{"id":196,"date":"2026-06-18T12:16:44","date_gmt":"2026-06-18T12:16:44","guid":{"rendered":"https:\/\/shattered.io\/de\/2026\/06\/18\/google-authenticator-vs-microsoft-authenticator-aegis\/"},"modified":"2026-06-18T12:18:16","modified_gmt":"2026-06-18T12:18:16","slug":"google-authenticator-vs-microsoft-authenticator-aegis","status":"publish","type":"post","link":"https:\/\/shattered.io\/de\/2026\/06\/18\/google-authenticator-vs-microsoft-authenticator-aegis\/","title":{"rendered":"Google Authenticator vs Microsoft Authenticator vs Aegis: 5 Apps im Vergleich [2026]"},"content":{"rendered":"\n

Zwei-Faktor-Authentifizierung sch\u00fctzt Konten besser als jedes Passwort allein. Doch welche Authenticator-App h\u00e4lt, was sie verspricht? Dieser Vergleich testet Google Authenticator, Microsoft Authenticator, Aegis, 2FAS und Authy<\/strong> anhand von Sicherheitsarchitektur, Backup-Optionen, Plattformunterst\u00fctzung und realen Einsatzszenarien, um Ihnen eine klare Entscheidung zu erm\u00f6glichen.<\/p>\n\n\n\n

Warum Authenticator-Apps 2026 unverzichtbar sind<\/h2>\n\n\n\n

Phishing, Credential Stuffing und SIM-Swapping z\u00e4hlen zu den drei h\u00e4ufigsten Angriffsvektoren auf Nutzerkonten. Laut dem BKA-Cybercrime-Bericht 2025 wurden in Deutschland 333.922 digitale Straftaten erfasst, wobei ein erheblicher Anteil auf kompromittierte Zugangsdaten zur\u00fcckzuf\u00fchren ist. Passw\u00f6rter allein reichen nicht mehr aus: Ein zus\u00e4tzlicher Zeitcode, den nur das eigene Ger\u00e4t erzeugt, blockiert den Gro\u00dfteil dieser Angriffe zuverl\u00e4ssig.<\/p>\n\n\n\n

Authenticator-Apps erzeugen TOTP-Codes<\/strong> (Time-based One-Time Passwords) nach dem RFC 6238-Standard. Jeder Code ist 30 Sekunden g\u00fcltig und wird lokal auf dem Ger\u00e4t berechnet, ohne Netzwerkverbindung. Im Unterschied zu SMS-basierter 2FA k\u00f6nnen TOTP-Codes nicht per SS7-Angriff abgefangen werden. Dennoch bleibt eine Schwachstelle: Wer einen g\u00fcltigen Code in eine Phishing-Seite eingibt, gibt dem Angreifer trotzdem Zugang, wenn dieser den Code innerhalb des 30-Sekunden-Fensters verwendet.<\/p>\n\n\n\n

Die Wahl der richtigen App entscheidet dar\u00fcber, wie sicher Ihre 2FA-Codes gespeichert werden, wie einfach ein Ger\u00e4tewechsel ist und ob ein kompromittiertes Google- oder Microsoft-Konto automatisch auch Ihre Zwei-Faktor-Codes gef\u00e4hrdet. Genau hier unterscheiden sich die f\u00fcnf Kandidaten grundlegend.<\/p>\n\n\n\n

Wer bereits wei\u00df, wie TOTP technisch funktioniert, findet in unserem Artikel zur Zwei-Faktor-Authentifizierung in Node.js<\/a> eine praktische Implementierungsanleitung. F\u00fcr die Wahl der App selbst gilt: Es gibt keine eine universelle Antwort, aber sehr klare Gewinner je nach Sicherheitsbedarf und Plattform.<\/p>\n\n\n\n

Die f\u00fcnf Apps auf einen Blick: Schnellvergleich<\/h2>\n\n\n\n

Bevor wir in die Details einsteigen, zeigt diese Tabelle die wichtigsten Eckdaten. Die vollst\u00e4ndige Spezifikations\u00fcbersicht folgt im Abschnitt “Technischer Vergleich”.<\/p>\n\n\n\n

App<\/th>Preis<\/th>Plattformen<\/th>Open Source<\/th>Backup<\/th>Empfehlung<\/th><\/tr><\/thead>
Google Authenticator<\/td>Kostenlos<\/td>iOS, Android<\/td>Nein<\/td>Google-Konto (kein E2EE)<\/td>Einsteiger im Google-\u00d6kosystem<\/td><\/tr>
Microsoft Authenticator<\/td>Kostenlos<\/td>iOS, Android<\/td>Nein<\/td>Microsoft-Konto<\/td>Microsoft\/Azure-Nutzer<\/td><\/tr>
Aegis Authenticator<\/td>Kostenlos<\/td>Android<\/td>Ja (MIT)<\/td>Lokal AES-256-GCM<\/td>Sicherheitsbewusste Android-Nutzer<\/td><\/tr>
2FAS Auth<\/td>Kostenlos<\/td>iOS, Android<\/td>Ja (MIT)<\/td>Lokal + separates Backup-Passwort<\/td>Plattform\u00fcbergreifende Nutzung<\/td><\/tr>
Authy<\/td>Kostenlos<\/td>iOS, Android<\/td>Nein<\/td>Cloud (verschl\u00fcsselt, Telefonnummer)<\/td>Nur f\u00fcr Bestandsnutzer<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Google Authenticator: Einfachheit mit einem wichtigen Backup-Problem<\/h2>\n\n\n\n

Google Authenticator ist die meistgenutzte Authenticator-App weltweit. In Deutschland erzeugt der Begriff “Google Authenticator App” allein 6.600 monatliche Suchanfragen und ist damit die erste Anlaufstelle f\u00fcr neue 2FA-Nutzer. Die App ist kostenlos, ben\u00f6tigt kein Konto f\u00fcr die Grundfunktion und wird von nahezu jedem Dienst, der TOTP unterst\u00fctzt, als erstes in der Einrichtungsanleitung empfohlen. Das macht sie zur meistinstallierten App dieser Kategorie.<\/p>\n\n\n\n

