende Alternative im Vergleich. Die App verbindet die Sicherheitsphilosophie von Aegis mit einer breiten Plattformunterstützung und einer modernen Benutzeroberfläche, die regelmäßig als benutzerfreundlichste Option im Feld gelobt wird.
Open Source und lokale Datenspeicherung: Wie Aegis ist 2FAS vollständig Open Source. Der Quellcode ist auf GitHub verfügbar und wurde von der Community geprüft. Tokens werden standardmäßig lokal gespeichert, ohne Cloud-Konto. Optional bietet 2FAS ein verschlüsseltes Backup über Google Drive oder iCloud an, wobei das Backup mit einem separaten Passwort verschlüsselt wird, das nicht an das Cloud-Konto gebunden ist. Das ist eine deutlich sicherere Lösung als Google Authenticators Backup-Ansatz ohne E2EE. Mehr dazu auf der offiziellen 2FAS-Website.
iOS und Android: Anders als Aegis unterstützt 2FAS beide mobilen Plattformen vollständig. Für iOS-Nutzer, die eine datenschutzorientierte Alternative zu Google Authenticator suchen, ist 2FAS damit die naheliegendste Wahl. Zapier listet 2FAS in seinem Vergleich 2026 explizit als “beste App für Benutzerfreundlichkeit” mit besonderer Hervorhebung der QR-Upload-Funktion, der Apple-Watch-Unterstützung, der Kategorisierung von Diensten und der einfachen Backup-Erstellung.
Browser-Extension: 2FAS bietet eine Browser-Extension für Chrome und Firefox, die Codes auf Knopfdruck ins Clipboard kopiert. Damit schließt die App die Lücke zum Desktop, ohne eine eigene Desktop-Anwendung zu benötigen. Das Smartphone fungiert als Token-Quelle; die Extension zeigt die Codes im Browser an. Unter den fünf verglichenen Apps ist 2FAS die einzige, die einen halbwegs praktischen Desktop-Workflow ermöglicht.
Kein Konto erforderlich: 2FAS benötigt keine Registrierung und keine Telefonnummer, was einen direkten Vorteil gegenüber Authy darstellt. Die App speichert keine Identifikationsdaten auf externen Servern. In Community-Vergleichen auf Reddit (r/Bitwarden, r/privacy) wird 2FAS gemeinsam mit Aegis und Ente Auth als eine der besten Wahlen für datenschutzbewusste Nutzer gelistet.
Authy: Pionier mit zu vielen Schattenseiten 2026
Authy war jahrelang die erste Empfehlung für Nutzer, die eine bequeme Cloud-Synchronisation und Multi-Geräte-Unterstützung wollten. Die Entwicklerfirma Twilio machte Authy bekannt und sorgte für breite Akzeptanz bei Verbrauchern und kleinen Unternehmen.
Was 2024 passierte: Twilio stellte 2024 den Authy-Desktop-Client für Windows und macOS ein. Bestehende Nutzer verloren damit die Möglichkeit, TOTP-Codes am Computer einzusehen, was einen erheblichen Teil des Authy-Mehrwerts vernichtete. Aktuelle Vergleichsartikel beschreiben Authy 2026 als “mobile-only” und merken an, dass die App nicht mehr die Multi-Gerät-Erfahrung bietet, die sie einst auszeichnete.
Sicherheitsbedenken: Authys Cloud-Sync-Funktion verschlüsselt Backups, nutzt aber als zentrales Identifikationsmerkmal eine Telefonnummer. Das erhöht das SIM-Swapping-Risiko. Twilio selbst empfahl zeitweise, die Synchronisierung zu deaktivieren, um Code-Klonen durch Angreifer zu verhindern. Das ist eine bemerkenswerte Aussage für eine Funktion, die als Hauptvorteil der App vermarktet wurde.
