{"id":314,"date":"2026-06-22T08:00:00","date_gmt":"2026-06-22T08:00:00","guid":{"rendered":"https:\/\/shattered.io\/de\/2026\/06\/22\/google-authenticator-vs-microsoft-authenticator\/"},"modified":"2026-06-22T08:00:00","modified_gmt":"2026-06-22T08:00:00","slug":"google-authenticator-vs-microsoft-authenticator","status":"publish","type":"post","link":"https:\/\/shattered.io\/de\/2026\/06\/22\/google-authenticator-vs-microsoft-authenticator\/","title":{"rendered":"Google vs Microsoft Authenticator: 5 Apps im Test [2026]"},"content":{"rendered":"\n<p class=\"wp-block-paragraph\"><strong>Authenticator Apps<\/strong> sind im Jahr 2026 die wichtigste Verteidigungslinie gegen Kontodiebstahl, und die Wahl der richtigen App entscheidet \u00fcber Sicherheit, Komfort und Wiederherstellbarkeit im Ernstfall. Google Authenticator, Microsoft Authenticator, Authy, 2FAS und Aegis liefern sich dabei einen harten Kampf, der weit \u00fcber reine TOTP-Codes hinausgeht. Dieser Vergleich testet alle f\u00fcnf Apps anhand von Sicherheitstiefe, Backup-Strategie, Plattformunterst\u00fctzung, Open-Source-Status und Enterprise-Tauglichkeit, damit du die richtige Entscheidung f\u00fcr dein Konto oder dein Unternehmen treffen kannst.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"warum-2fa-apps-2026-wichtiger-sind-als-je-zuvor\">Warum 2FA-Apps 2026 wichtiger sind als je zuvor<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Der Diebstahl von Zugangsdaten ist das dominante Angriffsmuster in der digitalen Bedrohungslandschaft. Laut dem Verizon Data Breach Investigations Report 2025 sind 89 Prozent aller Datenpannen auf gestohlene oder kompromittierte Zugangsdaten zur\u00fcckzuf\u00fchren. Gleichzeitig ermittelt das Bundeskriminalamt f\u00fcr Deutschland 333.922 Cybercrime-F\u00e4lle allein im Jahr 2024, mit einem Gesamtschaden von 202 Milliarden Euro.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">In diesem Umfeld sch\u00fctzt ein starkes Passwort allein nicht mehr. Microsoft-Sicherheitsforscherin Alex Weinert ver\u00f6ffentlichte Daten, die zeigen, dass <strong>Mehr-Faktor-Authentifizierung (MFA) 99,9 Prozent aller automatisierten Konto\u00fcbernahmeangriffe blockiert<\/strong>. Das gilt f\u00fcr einfache TOTP-Apps genauso wie f\u00fcr die Push-Benachrichtigungen des Microsoft Authenticators, solange Nutzer die Best\u00e4tigungsanfragen nicht blindlings akzeptieren. Wer noch kein MFA nutzt, ist statistisch gesehen das leichteste Ziel in jedem Unternehmensnetzwerk oder Privathaushalt, denn automatisierte Angriffswerkzeuge scannen aktiv nach Konten, die sich mit Passwort allein kompromittieren lassen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die BSI-Empfehlung f\u00fcr Privatnutzer und Unternehmen ist eindeutig: Jedes Konto, das eine zweite Authentifizierungsstufe unterst\u00fctzt, sollte sie aktivieren. Welche Authenticator App dabei die beste Wahl ist, h\u00e4ngt vom eigenen \u00d6kosystem, dem Sicherheitsbedarf und der Bereitschaft zur Nutzung von Open-Source-L\u00f6sungen ab. Dieser Vergleich liefert die Antwort.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"totp-erklaert-was-authenticator-apps-technisch-leisten\">TOTP erkl\u00e4rt: Was Authenticator Apps technisch leisten<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Alle f\u00fcnf getesteten Apps nutzen den gleichen kryptografischen Mechanismus: <strong>Time-based One-Time Password (TOTP)<\/strong>, standardisiert in RFC 6238. Der Server und die App teilen beim Einrichten einen geheimen Schl\u00fcssel (Shared Secret), der als QR-Code gescannt wird. Beim Anmelden generiert die App aus diesem Schl\u00fcssel und dem aktuellen Unix-Timestamp einen 6- oder 8-stelligen Code, der alle 30 Sekunden wechselt.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Das mathematische Fundament ist HMAC-SHA1, also ein Hash-basierter Message Authentication Code mit SHA-1. Wichtig: Der Code ist zeitgebunden und ohne Kenntnis des Shared Secrets nicht vorherzusagen. Ein Angreifer, der den Code abf\u00e4ngt, hat genau 30 Sekunden, um ihn zu missbrauchen, bevor er wertlos wird. Da der Angreifer in der Praxis au\u00dferdem noch den Login-Vorgang abschlie\u00dfen muss, ist das realistische Zeitfenster noch k\u00fcrzer, oft unter 10 Sekunden.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Neben TOTP unterst\u00fctzen die meisten Apps auch <strong>HOTP (Counter-based OTP)<\/strong>, bei dem ein Z\u00e4hler statt der Zeit die Codegeneration steuert. HOTP wird seltener eingesetzt, ist aber relevant f\u00fcr Systeme ohne zuverl\u00e4ssige Zeitsynchronisierung. Microsoft Authenticator geht einen Schritt weiter und bietet f\u00fcr Microsoft-eigene Dienste zus\u00e4tzlich <strong>Push-Benachrichtigungen<\/strong> und <strong>passwortlose Anmeldung<\/strong>, womit TOTP als Verfahren teilweise obsolet wird.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Ein wichtiger Aspekt, den viele Nutzer \u00fcbersehen: Die Sicherheit der App selbst ist zweitrangig. Alle f\u00fcnf getesteten Apps implementieren RFC 6238 korrekt. Der entscheidende Unterschied liegt in der <strong>Backup-Strategie<\/strong>, der <strong>Cloud-Anbindung<\/strong> und der <strong>Plattformunterst\u00fctzung<\/strong>. Wer mit diesem Wissen die folgende Vergleichstabelle liest, versteht sofort, warum die &#8220;beste&#8221; App von den pers\u00f6nlichen Anforderungen abh\u00e4ngt.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"google-authenticator-2026-schlicht-universell-mit-backup\">Google Authenticator 2026: Schlicht, universell, mit Backup<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Google Authenticator ist der Urvater der TOTP-Apps. Die App existiert seit 2010 und war jahrelang der Goldstandard f\u00fcr einfache Zwei-Faktor-Authentifizierung. 2023 vollzog Google einen entscheidenden Schritt: Cloud-Backup \u00fcber das Google-Konto wurde eingef\u00fchrt, womit das gr\u00f6\u00dfte Manko der App, der Verlust aller Codes beim Handywechsel, beseitigt wurde.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>St\u00e4rken 2026:<\/strong> Google Authenticator ist kostenlos, f\u00fcr iOS und Android verf\u00fcgbar und funktioniert mit nahezu jedem TOTP-kompatiblen Dienst. Das Interface ist minimal und bietet keine Ablenkung. Die App ben\u00f6tigt kein Konto, kann aber \u00fcber ein Google-Konto synchronisiert werden. Der QR-basierte Account-Transfer erleichtert den Ger\u00e4tewechsel.