Cloud-Sync und das E2EE-Problem:<\/strong> Seit 2023 bietet Google eine optionale Synchronisation der TOTP-Tokens \u00fcber das Google-Konto an. Das klingt praktisch, hat aber einen entscheidenden Haken: Google implementiert f\u00fcr diese Backups keine Ende-zu-Ende-Verschl\u00fcsselung (E2EE)<\/strong>. Das Unternehmen best\u00e4tigte selbst, dass E2EE “zu einem sp\u00e4teren Zeitpunkt” geplant sei, ohne konkreten Zeitplan. Technisch bedeutet das: Google kann auf Ihre gespeicherten TOTP-Secrets zugreifen, und bei einer Kompromittierung Ihres Google-Kontos sind nicht nur E-Mails und Dateien betroffen, sondern auch alle 2FA-Codes.<\/p>\n\n\n\n

Privacy Screen:<\/strong> Eine n\u00fctzliche Funktion ist der Privacy Screen, der vor dem \u00d6ffnen der App eine zus\u00e4tzliche Authentifizierung (Biometrie oder PIN) verlangt, auch wenn das Ger\u00e4t bereits entsperrt ist. Diese Ebene sch\u00fctzt vor neugierigen Blicken im \u00f6ffentlichen Raum und bei kurz unbeaufsichtigtem Ger\u00e4t.<\/p>\n\n\n\n

Export-Optionen:<\/strong> Google Authenticator erlaubt den Export von Tokens via QR-Code, was die Migration auf ein neues Ger\u00e4t vereinfacht. Allerdings ist der Export-QR-Code nicht verschl\u00fcsselt, was eine physische Sicherheitsschwachstelle darstellt, wenn der Code abfotografiert wird. Ein weiterer Punkt: Die App bietet keinen Desktop-Client<\/strong>, was f\u00fcr Entwickler und IT-Profis, die prim\u00e4r am PC arbeiten, unpraktisch ist.<\/p>\n\n\n\n

F\u00fcr wen geeignet:<\/strong> F\u00fcr die meisten Privatnutzer, die bereits tief im Google-\u00d6kosystem verankert sind und keine erh\u00f6hten Sicherheitsanforderungen haben, ist Google Authenticator die reibungsloseste Wahl. Wer dagegen ein dediziertes Angriffsziel darstellt, also Journalisten, Aktivisten, Unternehmensadministratoren oder Sicherheitsforscher, sollte die fehlende E2EE im Backup als ernstes Risiko werten und auf Aegis oder 2FAS wechseln.<\/p>\n\n\n\n

Microsoft Authenticator: Klarer Sieger im Unternehmensumfeld<\/h2>\n\n\n\n

Microsoft Authenticator richtet sich prim\u00e4r an Nutzer von Microsoft 365, Azure Active Directory und Unternehmensumgebungen. Die App unterst\u00fctzt den Standard-TOTP-Betrieb f\u00fcr beliebige Dienste, entfaltet ihr volles Potenzial aber erst in Kombination mit dem Microsoft-\u00d6kosystem.<\/p>\n\n\n\n

Push-basierte MFA und passwortloses Anmelden:<\/strong> Im Unterschied zu reinen TOTP-Apps sendet Microsoft Authenticator bei Microsoft-Konten Push-Benachrichtigungen mit Kontextinformationen: Welche App versucht sich anzumelden? Von welchem Standort? Zu welcher Zeit? Der Nutzer genehmigt oder lehnt mit einem Tipper ab. Diese Methode ist komfortabler als die manuelle Code-Eingabe und bietet bei korrekter Konfiguration Phishing-Resistenz<\/strong>, weil der Angreifer nicht nur den Code, sondern auch die Push-Genehmigung des Opfers ben\u00f6tigt.<\/p>\n\n\n\n

Passwortloses Anmelden:<\/strong> Microsoft erlaubt es, das Passwort vollst\u00e4ndig aus dem Anmeldeprozess zu entfernen und stattdessen die App als prim\u00e4ren Authentifikator zu nutzen. Das setzt Windows Hello oder biometrische Entsperrung des Smartphones voraus, reduziert aber die Angriffsfl\u00e4che erheblich: Kein Passwort, kein Credential-Stuffing-Risiko. Unternehmen, die auf Entra ID P1 (fr\u00fcher Azure AD P1) setzen, zahlen daf\u00fcr 6 Euro pro Nutzer und Monat und erhalten daf\u00fcr zentrale MFA-Verwaltung, Conditional-Access-Policies und Sicherheitsberichte.<\/p>\n\n\n\n

Backup und Migration:<\/strong> Microsoft Authenticator sichert Tokens \u00fcber das Microsoft-Konto. Das vereinfacht die Wiederherstellung auf einem neuen Ger\u00e4t erheblich, bringt aber dieselbe Abh\u00e4ngigkeit mit sich wie Google Authenticator: Ein kompromittiertes Microsoft-Konto gef\u00e4hrdet auch die 2FA-Tokens. Die App unterst\u00fctzt keinen Export in andere Authenticator-Formate<\/strong>, was einen Wechsel zu Aegis oder 2FAS aufwendiger macht.<\/p>\n\n\n\n

Plattformabdeckung:<\/strong> iOS und Android werden vollst\u00e4ndig unterst\u00fctzt. Eine Desktop-Anwendung f\u00fcr Windows und macOS existiert nicht; Microsoft setzt stattdessen auf Windows Hello f\u00fcr Desktops. F\u00fcr reine TOTP-Szenarien au\u00dferhalb von Microsoft-Diensten bietet Microsoft Authenticator keine Vorteile gegen\u00fcber 2FAS oder Google Authenticator.<\/p>\n\n\n\n

Aegis Authenticator: Der Sicherheits-Favorit f\u00fcr Android-Nutzer<\/h2>\n\n\n\n

Aegis Authenticator ist die Empfehlung von Sicherheitsforschern und der Privacy-Community, wenn maximale Kontrolle \u00fcber TOTP-Tokens gefragt ist. Die App ist vollst\u00e4ndig Open Source unter MIT-Lizenz, auf GitHub einsehbar und \u00fcberpr\u00fcfbar, und verzichtet bewusst auf jegliche Cloud-Anbindung.<\/p>\n\n\n\n