Migration von Authy: Wer von Authy wechseln möchte, steht vor einer ernsthaften Herausforderung: Authy erlaubt keinen Standard-Export der Tokens. Nutzer müssen jeden Dienst einzeln deaktivieren und mit der neuen App neu einrichten. Bei 30 oder mehr 2FA-Konten bedeutet das mehrere Stunden Aufwand. Community-Tools zum Auslesen von Authy-Backups existieren, befinden sich aber in einer rechtlichen Grauzone und sind technisch anspruchsvoll.
Aktuelle Position 2026: Authy bleibt für bestehende Nutzer ohne dringenden Wechselgrund nutzbar, ist aber für Neueinsteiger nicht mehr erste Empfehlung. Die Kombination aus fehlendem Desktop-Client, Telefonnummernabhängigkeit und eingeschränkten Export-Optionen macht 2FAS oder Aegis zur besseren Wahl.
Technischer Vergleich: Sicherheit, Verschlüsselung und Features
Diese Tabelle vergleicht alle fünf Authenticator-Apps anhand von 14 technischen Kriterien, die für eine fundierte Wahl relevant sind. Wer tiefer in die Funktionsweise von HMAC-basierten Codes einsteigen möchte, findet in unserem HMAC-SHA256-Tutorial die technische Basis.
| Kriterium | Google Auth. | Microsoft Auth. | Aegis | 2FAS | Authy |
|---|---|---|---|---|---|
| TOTP-Unterstützung | Ja | Ja | Ja | Ja | Ja |
| HOTP-Unterstützung | Ja | Nein | Ja | Ja | Nein |
| Open Source | Nein | Nein | Ja (MIT) | Ja (MIT) | Nein |
| Backup-Verschlüsselung | Kein E2EE | Kein E2EE | AES-256-GCM lokal | Separat verschlüsselt | Cloud verschlüsselt |
| iOS-Support | Ja | Ja | Nein | Ja | Ja |
| Android-Support | Ja | Ja | Ja | Ja | Ja |
| Desktop-App | Nein | Nein | Nein | Browser-Extension | Nein (2024 eingestellt) |
| Konto erforderlich | Optional (Google) | Optional (Microsoft) | Nein | Nein | Ja (Telefonnummer) |
| Push-MFA | Nein | Ja (MS-Konten) | Nein | Nein | Nein |
| Passwortloser Login | Nein | Ja (MS-Konten) | Nein | Nein | Nein |
| Token-Export | QR-Code (unverschlüsselt) | Nein | Verschlüsselte Datei | Verschlüsselte JSON | Nein |
| Token-Import | QR-Code | Nein | Ja (GA, Authy, etc.) | Ja (GA, etc.) | Nein |
| Biometrische Sperre | Ja | Ja | Ja | Ja | Ja |
| Privacy Screen | Ja | Nein | Ja | Ja | Nein |
Auffällig: Microsoft Authenticator und Authy erlauben keinen Token-Export, was einen späteren Wechsel erheblich erschwert. Aegis und 2FAS bieten die stärkste Exportfunktion und damit die höchste Portabilität. Nur Microsoft Authenticator unterstützt Push-MFA und passwortloses Anmelden, diese Funktionen sind aber auf Microsoft-Dienste beschränkt.
Preise und Kosten im Vergleich
Alle fünf Authenticator-Apps sind für Privatnutzer kostenlos. Der Unterschied liegt in versteckten Kosten: Zeit für Migrationsaufwand bei einem App-Wechsel, Abhängigkeit von kostenpflichtigen Cloud-Abonnements für Backups und enterprise-spezifische Erweiterungen. Passend dazu lohnt sich auch ein Blick auf unseren Passwort Manager Vergleich, der zeigt, welche Tools TOTP bereits integriert haben.