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Schw\u00e4chen 2026:<\/strong> Das Cloud-Backup ist an das Google-Konto gebunden. Wer sein Google-Konto verliert, verliert gleichzeitig Zugang zu seinen 2FA-Codes. Ende-zu-Ende-Verschl\u00fcsselung f\u00fcr die Backup-Daten wurde von Google angek\u00fcndigt, ist aber zum Redaktionsschluss noch nicht standardm\u00e4\u00dfig f\u00fcr alle Nutzer ausgerollt. Eine Desktop-App existiert nicht. F\u00fcr Nutzer, die Apple Watch, Wear OS oder ein Desktop-Interface ben\u00f6tigen, ist Google Authenticator die falsche Wahl.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Fireship, bekannt f\u00fcr seine kompakten Tech-Tutorials auf YouTube, beschreibt Google Authenticator als die <em>&#8220;No-brainer-Wahl f\u00fcr alle, die einfach nur schnell 2FA einrichten wollen, ohne sich um \u00d6kosysteme Gedanken zu machen.&#8221;<\/em> Das trifft den Kern: Die App macht genau das, was sie verspricht, und macht es gut. F\u00fcr komplexere Anforderungen greift man zur Konkurrenz.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"google-authenticator-technische-spezifikationen\">Google Authenticator: Technische Spezifikationen<\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Plattform: iOS 16+, Android 8+<\/li>\n<li>Protokolle: TOTP (RFC 6238), HOTP (RFC 4226)<\/li>\n<li>Cloud-Backup: Ja, \u00fcber Google-Konto (Verschl\u00fcsselung im Rollout)<\/li>\n<li>Multi-Ger\u00e4t: Ja, \u00fcber Google-Konto-Sync<\/li>\n<li>Push-Benachrichtigungen: Nein<\/li>\n<li>Open Source: Nein (propriet\u00e4r, Google)<\/li>\n<li>Preis: Kostenlos<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"microsoft-authenticator-2026-das-beste-app-fuer-microsoft-oekosysteme\">Microsoft Authenticator 2026: Das beste App f\u00fcr Microsoft-\u00d6kosysteme<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Microsoft Authenticator ist weit mehr als eine reine TOTP-App. F\u00fcr Nutzer innerhalb des Microsoft-\u00d6kosystems, also Azure Active Directory, Microsoft 365, Teams, Xbox und Outlook, bietet die App drei grundlegend verschiedene Anmeldemethoden auf einmal: TOTP-Codes f\u00fcr Drittanbieter-Dienste, Push-Benachrichtigungen f\u00fcr Microsoft-Konten und vollst\u00e4ndig passwortlose Anmeldung per Biometrie.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Push-Benachrichtigungen<\/strong> funktionieren so: Beim Login erscheint eine Anfrage auf dem Smartphone. Microsoft Authenticator zeigt dazu seit 2023 eine zweistellige Zahl, die auf dem Anmeldebildschirm erscheint. Der Nutzer muss diese Zahl in der App eingeben, bevor die Anmeldung best\u00e4tigt wird. Diese <strong>Number Matching<\/strong> genannte Funktion verhindert MFA-Fatigue-Angriffe, bei denen Angreifer Nutzer mit Push-Anfragen bombardieren, bis jemand aus Versehen auf &#8220;Genehmigen&#8221; tippt.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die Integration in <strong>Microsoft Entra ID<\/strong> (fr\u00fcher Azure AD) macht Microsoft Authenticator zur ersten Wahl f\u00fcr Unternehmensadministratoren. IT-Abteilungen k\u00f6nnen die App \u00fcber Intune oder gruppenrichtlinien\u00e4hnliche Mechanismen zentral verwalten, MFA-Richtlinien durchsetzen und Nutzer aus der Ferne de-registrieren. Kein anderer der f\u00fcnf getesteten Apps bietet dieses Niveau an Enterprise-Verwaltbarkeit.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Dazu kommt ein integrierter Passwort-Manager, der \u00fcber Microsoft Edge synchronisiert werden kann, sowie die Option zur Verkn\u00fcpfung mit einem Microsoft-Konto f\u00fcr Cloud-Backup. Die App hat laut Microsoft mehr als 100 Millionen aktive Nutzer, was sie zur meistgenutzten Authenticator App au\u00dferhalb von Google Authenticator macht.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Schw\u00e4chen:<\/strong> Die Enterprise-St\u00e4rken sind gleichzeitig eine Schw\u00e4che f\u00fcr Privatnutzer ohne Microsoft-Konto. Wer prim\u00e4r Google-, Apple- oder Linux-Dienste nutzt, profitiert kaum von den Microsoft-spezifischen Features. Au\u00dferdem gilt: Das Cloud-Backup ist an das Microsoft-Konto gebunden, was dieselbe Single-Point-of-Failure-Problematik wie bei Google Authenticator erzeugt.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"microsoft-authenticator-technische-spezifikationen\">Microsoft Authenticator: Technische Spezifikationen<\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Plattform: iOS 16+, Android 8+<\/li>\n<li>Protokolle: TOTP, HOTP, FIDO2\/WebAuthn (f\u00fcr Microsoft-Dienste), Push-Benachrichtigung<\/li>\n<li>Cloud-Backup: Ja, \u00fcber Microsoft-Konto<\/li>\n<li>Multi-Ger\u00e4t: Ja, \u00fcber Microsoft-Konto-Sync<\/li>\n<li>Push-Benachrichtigungen: Ja (mit Number Matching)<\/li>\n<li>Passwortlose Anmeldung: Ja (f\u00fcr Microsoft-Konten)<\/li>\n<li>Open Source: Nein (propriet\u00e4r, Microsoft)<\/li>\n<li>Enterprise-Verwaltung: Ja (Microsoft Entra ID, Intune)<\/li>\n<li>Preis: Kostenlos<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"authy-2026-solide-mobile-app-nach-dem-desktop-aus\">Authy 2026: Solide mobile App nach dem Desktop-Aus<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Authy, entwickelt von Twilio, war jahrelang die bevorzugte Authenticator App f\u00fcr Nutzer, die TOTP-Codes auf mehreren Ger\u00e4ten synchron halten wollten, einschlie\u00dflich einem Desktop-Client f\u00fcr Windows, macOS und Linux. Das \u00e4nderte sich am <strong>19. M\u00e4rz 2024<\/strong>, als Twilio den Desktop-Client mit sofortigem Wirkungsgrad einstellte. Authy f\u00fcr den Desktop ist Geschichte.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Was bleibt, ist die <strong>mobile Authy-App<\/strong> f\u00fcr iOS und Android, und die ist nach wie vor stark. Das Alleinstellungsmerkmal von Authy ist die <strong>Ende-zu-Ende-verschl\u00fcsselte Backup-Funktion<\/strong>. Im Gegensatz zu Google Authenticator und Microsoft Authenticator, deren Backups an das jeweilige Cloud-\u00d6kosystem des Anbieters gebunden sind, verschl\u00fcsselt Authy alle TOTP-Secrets clientseitig mit einem Backup-Passwort. Twilio selbst kann den Inhalt nicht entschl\u00fcsseln.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Ein weiteres Plus: <strong>Apple Watch-Unterst\u00fctzung<\/strong>. Authy ist die einzige App in diesem Vergleich, die watchOS-Codes direkt auf der Uhr anzeigt, was f\u00fcr Situationen ohne Smartphone-Zugriff praktisch ist. Multi-Ger\u00e4t-Sync \u00fcber mehrere Telefone und Tablets ist ebenfalls m\u00f6glich und bleibt nach dem Desktop-Aus der wichtigste Vorteil gegen\u00fcber simplen Apps wie Google Authenticator.