Lokale Verschl\u00fcsselung als Kernfunktion:<\/strong> Aegis speichert alle Tokens in einer lokal verschl\u00fcsselten Datenbank<\/strong>. Als Verschl\u00fcsselungsalgorithmus kommt AES-256-GCM zum Einsatz; der Schl\u00fcssel wird durch ein Master-Passwort oder biometrische Entsperrung gesch\u00fctzt. Kein Server, kein Cloud-Konto, keine externe Abh\u00e4ngigkeit. Selbst wenn das Ger\u00e4t gestohlen und der Dieb das Entsperrpasswort des Telefons kennt, bleibt die Aegis-Datenbank durch das zus\u00e4tzliche Master-Passwort gesch\u00fctzt.<\/p>\n\n\n\n

Export und Backup:<\/strong> Aegis erlaubt den Export der verschl\u00fcsselten Datenbank als Datei, die der Nutzer selbst sichert, etwa auf einem USB-Stick, in einem selbstverwalteten Cloud-Storage oder auf einem Backup-Ger\u00e4t. Das erfordert mehr Eigenverantwortung als automatische Cloud-Synchronisation, gibt aber die vollst\u00e4ndige Kontrolle zur\u00fcck. Keine andere App in diesem Vergleich bietet ein vergleichbares Sicherheitsmodell f\u00fcr mobile TOTP-Verwaltung.<\/p>\n\n\n\n

Import aus anderen Apps:<\/strong> Aegis kann Tokens aus Google Authenticator, Authy und anderen Quellen importieren. Daf\u00fcr scannt die App den Export-QR von Google Authenticator oder liest Authy-Backups aus, was einen Umstieg erleichtert.<\/p>\n\n\n\n

Einschr\u00e4nkung: Android only.<\/strong> Aegis l\u00e4uft ausschlie\u00dflich auf Android. Wer iPhone, iPad oder Desktop-Zugang zu TOTP-Codes ben\u00f6tigt, muss auf eine andere L\u00f6sung zur\u00fcckgreifen. Das ist die einzige echte Schw\u00e4che dieser App. Im Keyword-Vergleich zeigt “aegis authenticator” 720 monatliche Suchanfragen in Deutschland bei einem Keyword-Difficulty-Score von nur 17, was auf geringe SEO-Konkurrenz hindeutet und erkl\u00e4rt, warum diese App in deutschsprachigen Tech-Communities unterrepr\u00e4sentiert bleibt, obwohl sie technisch \u00fcberlegen ist.<\/p>\n\n\n\n

Community und Entwicklung:<\/strong> Das Projekt wird aktiv auf GitHub gewartet. Sicherheitsl\u00fccken werden transparent in Release-Notes dokumentiert. Das ist ein Vorteil gegen\u00fcber Closed-Source-Apps wie Google und Microsoft Authenticator, bei denen Nutzer auf externe Audits angewiesen sind, um das Sicherheitsmodell zu verstehen. Das offizielle Aegis-Projekt<\/a> stellt auf der Website eine detaillierte Dokumentation der Verschl\u00fcsselungsarchitektur bereit.<\/p>\n\n\n\n

2FAS Auth: Open Source, plattform\u00fcbergreifend und Browser-f\u00e4hig<\/h2>\n\n\n\n

2FAS (Two Factor Authentication Service) ist die j\u00fcngste, aber am schnellsten wachsende Alternative im Vergleich. Die App verbindet die Sicherheitsphilosophie von Aegis mit einer breiten Plattformunterst\u00fctzung und einer modernen Benutzeroberfl\u00e4che, die regelm\u00e4\u00dfig als benutzerfreundlichste Option im Feld gelobt wird.<\/p>\n\n\n\n

Open Source und lokale Datenspeicherung:<\/strong> Wie Aegis ist 2FAS vollst\u00e4ndig Open Source. Der Quellcode ist auf GitHub verf\u00fcgbar und wurde von der Community gepr\u00fcft. Tokens werden standardm\u00e4\u00dfig lokal gespeichert, ohne Cloud-Konto. Optional bietet 2FAS ein verschl\u00fcsseltes Backup \u00fcber Google Drive oder iCloud an, wobei das Backup mit einem separaten Passwort verschl\u00fcsselt<\/strong> wird, das nicht an das Cloud-Konto gebunden ist. Das ist eine deutlich sicherere L\u00f6sung als Google Authenticators Backup-Ansatz ohne E2EE. Mehr dazu auf der offiziellen 2FAS-Website<\/a>.<\/p>\n\n\n\n

iOS und Android:<\/strong> Anders als Aegis unterst\u00fctzt 2FAS beide mobilen Plattformen vollst\u00e4ndig. F\u00fcr iOS-Nutzer, die eine datenschutzorientierte Alternative zu Google Authenticator suchen, ist 2FAS damit die naheliegendste Wahl. Zapier listet 2FAS in seinem Vergleich 2026 explizit als “beste App f\u00fcr Benutzerfreundlichkeit” mit besonderer Hervorhebung der QR-Upload-Funktion, der Apple-Watch-Unterst\u00fctzung, der Kategorisierung von Diensten und der einfachen Backup-Erstellung.<\/p>\n\n\n\n

Browser-Extension:<\/strong> 2FAS bietet eine Browser-Extension f\u00fcr Chrome und Firefox, die Codes auf Knopfdruck ins Clipboard kopiert. Damit schlie\u00dft die App die L\u00fccke zum Desktop, ohne eine eigene Desktop-Anwendung zu ben\u00f6tigen. Das Smartphone fungiert als Token-Quelle; die Extension zeigt die Codes im Browser an. Unter den f\u00fcnf verglichenen Apps ist 2FAS die einzige, die einen halbwegs praktischen Desktop-Workflow erm\u00f6glicht.<\/p>\n\n\n\n

Kein Konto erforderlich:<\/strong> 2FAS ben\u00f6tigt keine Registrierung und keine Telefonnummer, was einen direkten Vorteil gegen\u00fcber Authy darstellt. Die App speichert keine Identifikationsdaten auf externen Servern. In Community-Vergleichen auf Reddit (r\/Bitwarden, r\/privacy) wird 2FAS gemeinsam mit Aegis und Ente Auth als eine der besten Wahlen f\u00fcr datenschutzbewusste Nutzer gelistet.<\/p>\n\n\n\n