| App | Grundpreis | Cloud-Backup-Kosten | Enterprise-Option | Versteckte Kosten |
|---|---|---|---|---|
| Google Authenticator | Kostenlos | Kostenlos (Google-Konto) | Nicht verfügbar | Google Workspace bei Unternehmenseinsatz |
| Microsoft Authenticator | Kostenlos | Kostenlos (Microsoft-Konto) | Entra ID P1: 6 €/User/Monat | Azure-Lizenz für erweiterte MFA-Policies |
| Aegis Authenticator | Kostenlos | 0 € (selbst verwaltet) | Nicht verfügbar | Keine |
| 2FAS Auth | Kostenlos | 0 € (iCloud/Google Drive) | Nicht verfügbar | Keine |
| Authy | Kostenlos | Kostenlos (Twilio) | Twilio Verify: ab 0,05 €/Verifizierung | API-Kosten bei Integration in eigene Apps |
Für Einzelnutzer sind alle Optionen wirklich kostenlos. Der Unterschied wird für Unternehmen relevant: Microsoft Authenticator mit Entra-ID-P1-Lizenz bietet zentrale MFA-Verwaltung, Conditional-Access-Policies und Sicherheitsberichte für 6 Euro pro Nutzer und Monat. Twilio Verify ist eine API-Lösung für Entwickler, die 2FA in eigene Anwendungen integrieren wollen, und arbeitet als Backend-Dienst, nicht als Endnutzer-App.
Backup und Wiederherstellung: Gerätewechsel ohne Datenverlust
Das Backup-Szenario ist für die meisten Nutzer das kritischste. Ein kaputtes oder verlorenes Smartphone ohne 2FA-Backup bedeutet im schlimmsten Fall den dauerhaften Verlust des Zugangs zu Dutzenden Diensten. Die fünf Apps lösen dieses Problem sehr unterschiedlich.
Cloud-Sync: Bequem, aber mit Kompromissen
Google Authenticator speichert Tokens beim Cloud-Sync im Google-Konto ohne Ende-zu-Ende-Verschlüsselung. Wer die Sync-Funktion deaktiviert und nur lokal speichert, verliert bei einem Geräteverlust alle Tokens. Microsoft Authenticator verhält sich ähnlich: Backup im Microsoft-Konto, einfache Wiederherstellung, aber ohne E2EE-Garantie.
Authy bietet Cloud-Backup mit separatem Backup-Passwort, das vom Twilio-Konto-Passwort getrennt ist. Das ist sicherer als Google Authenticators Ansatz. Allerdings ist das Backup an eine Telefonnummer gebunden, und Twilio selbst kennt die Verschlüsselungsparameter, was ein gewisses Vertrauensniveau voraussetzt. Das BSI empfiehlt auf seiner Webseite zur Zwei-Faktor-Authentisierung ausdrücklich sichere Backup-Methoden und die Aufbewahrung von Recovery-Codes.
Lokale Backups: Mehr Sicherheit, mehr Eigenverantwortung
Aegis exportiert die gesamte Token-Datenbank als AES-256-GCM-verschlüsselte Datei. Nutzer speichern diese Datei auf einem USB-Stick, einem externen Laufwerk oder einem selbstverwalteten Cloud-Storage. Ein Angreifer, der diese Datei stiehlt, kommt ohne das Master-Passwort nicht an die Tokens. 2FAS erzeugt beim Export eine JSON-Datei, die mit einem separaten Passwort verschlüsselt ist. Diese Datei kann in iCloud oder Google Drive gespeichert werden, wobei das Backup-Passwort vom Cloud-Account-Passwort unabhängig ist.
Empfehlung für Backup-Strategie: Mindestens zwei Backup-Speicherorte nutzen. Für Aegis-Nutzer: verschlüsselte Datei auf USB-Stick plus verschlüsselte Kopie in einem Passwort-Manager wie Bitwarden. Für 2FAS-Nutzer: verschlüsseltes Backup in iCloud plus lokale Kopie. Wer Google Authenticator nutzt: Sync aktivieren, aber das Google-Konto mit einem starken, einzigartigen Passwort und einem Hardware-Key (YubiKey) absichern.