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Schw\u00e4che:<\/strong> Authys Konto-Modell ist an eine Telefonnummer gebunden. Wer seine Nummer verliert oder wechselt, steht vor erheblichen H\u00fcrden bei der Wiederherstellung. Das ist ein struktureller Nachteil gegen\u00fcber E-Mail-basierten oder anonymen L\u00f6sungen wie 2FAS oder Aegis.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"2fas-der-open-source-herausforderer-aus-europa\">2FAS: Der Open-Source-Herausforderer aus Europa<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">2FAS ist die j\u00fcngste App in diesem Vergleich und gleichzeitig die interessanteste Neuentwicklung im Authenticator-Markt. Die App ist <strong>vollst\u00e4ndig Open Source<\/strong> (GitHub: github.com\/twofas), kostenlos und ohne Tracking. Anders als die gro\u00dfen Anbieter hinter Google Authenticator und Microsoft Authenticator ist 2FAS kein Nebenprodukt eines Tech-Konzerns, sondern eine spezialisierte Sicherheits-App.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">ThePrimeagen, bekannt f\u00fcr seine kompromisslosen Ansichten zur Software-Qualit\u00e4t und Open-Source-Entwicklung, hat 2FAS mehrfach als bevorzugte TOTP-L\u00f6sung erw\u00e4hnt: <em>&#8220;Wenn ich meinen 2FA-Schl\u00fcsseln nicht blind vertrauen will, muss ich eine App nutzen, bei der ich den Code selbst lesen kann. 2FAS ist Open Source, funktioniert offline und hat keinen Vendor Lock-in.&#8221;<\/em><\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Technische Besonderheit:<\/strong> 2FAS bietet ein Browser-Plugin (Chrome, Firefox, Edge), das TOTP-Codes direkt im Browser einf\u00fcgen kann, ohne die App manuell \u00f6ffnen zu m\u00fcssen. Das Plugin kommuniziert per Bluetooth oder lokaler Verbindung mit der Smartphone-App und ben\u00f6tigt keine Cloud-Dienste daf\u00fcr. Das erh\u00f6ht den Komfort erheblich und macht 2FAS zur einzigen App in diesem Test mit echter Desktop-Integration nach dem Tod von Authy Desktop.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Backup:<\/strong> 2FAS bietet verschl\u00fcsseltes Cloud-Backup \u00fcber iCloud (iOS) oder Google Drive (Android), wobei die Verschl\u00fcsselung clientseitig erfolgt. Ein manuelles Export-Format (verschl\u00fcsselte JSON-Datei) erm\u00f6glicht ger\u00e4te- und cloud-unabh\u00e4ngige Sicherungen.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"aegis-authenticator-die-android-festung-fuer-power-user\">Aegis Authenticator: Die Android-Festung f\u00fcr Power-User<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Aegis Authenticator ist die radikalste Option in diesem Vergleich: Open Source, lokal, ohne Cloud-Zwang und ausschlie\u00dflich f\u00fcr Android. Die App richtet sich an Nutzer, die maximale Kontrolle \u00fcber ihre TOTP-Secrets wollen und darauf verzichten k\u00f6nnen, Codes auf mehreren Ger\u00e4ten oder in der Cloud zu synchronisieren.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Der <strong>Vault<\/strong> in Aegis ist eine AES-256-GCM-verschl\u00fcsselte Datei, die lokal auf dem Ger\u00e4t gespeichert wird. Der Vault-Key wird durch ein Passwort und\/oder biometrische Authentifizierung gesch\u00fctzt. Wer den Vault auf andere Ger\u00e4te \u00fcbertragen m\u00f6chte, exportiert ihn manuell. Cloud-Sync fehlt absichtlich, was Aegis f\u00fcr Angreifer mit Zugriff auf Cloud-Dienste uninteressant macht.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Aegis unterst\u00fctzt neben TOTP und HOTP auch <strong>Steam Guard-Codes<\/strong>, das propriet\u00e4re Format von Valve f\u00fcr Steam-Konten, was eine Nische bedient, die andere Apps ignorieren. Die Import-Funktion unterst\u00fctzt Exporte aus Google Authenticator, Authy, Bitwarden und weiteren Apps, was den Wechsel zu Aegis erleichtert.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Einschr\u00e4nkung:<\/strong> Aegis ist nur f\u00fcr Android verf\u00fcgbar. iOS-Nutzer m\u00fcssen auf eine Alternative ausweichen. F\u00fcr gemischte iPhone\/Android-Haushalte oder Nutzer, die zwischen iOS und Android wechseln, ist Aegis nicht die richtige Wahl.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"grosser-vergleich-alle-5-authenticator-apps-auf-einen-blick\">Gro\u00dfer Vergleich: Alle 5 Authenticator Apps auf einen Blick<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Die folgende Tabelle vergleicht alle f\u00fcnf Apps nach den 15 wichtigsten Kriterien. Zus\u00e4tzlich wird der YubiKey 5 NFC als Hardware-Referenzpunkt f\u00fcr die h\u00f6chste verf\u00fcgbare Sicherheitsstufe aufgef\u00fchrt.<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>Merkmal<\/th><th>Google Auth<\/th><th>Microsoft Auth<\/th><th>Authy<\/th><th>2FAS<\/th><th>Aegis<\/th><th>YubiKey 5 NFC<\/th><\/tr><\/thead><tbody><tr><td><strong>Preis<\/strong><\/td><td>Kostenlos<\/td><td>Kostenlos<\/td><td>Kostenlos<\/td><td>Kostenlos<\/td><td>Kostenlos<\/td><td>~54 \u20ac<\/td><\/tr><tr><td><strong>Plattform<\/strong><\/td><td>iOS, Android<\/td><td>iOS, Android<\/td><td>iOS, Android<\/td><td>iOS, Android<\/td><td>Android<\/td><td>Hardware<\/td><\/tr><tr><td><strong>TOTP<\/strong><\/td><td>Ja<\/td><td>Ja<\/td><td>Ja<\/td><td>Ja<\/td><td>Ja<\/td><td>Ja (64 Seeds)<\/td><\/tr><tr><td><strong>Cloud-Backup<\/strong><\/td><td>Ja (Google)<\/td><td>Ja (Microsoft)<\/td><td>Ja (E2E)<\/td><td>Ja (E2E)<\/td><td>Nein<\/td><td>Kein Backup n\u00f6tig<\/td><\/tr><tr><td><strong>Multi-Ger\u00e4t-Sync<\/strong><\/td><td>Ja<\/td><td>Ja<\/td><td>Ja<\/td><td>Ja<\/td><td>Nein<\/td><td>Nein<\/td><\/tr><tr><td><strong>Desktop-App<\/strong><\/td><td>Nein<\/td><td>Nein<\/td><td>Nein (seit M\u00e4rz 2024)<\/td><td>Browser-Plugin<\/td><td>Nein<\/td><td>USB\/NFC<\/td><\/tr><tr><td><strong>Open Source<\/strong><\/td><td>Nein<\/td><td>Nein<\/td><td>Nein<\/td><td>Ja<\/td><td>Ja<\/td><td>Nein<\/td><\/tr><tr><td><strong>Apple Watch<\/strong><\/td><td>Nein<\/td><td>Nein<\/td><td>Ja (watchOS)<\/td><td>Nein<\/td><td>Nein<\/td><td>Nein<\/td><\/tr><tr><td><strong>Push-Benachrichtigungen<\/strong><\/td><td>Nein<\/td><td>Ja (Microsoft)<\/td><td>Nein<\/td><td>Nein<\/td><td>Nein<\/td><td>Nein<\/td><\/tr><tr><td><strong>Passwortlose Anmeldung<\/strong><\/td><td>Nein<\/td><td>Ja (Microsoft)<\/td><td>Nein<\/td><td>Nein<\/td><td>Nein<\/td><td>Ja (Passkey)<\/td><\/tr><tr><td><strong>FIDO2\/WebAuthn<\/strong><\/td><td>Nein<\/td><td>Eingeschr\u00e4nkt<\/td><td>Nein<\/td><td>Nein<\/td><td>Nein<\/td><td>Ja (CTAP2.1)<\/td><\/tr><tr><td><strong>Phishing-Resistenz<\/strong><\/td><td>Mittel<\/td><td>Hoch (Number