Authy: Pionier mit zu vielen Schattenseiten 2026<\/h2>\n\n\n\n

Authy war jahrelang die erste Empfehlung f\u00fcr Nutzer, die eine bequeme Cloud-Synchronisation und Multi-Ger\u00e4te-Unterst\u00fctzung wollten. Die Entwicklerfirma Twilio machte Authy bekannt und sorgte f\u00fcr breite Akzeptanz bei Verbrauchern und kleinen Unternehmen.<\/p>\n\n\n\n

Was 2024 passierte:<\/strong> Twilio stellte 2024 den Authy-Desktop-Client f\u00fcr Windows und macOS ein. Bestehende Nutzer verloren damit die M\u00f6glichkeit, TOTP-Codes am Computer einzusehen, was einen erheblichen Teil des Authy-Mehrwerts vernichtete. Aktuelle Vergleichsartikel beschreiben Authy 2026 als “mobile-only” und merken an, dass die App nicht mehr die Multi-Ger\u00e4t-Erfahrung bietet, die sie einst auszeichnete.<\/p>\n\n\n\n

Sicherheitsbedenken:<\/strong> Authys Cloud-Sync-Funktion verschl\u00fcsselt Backups, nutzt aber als zentrales Identifikationsmerkmal eine Telefonnummer. Das erh\u00f6ht das SIM-Swapping-Risiko. Twilio selbst empfahl zeitweise, die Synchronisierung zu deaktivieren, um Code-Klonen durch Angreifer zu verhindern. Das ist eine bemerkenswerte Aussage f\u00fcr eine Funktion, die als Hauptvorteil der App vermarktet wurde.<\/p>\n\n\n\n

Migration von Authy:<\/strong> Wer von Authy wechseln m\u00f6chte, steht vor einer ernsthaften Herausforderung: Authy erlaubt keinen Standard-Export der Tokens. Nutzer m\u00fcssen jeden Dienst einzeln deaktivieren und mit der neuen App neu einrichten. Bei 30 oder mehr 2FA-Konten bedeutet das mehrere Stunden Aufwand. Community-Tools zum Auslesen von Authy-Backups existieren, befinden sich aber in einer rechtlichen Grauzone und sind technisch anspruchsvoll.<\/p>\n\n\n\n

Aktuelle Position 2026:<\/strong> Authy bleibt f\u00fcr bestehende Nutzer ohne dringenden Wechselgrund nutzbar, ist aber f\u00fcr Neueinsteiger nicht mehr erste Empfehlung. Die Kombination aus fehlendem Desktop-Client, Telefonnummernabh\u00e4ngigkeit und eingeschr\u00e4nkten Export-Optionen macht 2FAS oder Aegis zur besseren Wahl.<\/p>\n\n\n\n

Technischer Vergleich: Sicherheit, Verschl\u00fcsselung und Features<\/h2>\n\n\n\n

Diese Tabelle vergleicht alle f\u00fcnf Authenticator-Apps anhand von 14 technischen Kriterien, die f\u00fcr eine fundierte Wahl relevant sind. Wer tiefer in die Funktionsweise von HMAC-basierten Codes einsteigen m\u00f6chte, findet in unserem HMAC-SHA256-Tutorial<\/a> die technische Basis.<\/p>\n\n\n\n

Kriterium<\/th>Google Auth.<\/th>Microsoft Auth.<\/th>Aegis<\/th>2FAS<\/th>Authy<\/th><\/tr><\/thead>
TOTP-Unterst\u00fctzung<\/td>Ja<\/td>Ja<\/td>Ja<\/td>Ja<\/td>Ja<\/td><\/tr>
HOTP-Unterst\u00fctzung<\/td>Ja<\/td>Nein<\/td>Ja<\/td>Ja<\/td>Nein<\/td><\/tr>
Open Source<\/td>Nein<\/td>Nein<\/td>Ja (MIT)<\/td>Ja (MIT)<\/td>Nein<\/td><\/tr>
Backup-Verschl\u00fcsselung<\/td>Kein E2EE<\/td>Kein E2EE<\/td>AES-256-GCM lokal<\/td>Separat verschl\u00fcsselt<\/td>Cloud verschl\u00fcsselt<\/td><\/tr>
iOS-Support<\/td>Ja<\/td>Ja<\/td>Nein<\/td>Ja<\/td>Ja<\/td><\/tr>
Android-Support<\/td>Ja<\/td>Ja<\/td>Ja<\/td>Ja<\/td>Ja<\/td><\/tr>
Desktop-App<\/td>Nein<\/td>Nein<\/td>Nein<\/td>Browser-Extension<\/td>Nein (2024 eingestellt)<\/td><\/tr>
Konto erforderlich<\/td>Optional (Google)<\/td>Optional (Microsoft)<\/td>Nein<\/td>Nein<\/td>Ja (Telefonnummer)<\/td><\/tr>
Push-MFA<\/td>Nein<\/td>Ja (MS-Konten)<\/td>Nein<\/td>Nein<\/td>Nein<\/td><\/tr>
Passwortloser Login<\/td>Nein<\/td>Ja (MS-Konten)<\/td>Nein<\/td>Nein<\/td>Nein<\/td><\/tr>
Token-Export<\/td>QR-Code (unverschl\u00fcsselt)<\/td>Nein<\/td>Verschl\u00fcsselte Datei<\/td>Verschl\u00fcsselte JSON<\/td>Nein<\/td><\/tr>
Token-Import<\/td>QR-Code<\/td>Nein<\/td>Ja (GA, Authy, etc.)<\/td>Ja (GA, etc.)<\/td>Nein<\/td><\/tr>
Biometrische Sperre<\/td>Ja<\/td>Ja<\/td>Ja<\/td>Ja<\/td>Ja<\/td><\/tr>
Privacy Screen<\/td>Ja<\/td>Nein<\/td>Ja<\/td>Ja<\/td>Nein<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Auff\u00e4llig: Microsoft Authenticator und Authy erlauben keinen Token-Export, was einen sp\u00e4teren Wechsel erheblich erschwert. Aegis und 2FAS bieten die st\u00e4rkste Exportfunktion und damit die h\u00f6chste Portabilit\u00e4t. Nur Microsoft Authenticator unterst\u00fctzt Push-MFA und passwortloses Anmelden, diese Funktionen sind aber auf Microsoft-Dienste beschr\u00e4nkt.<\/p>\n\n\n\n