Fünf Praxisbeispiele aus dem DACH-Raum
Theorie ist gut, Praxis besser. Diese fünf Szenarien zeigen, welche App in welcher Situation die beste Wahl trifft.
Szenario 1: Der Berliner Freelancer-Entwickler. Max, 34, arbeitet von zu Hause an mehreren Kundenprojekten und verwaltet Zugänge zu GitHub, AWS, Vercel und zwölf weiteren Diensten. Er nutzt ausschließlich Android, hat aber einen Desktop-PC für die eigentliche Arbeit. Empfehlung: 2FAS mit Browser-Extension. Die Extension ermöglicht Codes am Desktop; die App sichert auf dem Android-Gerät lokal. Kein Cloud-Konto nötig, Open Source, einfacher Export für Backups.
Szenario 2: Die Münchner IT-Administratorin. Sarah, 41, verwaltet 200 Microsoft-365-Nutzer in einem mittelständischen Unternehmen. Sie muss Conditional-Access-Policies durchsetzen und MFA-Compliance nachweisen. Empfehlung: Microsoft Authenticator mit Entra ID P1. Die zentrale Verwaltungskonsole, automatische Push-MFA-Rollouts und passwortlose Anmeldeoptionen sparen Stunden an Verwaltungsaufwand pro Woche.
Szenario 3: Der Wiener Krypto-Investor. Thomas, 29, hält Bitcoin und Ethereum auf Hardware-Wallets, nutzt aber auch mehrere Börsen für den Handel. Er ist ein potenzielles Angriffsziel. Empfehlung: Aegis Authenticator. Vollständig lokal, kein Cloud-Konto, AES-256-GCM-Verschlüsselung, Master-Passwort. Die verschlüsselte Datenbank wird auf einem dedizierten USB-Stick gesichert, der im Tresor liegt. Wer Kryptowährungen hält, findet in unserem Vergleich der Ledger vs. Trezor Hardware Wallets weitere Sicherheitstipps.
Szenario 4: Die Züricher Studentin. Lisa, 22, nutzt Instagram, PayPal, ihre Uni-Plattform und einen Gaming-Account. Sie hat ein iPhone und wechselt alle zwei Jahre das Gerät. Empfehlung: 2FAS. Für iOS-Nutzer ohne erhöhte Sicherheitsanforderungen funktioniert 2FAS problemlos und bietet ein sichereres Backup als Google Authenticator. Das iCloud-Backup mit separatem Backup-Passwort erleichtert den Gerätewechsel.
Szenario 5: Das Hamburger Startup-Team. Ein fünfköpfiges Team teilt Zugänge zu Jira, Slack, AWS und einem internen CRM. Wechsel der Teammitglieder sind häufig. Empfehlung: Kein reiner Authenticator-App-Ansatz für geteilte Konten. Stattdessen: Passwort-Manager mit integriertem TOTP (Bitwarden Premium) oder dedizierte Business-MFA-Lösung. Unser Bitwarden vs. 1Password Vergleich zeigt, welche Lösung Teams am besten unterstützt.
Expertenmeinungen: Was die Tech-Community 2026 sagt
Die Tech-Community hat klare Präferenzen, und diese decken sich auffällig mit den Sicherheitsmerkmalen der Apps.
Fireship, bekannt für präzise Technik-Erklärungen für Entwickler, betont in seiner 2FA-Übersicht das grundlegende Problem aller TOTP-Apps: “Authenticator-Apps schützen nicht vor Phishing. Ein Angreifer mit einem Reverse-Proxy kann den Code in Echtzeit abfangen und verwenden, bevor er abläuft.” Sein Fazit: TOTP ist besser als SMS, aber Hardware-Keys wie YubiKey sind die einzige phishing-resistente Option für wirklich hochwertige Konten. Für den Alltag empfiehlt er Apps mit lokalem Speicher statt Cloud-Sync.