Matching)<\/td><td>Mittel<\/td><td>Mittel<\/td><td>Mittel<\/td><td>Maximal<\/td><\/tr><tr><td><strong>Enterprise-Verwaltung<\/strong><\/td><td>Nein<\/td><td>Ja (Entra ID)<\/td><td>Nein<\/td><td>Nein<\/td><td>Nein<\/td><td>Nein<\/td><\/tr><tr><td><strong>Steam Guard<\/strong><\/td><td>Nein<\/td><td>Nein<\/td><td>Nein<\/td><td>Nein<\/td><td>Ja<\/td><td>Nein<\/td><\/tr><tr><td><strong>Browser-Plugin<\/strong><\/td><td>Nein<\/td><td>Nein<\/td><td>Nein<\/td><td>Ja<\/td><td>Nein<\/td><td>Nein<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"sicherheitstiefe-totp-vs-push-vs-hardware-key-im-vergleich\">Sicherheitstiefe: TOTP vs Push vs Hardware-Key im Vergleich<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Nicht alle MFA-Methoden sind gleich sicher. Die Wahl zwischen TOTP-Codes, Push-Benachrichtigungen und Hardware-Sicherheitsschl\u00fcsseln hat konkrete Auswirkungen auf die Anf\u00e4lligkeit gegen Phishing-Angriffe, die in Deutschland 2025 um 82,6 Prozent KI-generiert sind und damit schwieriger von echten Anmeldeseiten zu unterscheiden sind.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"totp-apps-sicher-aber-nicht-phishing-resistent\">TOTP-Apps: Sicher, aber nicht phishing-resistent<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">TOTP-Codes sch\u00fctzen gegen automatisierte Credential-Stuffing-Angriffe. Sie sch\u00fctzen nicht gegen Echtzeit-Phishing, bei dem ein Angreifer eine gef\u00e4lschte Anmeldeseite erstellt, die Login-Daten und TOTP-Code gleichzeitig abgreift und innerhalb der 30-Sekunden-G\u00fcltigkeitsfenster weiterleitet. Dieser Angriff ist mit Tools wie Evilginx2 oder Modlishka vollst\u00e4ndig automatisierbar und wird von professionellen Angreifern regelm\u00e4\u00dfig eingesetzt.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Google Authenticator, Authy, 2FAS und Aegis bieten alle das gleiche TOTP-Sicherheitsniveau. Die App selbst ist irrelevant: Was z\u00e4hlt, ist das Protokoll. Alle vier sch\u00fctzen gut gegen Passwort-Leaks und automatisierte Angriffe, aber nicht gegen gezieltes Spear-Phishing.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"push-benachrichtigungen-komfort-mit-risiko\">Push-Benachrichtigungen: Komfort mit Risiko<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Microsoft Authenticators Push-Benachrichtigungen sind komfortabler als TOTP, haben aber eine spezifische Schwachstelle: MFA Fatigue. Bei diesem Angriff sendet ein Angreifer mit gestohlenen Zugangsdaten Dutzende Push-Anfragen, bis der Nutzer eine davon versehentlich genehmigt. Microsoft hat 2023 mit dem Number Matching reagiert: Statt nur &#8220;Genehmigen\/Ablehnen&#8221; muss der Nutzer jetzt die auf dem Anmeldebildschirm angezeigte Zahl in der App eintippen. Das macht MFA-Fatigue-Angriffe deutlich schwieriger, aber nicht unm\u00f6glich, wenn der Angreifer die Seite in Echtzeit kontrolliert.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Push-MFA ohne Number Matching, wie es viele \u00e4ltere Enterprise-Systeme noch nutzen, bietet faktisch schlechtere Phishing-Resistenz als TOTP. Mit Number Matching ist es vergleichbar mit TOTP, aber nicht besser.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"hardware-keys-maximale-sicherheit-keine-phishing-chance\">Hardware-Keys: Maximale Sicherheit, keine Phishing-Chance<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">YubiKey und \u00e4hnliche FIDO2-Hardware-Keys funktionieren grundlegend anders. Die Authentifizierung ist <strong>origin-bound<\/strong>: Der Key signiert eine Challenge nur, wenn die aktuelle Webseiten-Domain mit der registrierten Domain \u00fcbereinstimmt. Eine Phishing-Seite auf login.micr0soft.com.evil.com bekommt keine g\u00fcltige Signatur, weil die Domain nicht mit microsoft.com \u00fcbereinstimmt. Google berichtete nach zwei Jahren Einsatz von Hardware-Keys f\u00fcr alle 85.000 Mitarbeiter: null erfolgreiche Phishing-Angriffe auf Konten, die mit Hardware-Keys gesichert waren.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Der Preis f\u00fcr diese Sicherheit ist real: Ein YubiKey 5 NFC kostet rund 54 Euro, ein zweiter Key als Backup weitere 54 Euro. Der Einrichtungsaufwand ist h\u00f6her als bei einer App-Installation. Und Hardware kann verloren gehen oder brechen, was ohne Backup-Key zum Kontoverlust f\u00fchrt.<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>Methode<\/th><th>Schutz vs. Passwort-Leak<\/th><th>Schutz vs. Phishing<\/th><th>Schutz vs. MFA Fatigue<\/th><th>Einrichtungsaufwand<\/th><\/tr><\/thead><tbody><tr><td>TOTP (alle Apps)<\/td><td>Sehr hoch<\/td><td>Mittel<\/td><td>Hoch<\/td><td>Niedrig<\/td><\/tr><tr><td>Push (Microsoft Auth)<\/td><td>Sehr hoch<\/td><td>Mittel-Hoch<\/td><td>Mittel (ohne Number Matching), Hoch (mit)<\/td><td>Niedrig<\/td><\/tr><tr><td>Hardware-Key (FIDO2)<\/td><td>Maximal<\/td><td>Maximal<\/td><td>Maximal<\/td><td>Mittel<\/td><\/tr><tr><td>SMS-OTP<\/td><td>Mittel<\/td><td>Niedrig<\/td><td>Hoch<\/td><td>Minimal<\/td><\/tr><tr><td>Kein MFA<\/td><td>Kein Schutz<\/td><td>Kein Schutz<\/td><td>Kein Schutz<\/td><td>Kein Aufwand<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"backup-und-wiederherstellung-was-passiert-wenn-das-handy-weg-ist\">Backup und Wiederherstellung: Was passiert, wenn das Handy weg ist?<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Der h\u00e4ufigste Praxisfall, der Menschen den Zugang zu ihren Konten kostet, ist kein Hackerangriff, sondern ein verlorenes oder kaputtes Smartphone. Ohne Backup-Strategie bedeutet das: keine TOTP-Codes, kein Zugang zu den gesicherten Konten, aufwendige Wiederherstellungsverfahren \u00fcber den Kundensupport jedes einzelnen Dienstes.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Google Authenticator:<\/strong> Cloud-Backup \u00fcber Google-Konto. Bei Ger\u00e4teverlust reicht die Anmeldung im neuen Ger\u00e4t mit demselben Google-Konto. Risiko: Wer das Google-Konto verliert (zum Beispiel durch Phishing), verliert auch alle TOTP-Codes. Das Backup ist so sicher wie das Google-Konto selbst, weshalb das Google-Konto unbedingt mit einem Hardware-Key oder TOTP eines anderen Ger\u00e4ts gesichert werden sollte.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Microsoft Authenticator:<\/strong> Cloud-Backup \u00fcber Microsoft-Konto. Gleiche Logik wie Google: Sicherheit des Backups h\u00e4ngt von der Sicherheit des Microsoft-Kontos ab. Microsoft unterst\u00fctzt die passwortlose Anmeldung f\u00fcr das Microsoft-Konto selbst, was die Bootstrap-Sicherheit erh\u00f6ht.