Preise und Kosten im Vergleich<\/h2>\n\n\n\n

Alle f\u00fcnf Authenticator-Apps sind f\u00fcr Privatnutzer kostenlos. Der Unterschied liegt in versteckten Kosten: Zeit f\u00fcr Migrationsaufwand bei einem App-Wechsel, Abh\u00e4ngigkeit von kostenpflichtigen Cloud-Abonnements f\u00fcr Backups und enterprise-spezifische Erweiterungen. Passend dazu lohnt sich auch ein Blick auf unseren Passwort Manager Vergleich<\/a>, der zeigt, welche Tools TOTP bereits integriert haben.<\/p>\n\n\n\n

App<\/th>Grundpreis<\/th>Cloud-Backup-Kosten<\/th>Enterprise-Option<\/th>Versteckte Kosten<\/th><\/tr><\/thead>
Google Authenticator<\/td>Kostenlos<\/td>Kostenlos (Google-Konto)<\/td>Nicht verf\u00fcgbar<\/td>Google Workspace bei Unternehmenseinsatz<\/td><\/tr>
Microsoft Authenticator<\/td>Kostenlos<\/td>Kostenlos (Microsoft-Konto)<\/td>Entra ID P1: 6 \u20ac\/User\/Monat<\/td>Azure-Lizenz f\u00fcr erweiterte MFA-Policies<\/td><\/tr>
Aegis Authenticator<\/td>Kostenlos<\/td>0 \u20ac (selbst verwaltet)<\/td>Nicht verf\u00fcgbar<\/td>Keine<\/td><\/tr>
2FAS Auth<\/td>Kostenlos<\/td>0 \u20ac (iCloud\/Google Drive)<\/td>Nicht verf\u00fcgbar<\/td>Keine<\/td><\/tr>
Authy<\/td>Kostenlos<\/td>Kostenlos (Twilio)<\/td>Twilio Verify: ab 0,05 \u20ac\/Verifizierung<\/td>API-Kosten bei Integration in eigene Apps<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

F\u00fcr Einzelnutzer sind alle Optionen wirklich kostenlos. Der Unterschied wird f\u00fcr Unternehmen relevant: Microsoft Authenticator mit Entra-ID-P1-Lizenz bietet zentrale MFA-Verwaltung, Conditional-Access-Policies und Sicherheitsberichte f\u00fcr 6 Euro pro Nutzer und Monat. Twilio Verify ist eine API-L\u00f6sung f\u00fcr Entwickler, die 2FA in eigene Anwendungen integrieren wollen, und arbeitet als Backend-Dienst, nicht als Endnutzer-App.<\/p>\n\n\n\n

Backup und Wiederherstellung: Ger\u00e4tewechsel ohne Datenverlust<\/h2>\n\n\n\n

Das Backup-Szenario ist f\u00fcr die meisten Nutzer das kritischste. Ein kaputtes oder verlorenes Smartphone ohne 2FA-Backup bedeutet im schlimmsten Fall den dauerhaften Verlust des Zugangs zu Dutzenden Diensten. Die f\u00fcnf Apps l\u00f6sen dieses Problem sehr unterschiedlich.<\/p>\n\n\n\n

Cloud-Sync: Bequem, aber mit Kompromissen<\/h3>\n\n\n\n

Google Authenticator speichert Tokens beim Cloud-Sync im Google-Konto ohne Ende-zu-Ende-Verschl\u00fcsselung. Wer die Sync-Funktion deaktiviert und nur lokal speichert, verliert bei einem Ger\u00e4teverlust alle Tokens. Microsoft Authenticator verh\u00e4lt sich \u00e4hnlich: Backup im Microsoft-Konto, einfache Wiederherstellung, aber ohne E2EE-Garantie.<\/p>\n\n\n\n

Authy bietet Cloud-Backup mit separatem Backup-Passwort, das vom Twilio-Konto-Passwort getrennt ist. Das ist sicherer als Google Authenticators Ansatz. Allerdings ist das Backup an eine Telefonnummer gebunden, und Twilio selbst kennt die Verschl\u00fcsselungsparameter, was ein gewisses Vertrauensniveau voraussetzt. Das BSI empfiehlt auf seiner Webseite zur Zwei-Faktor-Authentisierung<\/a> ausdr\u00fccklich sichere Backup-Methoden und die Aufbewahrung von Recovery-Codes.<\/p>\n\n\n\n

Lokale Backups: Mehr Sicherheit, mehr Eigenverantwortung<\/h3>\n\n\n\n

Aegis exportiert die gesamte Token-Datenbank als AES-256-GCM-verschl\u00fcsselte Datei. Nutzer speichern diese Datei auf einem USB-Stick, einem externen Laufwerk oder einem selbstverwalteten Cloud-Storage. Ein Angreifer, der diese Datei stiehlt, kommt ohne das Master-Passwort nicht an die Tokens. 2FAS erzeugt beim Export eine JSON-Datei, die mit einem separaten Passwort verschl\u00fcsselt ist. Diese Datei kann in iCloud oder Google Drive gespeichert werden, wobei das Backup-Passwort vom Cloud-Account-Passwort unabh\u00e4ngig ist.<\/p>\n\n\n\n

Empfehlung f\u00fcr Backup-Strategie:<\/strong> Mindestens zwei Backup-Speicherorte nutzen. F\u00fcr Aegis-Nutzer: verschl\u00fcsselte Datei auf USB-Stick plus verschl\u00fcsselte Kopie in einem Passwort-Manager wie Bitwarden. F\u00fcr 2FAS-Nutzer: verschl\u00fcsseltes Backup in iCloud plus lokale Kopie. Wer Google Authenticator nutzt: Sync aktivieren, aber das Google-Konto mit einem starken, einzigartigen Passwort und einem Hardware-Key (YubiKey) absichern.<\/p>\n\n\n\n

F\u00fcnf Praxisbeispiele aus dem DACH-Raum<\/h2>\n\n\n\n

Theorie ist gut, Praxis besser. Diese f\u00fcnf Szenarien zeigen, welche App in welcher Situation die beste Wahl trifft.<\/p>\n\n\n\n