ThePrimeagen, Software-Ingenieur und Streamer mit Fokus auf Entwicklertools, hat sich klar für lokale Speicherlösungen ausgesprochen. In seinen Streams kritisiert er die Tendenz großer Tech-Unternehmen, Backup-Daten ohne E2EE in der Cloud zu speichern: “Wenn Google deine 2FA-Secrets lesen kann, dann ist ein kompromittiertes Google-Konto ein Single Point of Failure für alles.” Er nutzt selbst einen Passwort-Manager-integrierten TOTP-Ansatz für weniger kritische Konten und bevorzugt für hochwertige Zugriffe lokal verschlüsselte Lösungen wie Aegis.
MKBHD (Marques Brownlee), bekannt für Consumer-Tech-Reviews, adressiert das Backup-Problem in seiner Zielgruppe direkter: “Das Schlimmste, was passieren kann, ist ein kaputtes Handy und kein 2FA-Backup. Dafür ist eine Cloud-Sync-App für die meisten Menschen die richtigere Wahl.” MKBHD betont User Experience über maximale Sicherheit für den durchschnittlichen Nutzer, was Google Authenticator und 2FAS in den Vordergrund rückt.
Das BSI (Bundesamt für Sicherheit in der Informationstechnik) empfiehlt auf seiner Website die Nutzung von Authenticator-Apps gegenüber SMS-basierter 2FA explizit, ohne eine bestimmte App zu nennen. Die Behörde betont die Wichtigkeit von Backup-Codes und sicherer Aufbewahrung der Recovery-Optionen, was mit den Empfehlungen für Aegis und 2FAS übereinstimmt. Die New York Times Wirecutter führte umfangreiche App-Tests durch und aktualisierte ihre Empfehlung nach dem Wegfall des Authy-Desktop-Clients. Aktuelle Reviews aus 2025 und 2026 positionieren 2FAS und Ente Auth als bessere Alternativen für Nutzer, die Cloud-Backup mit höherer Sicherheit kombinieren wollen.
Migration: Von einer Authenticator-App zur anderen wechseln
Ein Wechsel der Authenticator-App ist aufwendiger als ein App-Wechsel bei anderen Kategorien, weil jeder Dienst einzeln re-enrollt werden muss. Dieser Abschnitt zeigt den einfachsten Weg für die häufigsten Migrationsszenarien.
Von Google Authenticator zu Aegis oder 2FAS
Google Authenticator bietet seit 2023 eine Export-Funktion, die alle Tokens als QR-Code bündelt. Dieser QR-Code enthält die rohen TOTP-Secrets im URI-Format. Aegis und 2FAS können diesen QR-Code direkt importieren.
# Schritt 1: Google Authenticator öffnen
# Menü (drei Punkte) → "Konten übertragen" → "Konten exportieren"
# QR-Code wird generiert – dieser enthält alle TOTP-Secrets unverschlüsselt
# Schritt 2: Aegis öffnen
# + → "QR-Code scannen" → Den Google-Authenticator-Export-QR scannen
# Alle Tokens werden importiert
# Für 2FAS: App öffnen → + → "Andere App importieren" → Google Authenticator wählen
# Schritt 3: Jeden importierten Token durch Codeeingabe beim jeweiligen Dienst testen
# Schritt 4: Google Authenticator erst nach vollständiger Verifikation deinstallierenSicherheitshinweis: Der Export-QR enthält die rohen Secrets unverschlüsselt im Kamerabild. Führen Sie diesen Schritt in einer privaten Umgebung durch und vermeiden Sie Bildschirmaufnahmen während des Prozesses. Ein einmal abfotografierter Export-QR gibt vollen Zugang zu allen exportierten Tokens.