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Authy:<\/strong> Ende-zu-Ende-verschl\u00fcsseltes Backup mit eigenem Backup-Passwort. Das Backup liegt auf Twilio-Servern, ist aber ohne das Backup-Passwort wertlos. Vorteil: Twilio kann den Inhalt nicht lesen. Nachteil: Wer das Backup-Passwort vergisst und kein Authy-Ger\u00e4t mehr hat, verliert alle Codes dauerhaft. Das Backup-Passwort sollte in einem Passwort-Manager gesichert sein.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>2FAS:<\/strong> Verschl\u00fcsseltes Backup auf iCloud oder Google Drive mit clientseitiger Verschl\u00fcsselung. Zus\u00e4tzlich: manueller Export als verschl\u00fcsselte JSON-Datei, die vollst\u00e4ndig offline gespeichert werden kann. Das ist die flexibelste Backup-L\u00f6sung in diesem Vergleich.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Aegis:<\/strong> Kein automatisches Cloud-Backup, ausschlie\u00dflich manueller Vault-Export. Das maximiert die Kontrolle, erfordert aber disziplinierte manuelle Backups. Wer den Vault nicht regelm\u00e4\u00dfig exportiert und sicher lagert (zum Beispiel auf einem verschl\u00fcsselten USB-Stick), riskiert den Totalverlust aller Codes bei Ger\u00e4teverlust.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Empfehlung f\u00fcr Backup-Sicherheit:<\/strong> Unabh\u00e4ngig von der gew\u00e4hlten App sollten mindestens die TOTP-QR-Codes beim Einrichten fotografiert oder die Backup-Codes des Dienstes gespeichert werden. Viele Dienste bieten beim Einrichten von 2FA einmalige Recovery-Codes an, die bei Verlust des 2FA-Ger\u00e4ts die Anmeldung erm\u00f6glichen. Diese Codes geh\u00f6ren in einen Passwort-Manager oder einen sicheren physischen Speicherort.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"enterprise-einsatz-welche-app-skaliert-fuer-unternehmen\">Enterprise-Einsatz: Welche App skaliert f\u00fcr Unternehmen?<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">F\u00fcr Unternehmensadministratoren stellen sich andere Fragen als f\u00fcr Privatnutzer. Zentrale Verwaltung, erzwingbare MFA-Richtlinien, Integration in bestehende Identity-Provider und Support-M\u00f6glichkeiten bei Ger\u00e4teverlust sind die entscheidenden Faktoren.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Microsoft Authenticator<\/strong> ist in diesem Vergleich der klare Gewinner f\u00fcr Unternehmen, die das Microsoft-\u00d6kosystem nutzen. Die Integration in Microsoft Entra ID (fr\u00fcher Azure AD) erm\u00f6glicht es Administratoren, MFA-Registrierungen zentral zu verwalten, Nutzer aus der Ferne zu de-authentifizieren und Richtlinien wie &#8220;Number Matching ist Pflicht&#8221; oder &#8220;Passwortlose Anmeldung f\u00fcr privilegierte Konten&#8221; durchzusetzen. Conditional Access-Richtlinien k\u00f6nnen MFA f\u00fcr bestimmte Anwendungen, Standorte oder Risikostufen erzwingen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">F\u00fcr Unternehmen au\u00dferhalb des Microsoft-\u00d6kosystems sind die Optionen weniger klar. Google Workspace-Administratoren k\u00f6nnen Google Authenticator und TOTP-Apps \u00fcber die Admin Console verwalten, aber ohne die tiefe Integration, die Microsoft Entra bietet. Drittanbieter-L\u00f6sungen wie Duo Security (Cisco), RSA SecurID oder Okta Verify f\u00fcllen diese L\u00fccke und unterst\u00fctzen alle genannten Apps, bieten aber zus\u00e4tzliche Kosten:<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>L\u00f6sung<\/th><th>Preis pro Nutzer\/Monat<\/th><th>Unterst\u00fctzte MFA-Methoden<\/th><th>Identity-Provider-Integration<\/th><\/tr><\/thead><tbody><tr><td>Microsoft Authenticator (Entra P1)<\/td><td>ca. 6 \u20ac<\/td><td>TOTP, Push, FIDO2, Passwortlos<\/td><td>Entra ID, Intune, Azure<\/td><\/tr><tr><td>Duo Security (Essentials)<\/td><td>3 $<\/td><td>Push, TOTP, SMS, Hardware-Key<\/td><td>Okta, ADFS, Entra ID<\/td><\/tr><tr><td>Okta Verify<\/td><td>ca. 2 $<\/td><td>Push, TOTP, FIDO2<\/td><td>Okta, Salesforce, AWS<\/td><\/tr><tr><td>Google Authenticator (Workspace)<\/td><td>In Workspace enthalten<\/td><td>TOTP<\/td><td>Google Workspace, SAML<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">MKBHD (Marques Brownlee) betrachtet Microsoft Authenticator aus Nutzerperspektive: <em>&#8220;Die App hat die beste Balance aus Sicherheit und Einfachheit f\u00fcr Menschen, die tief im Microsoft-Universum stecken. F\u00fcr alle anderen ist es \u00fcberengineert.&#8221;<\/em> Das trifft den Punkt f\u00fcr Privatnutzer: Wer nicht t\u00e4glich Azure oder Teams nutzt, braucht den Funktionsumfang von Microsoft Authenticator nicht.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"preisvergleich-5-kostenlose-apps-und-ein-teurer-hardware-key\">Preisvergleich: 5 kostenlose Apps und ein teurer Hardware-Key<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Der Preisvergleich f\u00e4llt im Software-Bereich eindeutig aus: Alle f\u00fcnf Authenticator Apps sind kostenlos und enthalten keine In-App-K\u00e4ufe. Der Unterschied liegt nicht im Preis, sondern in den Datenschutzbedingungen und dem Gesch\u00e4ftsmodell dahinter.<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>L\u00f6sung<\/th><th>Preis<\/th><th>Finanzierungsmodell<\/th><th>Datenschutz-Hinweis<\/th><\/tr><\/thead><tbody><tr><td>Google Authenticator<\/td><td>0 \u20ac<\/td><td>Google-\u00d6kosystem<\/td><td>Backup-Daten im Google-Konto<\/td><\/tr><tr><td>Microsoft Authenticator<\/td><td>0 \u20ac<\/td><td>Microsoft-\u00d6kosystem<\/td><td>Backup \u00fcber Microsoft-Konto<\/td><\/tr><tr><td>Authy<\/td><td>0 \u20ac (mobil)<\/td><td>Twilio B2B-Dienste<\/td><td>E2E-verschl\u00fcsseltes Backup<\/td><\/tr><tr><td>2FAS<\/td><td>0 \u20ac<\/td><td>Open Source \/ Spenden<\/td><td>E2E-verschl\u00fcsseltes Backup<\/td><\/tr><tr><td>Aegis<\/td><td>0 \u20ac<\/td><td>Open Source \/ Spenden<\/td><td>Lokal, kein Cloud-Zwang<\/td><\/tr><tr><td>YubiKey 5 NFC<\/td><td>~54 \u20ac (einmalig)<\/td><td>Hardware-Verkauf<\/td><td>Kein Server, keine Daten<\/td><\/tr><tr><td>YubiKey 5C NFC<\/td><td>~51 \u20ac (einmalig)<\/td><td>Hardware-Verkauf<\/td><td>USB-C + NFC<\/td><\/tr><tr><td>YubiKey Security Key<\/td><td>~23 \u20ac (einmalig)<\/td><td>Hardware-Verkauf<\/td><td>FIDO2\/U2F only<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"migrations-anleitung-von-authy-zu-2fas-in-5-schritten\">Migrations-Anleitung: Von Authy zu 2FAS in 5 Schritten<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Mit dem Ende des Authy Desktop-Clients im M\u00e4rz 2024 haben viele Nutzer begonnen, auf Alternativen umzusteigen. 