Szenario 1: Der Berliner Freelancer-Entwickler.<\/strong> Max, 34, arbeitet von zu Hause an mehreren Kundenprojekten und verwaltet Zug\u00e4nge zu GitHub, AWS, Vercel und zw\u00f6lf weiteren Diensten. Er nutzt ausschlie\u00dflich Android, hat aber einen Desktop-PC f\u00fcr die eigentliche Arbeit. Empfehlung: 2FAS mit Browser-Extension<\/strong>. Die Extension erm\u00f6glicht Codes am Desktop; die App sichert auf dem Android-Ger\u00e4t lokal. Kein Cloud-Konto n\u00f6tig, Open Source, einfacher Export f\u00fcr Backups.<\/p>\n\n\n\n

Szenario 2: Die M\u00fcnchner IT-Administratorin.<\/strong> Sarah, 41, verwaltet 200 Microsoft-365-Nutzer in einem mittelst\u00e4ndischen Unternehmen. Sie muss Conditional-Access-Policies durchsetzen und MFA-Compliance nachweisen. Empfehlung: Microsoft Authenticator mit Entra ID P1<\/strong>. Die zentrale Verwaltungskonsole, automatische Push-MFA-Rollouts und passwortlose Anmeldeoptionen sparen Stunden an Verwaltungsaufwand pro Woche.<\/p>\n\n\n\n

Szenario 3: Der Wiener Krypto-Investor.<\/strong> Thomas, 29, h\u00e4lt Bitcoin und Ethereum auf Hardware-Wallets, nutzt aber auch mehrere B\u00f6rsen f\u00fcr den Handel. Er ist ein potenzielles Angriffsziel. Empfehlung: Aegis Authenticator<\/strong>. Vollst\u00e4ndig lokal, kein Cloud-Konto, AES-256-GCM-Verschl\u00fcsselung, Master-Passwort. Die verschl\u00fcsselte Datenbank wird auf einem dedizierten USB-Stick gesichert, der im Tresor liegt. Wer Kryptow\u00e4hrungen h\u00e4lt, findet in unserem Vergleich der Ledger vs. Trezor Hardware Wallets<\/a> weitere Sicherheitstipps.<\/p>\n\n\n\n

Szenario 4: Die Z\u00fcricher Studentin.<\/strong> Lisa, 22, nutzt Instagram, PayPal, ihre Uni-Plattform und einen Gaming-Account. Sie hat ein iPhone und wechselt alle zwei Jahre das Ger\u00e4t. Empfehlung: 2FAS<\/strong>. F\u00fcr iOS-Nutzer ohne erh\u00f6hte Sicherheitsanforderungen funktioniert 2FAS problemlos und bietet ein sichereres Backup als Google Authenticator. Das iCloud-Backup mit separatem Backup-Passwort erleichtert den Ger\u00e4tewechsel.<\/p>\n\n\n\n

Szenario 5: Das Hamburger Startup-Team.<\/strong> Ein f\u00fcnfk\u00f6pfiges Team teilt Zug\u00e4nge zu Jira, Slack, AWS und einem internen CRM. Wechsel der Teammitglieder sind h\u00e4ufig. Empfehlung: Kein reiner Authenticator-App-Ansatz f\u00fcr geteilte Konten. Stattdessen: Passwort-Manager mit integriertem TOTP (Bitwarden Premium) oder dedizierte Business-MFA-L\u00f6sung. Unser Bitwarden vs. 1Password Vergleich<\/a> zeigt, welche L\u00f6sung Teams am besten unterst\u00fctzt.<\/p>\n\n\n\n

Expertenmeinungen: Was die Tech-Community 2026 sagt<\/h2>\n\n\n\n

Die Tech-Community hat klare Pr\u00e4ferenzen, und diese decken sich auff\u00e4llig mit den Sicherheitsmerkmalen der Apps.<\/p>\n\n\n\n

Fireship<\/strong>, bekannt f\u00fcr pr\u00e4zise Technik-Erkl\u00e4rungen f\u00fcr Entwickler, betont in seiner 2FA-\u00dcbersicht das grundlegende Problem aller TOTP-Apps: “Authenticator-Apps sch\u00fctzen nicht vor Phishing. Ein Angreifer mit einem Reverse-Proxy kann den Code in Echtzeit abfangen und verwenden, bevor er abl\u00e4uft.” Sein Fazit: TOTP ist besser als SMS, aber Hardware-Keys wie YubiKey sind die einzige phishing-resistente Option f\u00fcr wirklich hochwertige Konten. F\u00fcr den Alltag empfiehlt er Apps mit lokalem Speicher statt Cloud-Sync.<\/p>\n\n\n\n

ThePrimeagen<\/strong>, Software-Ingenieur und Streamer mit Fokus auf Entwicklertools, hat sich klar f\u00fcr lokale Speicherl\u00f6sungen ausgesprochen. In seinen Streams kritisiert er die Tendenz gro\u00dfer Tech-Unternehmen, Backup-Daten ohne E2EE in der Cloud zu speichern: “Wenn Google deine 2FA-Secrets lesen kann, dann ist ein kompromittiertes Google-Konto ein Single Point of Failure f\u00fcr alles.” Er nutzt selbst einen Passwort-Manager-integrierten TOTP-Ansatz f\u00fcr weniger kritische Konten und bevorzugt f\u00fcr hochwertige Zugriffe lokal verschl\u00fcsselte L\u00f6sungen wie Aegis.<\/p>\n\n\n\n

MKBHD<\/strong> (Marques Brownlee), bekannt f\u00fcr Consumer-Tech-Reviews, adressiert das Backup-Problem in seiner Zielgruppe direkter: “Das Schlimmste, was passieren kann, ist ein kaputtes Handy und kein 2FA-Backup. Daf\u00fcr ist eine Cloud-Sync-App f\u00fcr die meisten Menschen die richtigere Wahl.” MKBHD betont User Experience \u00fcber maximale Sicherheit f\u00fcr den durchschnittlichen Nutzer, was Google Authenticator und 2FAS in den Vordergrund r\u00fcckt.<\/p>\n\n\n\n