Von Authy zu 2FAS oder Aegis
Authy erlaubt keinen direkten Export. Die einzige offizielle Methode: Jeden Dienst einzeln besuchen, die 2FA deaktivieren und mit der neuen App neu einrichten. Das ist bei fünf Konten machbar, bei 50 ein halber Arbeitstag. Manche Nutzer verwenden inoffizielle Community-Tools, die Authy-Backups auslesen, allerdings auf eigenes Risiko. Priorisieren Sie die wichtigsten zehn Konten zuerst, insbesondere E-Mail, Banking, Passwort-Manager und wichtige Arbeitszugänge. Notieren Sie sich Recovery-Codes aller Dienste, bevor Sie mit der Migration beginnen.
Empfehlungen nach Anwendungsfall
Basierend auf dem Vergleich aller fünf Apps ergibt sich folgende Empfehlungsmatrix für den DACH-Raum:
| Anwendungsfall | Empfehlung | Begründung |
|---|---|---|
| Einsteiger (iOS oder Android) | 2FAS | Einfach, open source, sicheres Backup ohne E2EE-Lücken |
| Maximale Sicherheit (Android) | Aegis | Lokale AES-256-GCM-Verschlüsselung, keine Cloud-Abhängigkeit |
| Microsoft/Azure Enterprise | Microsoft Authenticator | Push-MFA, passwortlos, zentrale Verwaltung via Entra ID |
| Einfachster Einstieg (Google-Nutzer) | Google Authenticator | Weit verbreitet, einfach einzurichten, bekannter Sync |
| Hochwertige Krypto-Konten | Aegis + Hardware-Key | Offline, verschlüsselt, kein Single Point of Failure |
| Häufiger Gerätewechsel (iPhone) | 2FAS | Verschlüsseltes iCloud-Backup mit separatem Passwort |
| Desktop-Zugang zu Codes | 2FAS (Browser-Extension) | Einzige Option unter den fünf Apps mit Desktop-Workflow |
| iOS ohne Google-Bindung | 2FAS | Open source, kein Konto nötig, sichere iCloud-Backup-Option |
Vor- und Nachteile aller fünf Apps
Google Authenticator
Vorteile: Breite Unterstützung durch Dienste weltweit, einfache Bedienung, Privacy Screen, kostenlos, kein Konto für Grundfunktion nötig, bewährte Zuverlässigkeit, direkter Import in Aegis/2FAS möglich.
Nachteile: Kein E2EE für Cloud-Backup, kein Desktop-Client, Closed Source, Export nur als unverschlüsselter QR-Code, Google-Konto-Kompromittierung gefährdet alle Tokens.
Microsoft Authenticator
Vorteile: Push-MFA mit Kontext-Informationen, passwortloses Anmelden, tiefe Azure/Microsoft-365-Integration, gratis für Privatnutzer, phishing-resistente MFA im Microsoft-Kontext.
Nachteile: Kein Export der Tokens möglich, kein Desktop-Client, außerhalb des Microsoft-Ökosystems kein Mehrwert, Closed Source, kein E2EE für Backups, Token-Wechsel sehr aufwendig.
Aegis Authenticator
Vorteile: Open Source MIT-Lizenz, AES-256-GCM-Lokalverschlüsselung, Master-Passwort, kein Cloud-Konto nötig, Import aus anderen Apps, verschlüsselter Export, Privacy Screen, vollständige Offline-Nutzung, HOTP-Support.
Nachteile: Android only, kein automatisches Cloud-Backup, höherer Aufwand bei Gerätewechsel, kein Desktop-Client, Community-Entwicklung ohne kommerziellen Support, für iOS-Nutzer keine Option.
2FAS Auth
Vorteile: Open Source MIT-Lizenz, iOS und Android, Browser-Extension für Chrome/Firefox, kein Konto nötig, verschlüsseltes Backup mit separatem Passwort, Import/Export-Funktion, Apple Watch-Support, HOTP-Support, keine Telefonnummer erforderlich.
Nachteile: Kleinere Community als Google oder Microsoft Authenticator, kein dedizierter Desktop-Client (nur Extension), für neue Nutzer weniger bekannt als Google-Alternativen.