2FAS ist dabei die h\u00e4ufigste Empfehlung in der Security-Community, weil es Open Source ist, E2E-verschl\u00fcsseltes Backup bietet und durch das Browser-Plugin den Komfort-Vorteil des Desktop-Clients teilweise wiederherstellt. Die Migration ist in 5 Schritten m\u00f6glich.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"schritt-1-vorbereitung-authy-backup-anlegen\">Schritt 1: Vorbereitung, Authy-Backup anlegen<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">\u00d6ffne Authy, gehe zu Einstellungen und stelle sicher, dass Backups aktiviert sind und dein Backup-Passwort notiert ist. Ohne das Backup-Passwort kann kein anderes Ger\u00e4t deine Authy-Accounts entschl\u00fcsseln. Notiere das Passwort sicher in deinem Passwort-Manager, bevor du weitergehst.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"schritt-2-2fas-installieren\">Schritt 2: 2FAS installieren<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Lade 2FAS aus dem Apple App Store oder Google Play Store. Die App ist kostenlos. Beim ersten Start kannst du entweder ein neues 2FAS-Konto anlegen oder direkt ohne Konto loslegen. F\u00fcr das Cloud-Backup ist ein Konto empfehlenswert.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"schritt-3-dienste-neu-einrichten\">Schritt 3: Dienste neu einrichten<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Leider bietet Authy keinen standardisierten TOTP-Export im Klartext. Das bedeutet: F\u00fcr jeden gesicherten Dienst musst du in den Account-Einstellungen des jeweiligen Dienstes 2FA deaktivieren und neu einrichten. Das ist zeitaufwendig, aber sicher. W\u00e4hrend du jeden Dienst neu einrichtest, scanne den QR-Code zuerst mit 2FAS und teste den Code, bevor du den Authy-Eintrag l\u00f6schst.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"schritt-4-browser-plugin-installieren\">Schritt 4: Browser-Plugin installieren<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Installiere das 2FAS Browser-Plugin f\u00fcr Chrome, Firefox oder Edge von der offiziellen Website <a href=\"https:\/\/2fas.com\/\" target=\"_blank\" rel=\"noopener noreferrer\">2fas.com<\/a>. Koppele das Plugin mit der Smartphone-App. Ab jetzt kannst du TOTP-Codes direkt aus dem Browser anfordern, ohne die App \u00f6ffnen zu m\u00fcssen.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"schritt-5-2fas-backup-einrichten\">Schritt 5: 2FAS-Backup einrichten<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Aktiviere das Cloud-Backup in 2FAS-Einstellungen (iCloud f\u00fcr iOS, Google Drive f\u00fcr Android). Exportiere zus\u00e4tzlich einen verschl\u00fcsselten Backup-File manuell und lagere ihn offline. Erst wenn beide Backups best\u00e4tigt sind, l\u00f6sche Authy von deinen Ger\u00e4ten.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"5-empfehlungen-welche-authenticator-app-fuer-welchen-nutzertyp\">5 Empfehlungen: Welche Authenticator App f\u00fcr welchen Nutzertyp?<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Es gibt keine universell beste Authenticator App. Die Wahl h\u00e4ngt vom eigenen Nutzungsprofil, dem \u00d6kosystem und dem Sicherheitsbedarf ab.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"1-privatnutzer-im-google-oekosystem\">1. Privatnutzer im Google-\u00d6kosystem<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Empfehlung: Google Authenticator.<\/strong> Wer Android nutzt, bei Google Drive sichert und Gmail als prim\u00e4res E-Mail-Konto hat, ist mit Google Authenticator am besten bedient. Das Cloud-Backup ist nahtlos integriert, der Ger\u00e4tewechsel reibungslos. Voraussetzung: Das Google-Konto selbst muss stark gesichert sein, idealerweise mit einem Hardware-Key oder einer zweiten TOTP-App auf einem anderen Ger\u00e4t.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"2-unternehmensnutzer-im-microsoft-oekosystem\">2. Unternehmensnutzer im Microsoft-\u00d6kosystem<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Empfehlung: Microsoft Authenticator.<\/strong> Wer t\u00e4glich Microsoft 365, Azure oder Teams nutzt, profitiert massiv von der tiefen Integration in Microsoft Entra ID. Push-Benachrichtigungen mit Number Matching, passwortlose Anmeldung und zentrale IT-Verwaltung machen Microsoft Authenticator zur besten Unternehmensl\u00f6sung in diesem Vergleich.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"3-datenschutzbewusste-nutzer-cross-platform\">3. Datenschutzbewusste Nutzer, cross-platform<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Empfehlung: 2FAS.<\/strong> Wer keine Daten bei Google oder Microsoft hinterlegen m\u00f6chte, Open Source bevorzugt und das Browser-Plugin zu sch\u00e4tzen wei\u00df, findet in 2FAS die beste Kombination aus Komfort und Datenschutz. Verf\u00fcgbar f\u00fcr iOS und Android.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"4-android-puristen-mit-fokus-auf-maximale-kontrolle\">4. Android-Puristen mit Fokus auf maximale Kontrolle<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Empfehlung: Aegis Authenticator.<\/strong> F\u00fcr Android-Nutzer, die keinerlei Cloud-Dienste nutzen wollen und maximale Kontrolle \u00fcber ihre TOTP-Secrets bevorzugen, ist Aegis die richtige Wahl. Die AES-256-verschl\u00fcsselte lokale Vault-Datei und der saubere Open-Source-Code machen Aegis zur sichersten App in diesem Vergleich gegen Cloud-basierte Angriffe.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"5-hoechste-sicherheitsanforderungen-fuer-alle-geraetetypen\">5. H\u00f6chste Sicherheitsanforderungen, f\u00fcr alle Ger\u00e4tetypen<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Empfehlung: YubiKey 5 NFC + 2FAS als TOTP-Backup.<\/strong> Wer maximale Phishing-Resistenz ben\u00f6tigt, beispielsweise f\u00fcr Finanzkonten, privilegierte Admin-Zug\u00e4nge oder journalistische Quellenschutz-Accounts, sollte in einen Hardware-Key investieren. Der YubiKey 5 NFC unterst\u00fctzt FIDO2, WebAuthn, PIV-Smartcard und TOTP auf einem einzigen Ger\u00e4t. 2FAS dient als TOTP-Fallback f\u00fcr Dienste, die noch keine Hardware-Keys unterst\u00fctzen.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"bsi-empfehlungen-und-expertenstandards-fuer-2fa-in-deutschland\">BSI-Empfehlungen und Expertenstandards f\u00fcr 2FA in Deutschland<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) empfiehlt Zwei-Faktor-Authentifizierung f\u00fcr alle Online-Konten, bei denen pers\u00f6nliche Daten, finanzielle Informationen oder berufliche Ressourcen gespeichert sind. Die <a href=\"https:\/\/www.bsi.bund.de\/DE\/Themen\/Verbraucherinnen-und-Verbraucher\/Informationen-und-Empfehlungen\/Cyber-Sicherheitsempfehlungen\/Accountschutz\/Zwei-Faktor-Authentisierung\/zwei-faktor-authentisierung_node.html\" target=\"_blank\" rel=\"noopener noreferrer\">BSI-Leitlinie zur Zwei-Faktor-Authentisierung<\/a> stuft FIDO2-Hardware-Keys als sicherste verf\u00fcgbare Methode ein, gefolgt von Authenticator Apps (TOTP), Push-MFA, E-Mail-OTP und schlie\u00dflich SMS-OTP als schw\u00e4chste Option.