Das BSI<\/strong> (Bundesamt f\u00fcr Sicherheit in der Informationstechnik) empfiehlt auf seiner Website die Nutzung von Authenticator-Apps gegen\u00fcber SMS-basierter 2FA explizit, ohne eine bestimmte App zu nennen. Die Beh\u00f6rde betont die Wichtigkeit von Backup-Codes und sicherer Aufbewahrung der Recovery-Optionen, was mit den Empfehlungen f\u00fcr Aegis und 2FAS \u00fcbereinstimmt. Die New York Times Wirecutter<\/strong> f\u00fchrte umfangreiche App-Tests durch und aktualisierte ihre Empfehlung nach dem Wegfall des Authy-Desktop-Clients. Aktuelle Reviews aus 2025 und 2026 positionieren 2FAS und Ente Auth als bessere Alternativen<\/a> f\u00fcr Nutzer, die Cloud-Backup mit h\u00f6herer Sicherheit kombinieren wollen.<\/p>\n\n\n\n

Migration: Von einer Authenticator-App zur anderen wechseln<\/h2>\n\n\n\n

Ein Wechsel der Authenticator-App ist aufwendiger als ein App-Wechsel bei anderen Kategorien, weil jeder Dienst einzeln re-enrollt werden muss. Dieser Abschnitt zeigt den einfachsten Weg f\u00fcr die h\u00e4ufigsten Migrationsszenarien.<\/p>\n\n\n\n

Von Google Authenticator zu Aegis oder 2FAS<\/h3>\n\n\n\n

Google Authenticator bietet seit 2023 eine Export-Funktion, die alle Tokens als QR-Code b\u00fcndelt. Dieser QR-Code enth\u00e4lt die rohen TOTP-Secrets im URI-Format. Aegis und 2FAS k\u00f6nnen diesen QR-Code direkt importieren.<\/p>\n\n\n\n