Authy
Vorteile: Bewährtes Cloud-Backup mit separatem Backup-Passwort, multi-Geräte-Sync für mobile Geräte, einfache Wiederherstellung bei Gerätewechsel, lange etabliert und stabil.
Nachteile: Desktop-Client 2024 eingestellt, Telefonnummer als zentrales Identifikationsmerkmal (SIM-Swapping-Risiko), kein Token-Export möglich, Closed Source, kein direkter Import in andere Apps, Twilio selbst empfahl Synchronisierung zeitweise zu deaktivieren.
Unser Urteil: Welche Authenticator-App gewinnt 2026?
Es gibt keine universelle Antwort, aber klare Gewinner je nach Nutzerprofil. Das Urteil basiert auf Sicherheitsarchitektur, Backup-Qualität, Plattformunterstützung und Portabilität.
Für die meisten Privatnutzer: 2FAS Auth. Open Source, kostenlos, iOS und Android, kein Konto erforderlich, verschlüsseltes Backup mit separatem Passwort, Browser-Extension für den Desktop. 2FAS bietet das beste Verhältnis aus Sicherheit, Benutzerfreundlichkeit und Plattformabdeckung ohne die kritischen Schwächen von Google Authenticator (kein E2EE) oder Authy (kein Export, Desktop eingestellt). Für einen Vergleich mit verwandten Datenschutz-Tools empfehlen wir unseren Artikel zu Passkeys vs. Passwörter.
Für sicherheitsbewusste Android-Nutzer: Aegis. Wer maximale Kontrolle und keine Cloud-Abhängigkeit will, wählt Aegis. Die AES-256-GCM-Lokalverschlüsselung, das Open-Source-Modell und der vollständige Offline-Betrieb machen Aegis zur sichersten Option in diesem Vergleich. Der Preis ist höhere Eigenverantwortung beim Backup.
Für Unternehmen auf Microsoft-Stack: Microsoft Authenticator. Keine andere App in diesem Vergleich bietet Push-MFA, passwortloses Anmelden und zentrale Entra-ID-Verwaltung. Für IT-Teams mit Microsoft-365-Umgebung ist das ein klarer und durch keine Alternative zu ersetzender Vorteil.
Google Authenticator bleibt eine solide Wahl für Nutzer, die bereits im Google-Ökosystem sind und einfache, schnelle Einrichtung priorisieren, solange sie die Backup-Schwäche (kein E2EE) kennen und ihr Google-Konto mit einem Hardware-Key absichern.
Authy ist für Neukunden 2026 nicht mehr empfehlenswert. Der fehlende Desktop-Client, die Telefonnummernabhängigkeit und der gesperrte Export machen einen späteren Wechsel schwierig. Bestehende Authy-Nutzer ohne dringenden Wechselbedarf können bleiben, sollten aber mittel- bis langfristig migrieren.
Verwandte Artikel
Related Coverage
- Zwei-Faktor-Authentifizierung in Node.js: 11 Schritte [2026]
- Passkeys vs. Passwörter: 8,5 s vs. 31 s Anmeldezeit [2026]
- Bitwarden vs. 1Password: 10 € vs. 36 € im Jahr [2026]
- Passwort Manager Vergleich: 6 Tools ab 0 € [2026]
- Node.js Session Management: 11 Schritte, 30 Min [2026]
- Proton Mail vs. Tuta: 3 € vs. 3,99 €/Monat [2026]
Häufig gestellte Fragen (FAQ)
Ist Google Authenticator sicher genug?
Google Authenticator ist für die meisten Nutzer sicher genug, hat aber eine bekannte Schwäche: Das Cloud-Backup der TOTP-Secrets ist nicht Ende-zu-Ende-verschlüsselt. Wer sein Google-Konto mit einem starken Passwort und einem Hardware-Key (z. B. YubiKey) schützt, minimiert dieses Risiko. Für hochwertige Zugänge wie Krypto-Wallets oder Unternehmensadmin-Konten empfehlen Sicherheitsforscher eine App mit lokaler Verschlüsselung wie Aegis.