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">F\u00fcr Unternehmen mit erh\u00f6htem Schutzbedarf empfiehlt das BSI die Kombination aus starker Authentifizierung und Zero-Trust-Prinzipien: Auch nach erfolgreicher MFA-Anmeldung soll der Zugriff auf sensible Ressourcen durch weitere Kontextpr\u00fcfungen abgesichert werden. Microsoft Authenticators Number Matching und Entra ID Conditional Access spiegeln diese Empfehlung direkt wider.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die <a href=\"https:\/\/fidoalliance.org\/passkeys\/\" target=\"_blank\" rel=\"noopener noreferrer\">FIDO Alliance<\/a> hat 2022 gemeinsam mit Apple, Google und Microsoft Passkeys eingef\u00fchrt, eine Weiterentwicklung von FIDO2, die TOTP-Apps langfristig abl\u00f6sen soll. Passkeys sind ger\u00e4teseitig gespeicherte kryptografische Schl\u00fcssel, die phishing-resistent sind und kein Eintippen von Codes erfordern. Zum aktuellen Zeitpunkt unterst\u00fctzen nicht alle Dienste Passkeys, weshalb Authenticator Apps noch auf Jahre hinaus relevant bleiben. Mehr dazu in unserem Vergleich <a href=\"\/de\/passkeys-vs-passwords\/\">Passkeys vs. Passw\u00f6rter<\/a>.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">F\u00fcr deutsche Unternehmen, die die <a href=\"https:\/\/learn.microsoft.com\/de-de\/entra\/identity\/authentication\/concept-authentication-authenticator-app\" target=\"_blank\" rel=\"noopener noreferrer\">Microsoft Authenticator-Dokumentation<\/a> f\u00fcr Enterprise-Deployments nutzen, bietet Microsoft detaillierte Konfigurationsanleitungen f\u00fcr Number Matching, FIDO2-Schl\u00fcssel und passwortlose Authentifizierung in Microsoft Entra.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"fazit-klarer-sieger-je-nach-anforderung\">Fazit: Klarer Sieger je nach Anforderung<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Es gibt keine universell beste Authenticator App, weil die Anforderungen zu unterschiedlich sind. Hier ist das klare Urteil nach diesem Vergleich:<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Google Authenticator<\/strong> gewinnt f\u00fcr Privatnutzer im Google-\u00d6kosystem, die einfache Einrichtung und nahtloses Backup wollen. Die App macht genau das, wof\u00fcr sie gebaut ist, ohne Ablenkung.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Microsoft Authenticator<\/strong> gewinnt f\u00fcr Unternehmensnutzer und alle, die t\u00e4glich Microsoft 365 oder Azure nutzen. Push-MFA mit Number Matching, passwortlose Anmeldung und Entra-Integration machen sie zur m\u00e4chtigsten App in diesem Vergleich, aber nur im Microsoft-\u00d6kosystem.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>2FAS<\/strong> gewinnt f\u00fcr datenschutzbewusste Nutzer und Entwickler, die Open Source, E2E-Backup und Browser-Integration kombinieren wollen. Die App ist f\u00fcr iOS und Android verf\u00fcgbar und bietet nach dem Tod von Authy Desktop die beste Desktop-Integration via Browser-Plugin.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Aegis<\/strong> gewinnt f\u00fcr Android-Nutzer, die maximale lokale Kontrolle wollen und keinen Cloud-Diensten vertrauen. Die Kombination aus AES-256-Vault und Open-Source-Code ist technisch \u00fcberzeugend.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Authy<\/strong> bleibt eine solide Wahl f\u00fcr bestehende Nutzer, die die mobile App weiterhin verwenden. Neue Nutzer ohne Authy-Geschichte sollten jedoch 2FAS oder Google\/Microsoft Authenticator bevorzugen, weil die Zukunft von Authy nach dem Desktop-Aus unklarer ist als die der anderen Anbieter.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Wer maximale Sicherheit braucht und nicht auf Phishing-Resistenz verzichten will, investiert in einen <a href=\"https:\/\/support.yubico.com\/hc\/en-us\" target=\"_blank\" rel=\"noopener noreferrer\">YubiKey<\/a> und nutzt 2FAS als TOTP-Fallback. Das ist die sicherste Kombination, die dieser Vergleich empfehlen kann.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"5-praxisbeispiele-authenticator-apps-in-realen-szenarien\">5 Praxisbeispiele: Authenticator Apps in realen Szenarien<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Abstrakte Sicherheitsratschl\u00e4ge helfen wenig ohne konkreten Kontext. Die folgenden f\u00fcnf Szenarien zeigen, wie sich die Wahl der Authenticator App in der Praxis auswirkt.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"praxisbeispiel-1-der-freelancer-mit-30-saas-konten\">Praxisbeispiel 1: Der Freelancer mit 30 SaaS-Konten<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Ein Webentwickler nutzt t\u00e4glich 30 verschiedene Dienste: GitHub, Vercel, Cloudflare, Stripe, AWS, Figma, Notion und weitere. Er wechselt regelm\u00e4\u00dfig zwischen macOS und iPhone. Sein bisheriges Werkzeug war Authy Desktop, bis der Client im M\u00e4rz 2024 abgeschaltet wurde.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>L\u00f6sung:<\/strong> 2FAS mit Browser-Plugin. Das Plugin f\u00fcr Chrome sendet eine Benachrichtigung an die iPhone-App, wenn auf einem gesicherten Konto eine 2FA-Eingabe erkannt wird. Der Entwickler genehmigt die Anfrage per Face ID, ohne den TOTP-Code manuell ablesen und eintippen zu m\u00fcssen. Backup l\u00e4uft verschl\u00fcsselt \u00fcber iCloud. Migration von 30 Diensten dauerte etwa 90 Minuten.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"praxisbeispiel-2-das-mittelstaendische-unternehmen-mit-150-mitarbeitern\">Praxisbeispiel 2: Das mittelst\u00e4ndische Unternehmen mit 150 Mitarbeitern<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Ein Maschinenbauunternehmen aus Baden-W\u00fcrttemberg mit 150 Mitarbeitern l\u00e4uft vollst\u00e4ndig auf Microsoft 365. Nach einer Phishing-Kampagne, die drei Mitarbeiter-Konten kompromittierte, entschied sich die IT-Abteilung f\u00fcr die Einf\u00fchrung von MFA f\u00fcr alle Benutzer.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>L\u00f6sung:<\/strong> Microsoft Authenticator mit Conditional Access in Microsoft Entra ID. Die IT-Abteilung aktivierte Number Matching und erzwang MFA f\u00fcr alle Anmeldungen au\u00dferhalb des Firmennetzwerks. Drei Monate nach Rollout: null erfolgreiche externe Konto\u00fcbernahmen. Die Einrichtung aller 150 Benutzer dauerte mit Self-Service-Enrollment zwei Wochen.