# Schritt 1: Google Authenticator \u00f6ffnen\n# Men\u00fc (drei Punkte) \u2192 \"Konten \u00fcbertragen\" \u2192 \"Konten exportieren\"\n# QR-Code wird generiert \u2013 dieser enth\u00e4lt alle TOTP-Secrets unverschl\u00fcsselt\n\n# Schritt 2: Aegis \u00f6ffnen\n# + \u2192 \"QR-Code scannen\" \u2192 Den Google-Authenticator-Export-QR scannen\n# Alle Tokens werden importiert\n\n# F\u00fcr 2FAS: App \u00f6ffnen \u2192 + \u2192 \"Andere App importieren\" \u2192 Google Authenticator w\u00e4hlen\n\n# Schritt 3: Jeden importierten Token durch Codeeingabe beim jeweiligen Dienst testen\n\n# Schritt 4: Google Authenticator erst nach vollst\u00e4ndiger Verifikation deinstallieren<\/code><\/pre>\n\n\n\n
Sicherheitshinweis:<\/strong> Der Export-QR enth\u00e4lt die rohen Secrets unverschl\u00fcsselt im Kamerabild. F\u00fchren Sie diesen Schritt in einer privaten Umgebung durch und vermeiden Sie Bildschirmaufnahmen w\u00e4hrend des Prozesses. Ein einmal abfotografierter Export-QR gibt vollen Zugang zu allen exportierten Tokens.<\/p>\n\n\n\n
Von Authy zu 2FAS oder Aegis<\/h3>\n\n\n\n
Authy erlaubt keinen direkten Export. Die einzige offizielle Methode: Jeden Dienst einzeln besuchen, die 2FA deaktivieren und mit der neuen App neu einrichten. Das ist bei f\u00fcnf Konten machbar, bei 50 ein halber Arbeitstag. Manche Nutzer verwenden inoffizielle Community-Tools, die Authy-Backups auslesen, allerdings auf eigenes Risiko. Priorisieren Sie die wichtigsten zehn Konten zuerst, insbesondere E-Mail, Banking, Passwort-Manager und wichtige Arbeitszug\u00e4nge. Notieren Sie sich Recovery-Codes aller Dienste, bevor Sie mit der Migration beginnen.<\/p>\n\n\n\n
Empfehlungen nach Anwendungsfall<\/h2>\n\n\n\n
Basierend auf dem Vergleich aller f\u00fcnf Apps ergibt sich folgende Empfehlungsmatrix f\u00fcr den DACH-Raum:<\/p>\n\n\n\n
Anwendungsfall<\/th>Empfehlung<\/th>Begr\u00fcndung<\/th><\/tr><\/thead>
Einsteiger (iOS oder Android)<\/td>2FAS<\/td>Einfach, open source, sicheres Backup ohne E2EE-L\u00fccken<\/td><\/tr>
Maximale Sicherheit (Android)<\/td>Aegis<\/td>Lokale AES-256-GCM-Verschl\u00fcsselung, keine Cloud-Abh\u00e4ngigkeit<\/td><\/tr>
Microsoft\/Azure Enterprise<\/td>Microsoft Authenticator<\/td>Push-MFA, passwortlos, zentrale Verwaltung via Entra ID<\/td><\/tr>
Einfachster Einstieg (Google-Nutzer)<\/td>Google Authenticator<\/td>Weit verbreitet, einfach einzurichten, bekannter Sync<\/td><\/tr>
Hochwertige Krypto-Konten<\/td>Aegis + Hardware-Key<\/td>Offline, verschl\u00fcsselt, kein Single Point of Failure<\/td><\/tr>
H\u00e4ufiger Ger\u00e4tewechsel (iPhone)<\/td>2FAS<\/td>Verschl\u00fcsseltes iCloud-Backup mit separatem Passwort<\/td><\/tr>
Desktop-Zugang zu Codes<\/td>2FAS (Browser-Extension)<\/td>Einzige Option unter den f\u00fcnf Apps mit Desktop-Workflow<\/td><\/tr>
iOS ohne Google-Bindung<\/td>2FAS<\/td>Open source, kein Konto n\u00f6tig, sichere iCloud-Backup-Option<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
Vor- und Nachteile aller f\u00fcnf Apps<\/h2>\n\n\n\n
Google Authenticator<\/h3>\n\n\n\n
Vorteile:<\/strong> Breite Unterst\u00fctzung durch Dienste weltweit, einfache Bedienung, Privacy Screen, kostenlos, kein Konto f\u00fcr Grundfunktion n\u00f6tig, bew\u00e4hrte Zuverl\u00e4ssigkeit, direkter Import in Aegis\/2FAS m\u00f6glich.<\/p>\n\n\n\n
Nachteile:<\/strong> Kein E2EE f\u00fcr Cloud-Backup, kein Desktop-Client, Closed Source, Export nur als unverschl\u00fcsselter QR-Code, Google-Konto-Kompromittierung gef\u00e4hrdet alle Tokens.<\/p>\n\n\n\n
Microsoft Authenticator<\/h3>\n\n\n\n
Vorteile:<\/strong> Push-MFA mit Kontext-Informationen, passwortloses Anmelden, tiefe Azure\/Microsoft-365-Integration, gratis f\u00fcr Privatnutzer, phishing-resistente MFA im Microsoft-Kontext.<\/p>\n\n\n\n
Nachteile:<\/strong> Kein Export der Tokens m\u00f6glich, kein Desktop-Client, au\u00dferhalb des Microsoft-\u00d6kosystems kein Mehrwert, Closed Source, kein E2EE f\u00fcr Backups, Token-Wechsel sehr aufwendig.<\/p>\n\n\n\n
Aegis Authenticator<\/h3>\n\n\n\n
Vorteile:<\/strong> Open Source MIT-Lizenz, AES-256-GCM-Lokalverschl\u00fcsselung, Master-Passwort, kein Cloud-Konto n\u00f6tig, Import aus anderen Apps, verschl\u00fcsselter Export, Privacy Screen, vollst\u00e4ndige Offline-Nutzung, HOTP-Support.<\/p>\n\n\n\n
Nachteile:<\/strong> Android only, kein automatisches Cloud-Backup, h\u00f6herer Aufwand bei Ger\u00e4tewechsel, kein Desktop-Client, Community-Entwicklung ohne kommerziellen Support, f\u00fcr iOS-Nutzer keine Option.<\/p>\n\n\n\n
2FAS Auth<\/h3>\n\n\n\n
Vorteile:<\/strong> Open Source MIT-Lizenz, iOS und Android, Browser-Extension f\u00fcr Chrome\/Firefox, kein Konto n\u00f6tig, verschl\u00fcsseltes Backup mit separatem Passwort, Import\/Export-Funktion, Apple Watch-Support, HOTP-Support, keine Telefonnummer erforderlich.<\/p>\n\n\n\n
Nachteile:<\/strong> Kleinere Community als Google oder Microsoft Authenticator, kein dedizierter Desktop-Client (nur Extension), f\u00fcr neue Nutzer weniger bekannt als Google-Alternativen.<\/p>\n\n\n\n
Authy<\/h3>\n\n\n\n
Vorteile:<\/strong> Bew\u00e4hrtes Cloud-Backup mit separatem Backup-Passwort, multi-Ger\u00e4te-Sync f\u00fcr mobile Ger\u00e4te, einfache Wiederherstellung bei Ger\u00e4tewechsel, lange etabliert und stabil.<\/p>\n\n\n\n
Nachteile:<\/strong> Desktop-Client 2024 eingestellt, Telefonnummer als zentrales Identifikationsmerkmal (SIM-Swapping-Risiko), kein Token-Export m\u00f6glich, Closed Source, kein direkter Import in andere Apps, Twilio selbst empfahl Synchronisierung zeitweise zu deaktivieren.<\/p>\n\n\n\n
Unser Urteil: Welche Authenticator-App gewinnt 2026?<\/h2>\n\n\n\n
Es gibt keine universelle Antwort, aber klare Gewinner je nach Nutzerprofil. Das Urteil basiert auf Sicherheitsarchitektur, Backup-Qualit\u00e4t, Plattformunterst\u00fctzung und Portabilit\u00e4t.<\/p>\n\n\n\n
F\u00fcr die meisten Privatnutzer: 2FAS Auth.<\/strong> Open Source, kostenlos, iOS und Android, kein Konto erforderlich, verschl\u00fcsseltes Backup mit separatem Passwort, Browser-Extension f\u00fcr den Desktop. 2FAS bietet das beste Verh\u00e4ltnis aus Sicherheit, Benutzerfreundlichkeit und Plattformabdeckung ohne die kritischen Schw\u00e4chen von Google Authenticator (kein E2EE) oder Authy (kein Export, Desktop eingestellt). F\u00fcr einen Vergleich mit verwandten Datenschutz-Tools empfehlen wir unseren Artikel zu Passkeys vs. Passw\u00f6rter<\/a>.<\/p>\n\n\n\n
F\u00fcr sicherheitsbewusste Android-Nutzer: Aegis.<\/strong> Wer maximale Kontrolle und keine Cloud-Abh\u00e4ngigkeit will, w\u00e4hlt Aegis. Die AES-256-GCM-Lokalverschl\u00fcsselung, das Open-Source-Modell und der vollst\u00e4ndige Offline-Betrieb machen Aegis zur sichersten Option in diesem Vergleich. Der Preis ist h\u00f6here Eigenverantwortung beim Backup.<\/p>\n\n\n\n
F\u00fcr Unternehmen auf Microsoft-Stack: Microsoft Authenticator.<\/strong> Keine andere App in diesem Vergleich bietet Push-MFA, passwortloses Anmelden und zentrale Entra-ID-Verwaltung. F\u00fcr IT-Teams mit Microsoft-365-Umgebung ist das ein klarer und durch keine Alternative zu ersetzender Vorteil.<\/p>\n\n\n\n
Google Authenticator<\/strong> bleibt eine solide Wahl f\u00fcr Nutzer, die bereits im Google-\u00d6kosystem sind und einfache, schnelle Einrichtung priorisieren, solange sie die Backup-Schw\u00e4che (kein E2EE) kennen und ihr Google-Konto mit einem Hardware-Key absichern.<\/p>\n\n\n\n
Authy<\/strong> ist f\u00fcr Neukunden 2026 nicht mehr empfehlenswert. Der fehlende Desktop-Client, die Telefonnummernabh\u00e4ngigkeit und der gesperrte Export machen einen sp\u00e4teren Wechsel schwierig. Bestehende Authy-Nutzer ohne dringenden Wechselbedarf k\u00f6nnen bleiben, sollten aber mittel- bis langfristig migrieren.<\/p>\n\n\n\n
Verwandte Artikel<\/h2>\n\n\n\n
Related Coverage<\/h3>\n\n\n\n