Kann ich von Google Authenticator zu Aegis wechseln?
Ja. Google Authenticator bietet eine Export-Funktion unter “Konten übertragen”, die alle Tokens als QR-Code exportiert. Aegis kann diesen QR-Code direkt importieren. Nach dem Import sollten alle Tokens durch einen echten Login-Versuch verifiziert werden, bevor Google Authenticator deinstalliert wird. Halten Sie Recovery-Codes für alle Dienste bereit, falls beim Import etwas schiefläuft.
Was passierte mit Authy Desktop 2024?
Twilio stellte 2024 den Authy-Desktop-Client für Windows und macOS ein. Bestehende Nutzer haben seitdem keinen Desktop-Zugang mehr zu ihren TOTP-Codes. Die mobile App für iOS und Android bleibt verfügbar. Dieser Schritt hat Authy erheblich an Attraktivität verloren lassen, weil Desktop-Sync einer der Hauptvorteile gegenüber reinen Mobil-Apps war.
Welche Authenticator-App ist am sichersten?
Für reine Sicherheit auf Android ist Aegis Authenticator führend: Open Source, AES-256-GCM-Lokalverschlüsselung, kein Cloud-Konto, Master-Passwort-Schutz. Für iOS-Nutzer mit ähnlichen Anforderungen ist 2FAS die beste Alternative, da Aegis nur auf Android läuft. Microsoft Authenticator bietet die stärkste phishing-resistente MFA für Microsoft-Dienste durch Push-Benachrichtigungen mit Kontext statt reiner Code-Eingabe.
Schützen Authenticator-Apps vor Phishing?
Nicht vollständig. TOTP-Codes können durch Echtzeit-Phishing abgefangen werden: Der Angreifer leitet den Nutzer auf eine gefälschte Login-Seite um, fängt Passwort und TOTP-Code ab und nutzt diese Credentials sofort beim echten Dienst. Microsoft Authenticators Push-Methode und Hardware-Keys (FIDO2/WebAuthn) sind die einzigen phishing-resistenten MFA-Methoden, weil sie an die Herkunftsdomain gebunden sind.
Brauche ich ein Konto für Aegis oder 2FAS?
Nein. Sowohl Aegis als auch 2FAS benötigen kein Benutzerkonto, keine E-Mail-Adresse und keine Telefonnummer. Die Apps speichern alle Tokens lokal auf dem Gerät. Optional können Sie ein verschlüsseltes Backup in einem Cloud-Speicher Ihrer Wahl ablegen, ohne dass die App dabei Ihre Identität kennt.
Was ist der Unterschied zwischen TOTP und HOTP?
TOTP (Time-based One-Time Password) erzeugt alle 30 Sekunden einen neuen Code basierend auf dem aktuellen Zeitstempel. HOTP (HMAC-based One-Time Password) erzeugt Codes basierend auf einem Zähler, der bei jeder Verwendung hochzählt, ohne Zeitablauf. Die meisten Webdienste nutzen TOTP. HOTP wird häufiger bei Hardware-Tokens verwendet. Aegis und 2FAS unterstützen beide Standards; Google Authenticator und Authy fokussieren auf TOTP.
Kann ich eine Authenticator-App auf mehreren Geräten gleichzeitig nutzen?
Das hängt von der App ab. Microsoft Authenticator und Authy unterstützen Multi-Geräte-Sync explizit. Google Authenticator synchronisiert über das Google-Konto, was mehrere Geräte ermöglicht. Aegis und 2FAS sind primär für ein Gerät ausgelegt; ein zweites Gerät erhält Tokens durch manuellen Import der Backup-Datei. Sicherheitsexperten empfehlen, 2FA-Tokens nur auf einem Gerät zu halten, um die Angriffsfläche klein zu halten.