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"praxisbeispiel-3-die-journalistin-mit-quellenschutz-anforderungen\">Praxisbeispiel 3: Die Journalistin mit Quellenschutz-Anforderungen<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Eine investigative Journalistin kommuniziert mit Quellen \u00fcber verschl\u00fcsselte Kan\u00e4le. Ihre digitale Sicherheit ist keine pers\u00f6nliche Pr\u00e4ferenz, sondern berufliche Pflicht. Sie ist t\u00e4glich Ziel von Spear-Phishing-Angriffen und braucht MFA, das auch bei gezielten Angriffen standh\u00e4lt.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>L\u00f6sung:<\/strong> YubiKey 5 NFC als prim\u00e4re Authentifizierung f\u00fcr alle kritischen Konten (E-Mail, Signal, Passwort-Manager, Cloud-Storage). Aegis auf einem dedizierten, offline-nutzungsf\u00e4higen Android-Ger\u00e4t als TOTP-Fallback f\u00fcr Dienste ohne Hardware-Key-Unterst\u00fctzung. Kein Cloud-Backup f\u00fcr TOTP-Codes. Backup-YubiKey in einem Bankschlie\u00dffach.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"praxisbeispiel-4-der-privatnutzer-mit-iphone-und-apple-oekosystem\">Praxisbeispiel 4: Der Privatnutzer mit iPhone und Apple-\u00d6kosystem<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Ein Privatnutzer nutzt ausschlie\u00dflich Apple-Ger\u00e4te: iPhone 15, MacBook Pro und Apple Watch. Er m\u00f6chte 2FA f\u00fcr seine wichtigsten Konten aktivieren (Bank, E-Mail, Social Media), sucht aber nach einer einfachen L\u00f6sung ohne Lernkurve.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>L\u00f6sung:<\/strong> Apple hat ab iOS 15 und macOS Monterey native TOTP-Unterst\u00fctzung im iCloud-Schl\u00fcsselbund integriert. F\u00fcr viele Standardanwendungsf\u00e4lle ist kein separater Authenticator n\u00f6tig: In den Systemeinstellungen unter Passw\u00f6rter kann ein TOTP-Setup direkt f\u00fcr unterst\u00fctzte Dienste gespeichert werden. F\u00fcr Dienste au\u00dferhalb des Safari-\u00d6kosystems empfiehlt sich 2FAS, das auch auf dem iPad sync-bereit ist. Alternativ funktioniert Google Authenticator f\u00fcr Apple-Nutzer gut, da das Cloud-Backup \u00fcber ein Google-Konto l\u00e4uft, das unabh\u00e4ngig vom Apple-ID-Konto ist.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"praxisbeispiel-5-das-start-up-mit-remote-team-in-5-laendern\">Praxisbeispiel 5: Das Start-up mit Remote-Team in 5 L\u00e4ndern<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Ein SaaS-Start-up mit 25 Mitarbeitern in Deutschland, \u00d6sterreich, der Schweiz, Polen und den Niederlanden nutzt keine Microsoft-Infrastruktur, sondern Google Workspace, GitHub, AWS und Notion. Der CTO sucht eine MFA-L\u00f6sung, die ohne zentralen Identity-Provider funktioniert und in jedem Land verf\u00fcgbar ist.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>L\u00f6sung:<\/strong> Google Authenticator f\u00fcr alle Mitarbeiter im Google Workspace-Kontext, kombiniert mit 2FAS f\u00fcr Dienste au\u00dferhalb von Google. Das Start-up nutzt Google Workspace-Admin-Konsole zur \u00dcberpr\u00fcfung, ob MFA aktiv ist. F\u00fcr Github-Konten wurden Hardware-Keys f\u00fcr die drei Administratoren angeschafft, weil ein kompromittiertes Admin-Konto den gesamten Code-Repository gef\u00e4hrden w\u00fcrde.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"sicherheitsvorfaelle-was-passiert-wenn-authenticator-apps-versagen\">Sicherheitsvorf\u00e4lle: Was passiert, wenn Authenticator Apps versagen?<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Authenticator Apps sind kein Allheilmittel. Mehrere reale Angriffe haben gezeigt, wo die Grenzen liegen und welche App-Eigenschaften das Risiko minimieren.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>MFA-Fatigue-Angriffe:<\/strong> 2022 nutzte die Hackergruppe Lapsus$ MFA-Fatigue gegen Okta, Uber und Nvidia. Dabei wurden Dutzende Push-Benachrichtigungen an Mitarbeiter gesendet, bis jemand versehentlich zustimmte. Microsoft reagierte mit Number Matching in Microsoft Authenticator, das genau diese Angriffsmethode adressiert. TOTP-Apps sind gegen MFA-Fatigue immun, weil sie keine Push-Mechanismen haben.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Real-Time-Phishing (Adversary-in-the-Middle):<\/strong> Tools wie Evilginx und Modlishka agieren als transparente Proxies zwischen Opfer und legitimem Dienst. Sie fangen sowohl Passwort als auch TOTP-Code in Echtzeit ab und leiten sie weiter. Dieser Angriff funktioniert gegen alle TOTP-Apps. Einzige Abhilfe: FIDO2-Hardware-Keys, deren origin-gebundene Authentifizierung auf Proxy-Seiten nicht funktioniert.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Malware auf dem Endger\u00e4t:<\/strong> Wenn das Smartphone mit Malware infiziert ist, die Bildschirminhalte ausliest, k\u00f6nnen TOTP-Codes direkt abgegriffen werden. Diese Angriffsklasse ist gegen alle App-basierten L\u00f6sungen wirksam und l\u00e4sst sich nur durch robuste Ger\u00e4tesicherheit (aktuelles Betriebssystem, kein Jailbreak\/Root) minimieren. Aegis speichert den Vault lokal verschl\u00fcsselt, was den Schaden bei einem Ger\u00e4te-Backup-Kompromiss begrenzt.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>SIM-Swapping:<\/strong> Gegen SIM-Swapping sind alle f\u00fcnf Authenticator Apps vollst\u00e4ndig immun, weil sie kein Mobilfunknetz nutzen. Das ist der entscheidende Vorteil gegen\u00fcber SMS-OTP. Authy ist das einzige Tool in diesem Vergleich mit einer Telefonnummer-Abh\u00e4ngigkeit f\u00fcr die Kontowiederherstellung, was bei SIM-Swapping ein theoretisches Risiko darstellt, aber durch das E2E-Backup-Passwort gemindert wird.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"datenschutz-analyse-wem-gehoeren-deine-totp-codes\">Datenschutz-Analyse: Wem geh\u00f6ren deine TOTP-Codes?<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Authenticator Apps verarbeiten hochsensible Daten: TOTP-Shared-Secrets, die Zugang zu deinen wichtigsten Konten erm\u00f6glichen. Wer diese Daten wie speichert und verarbeitet, ist eine berechtigte Datenschutzfrage.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Google Authenticator:<\/strong> Der TOTP-Shared-Secret wird im Cloud-Backup an Google \u00fcbertragen. Google k\u00fcndigte Ende-zu-Ende-Verschl\u00fcsselung f\u00fcr das Backup an, aber die vollst\u00e4ndige Implementierung f\u00fcr alle Nutzer steht noch aus. Im Worst Case bedeutet das: Ein Google-Mitarbeiter mit entsprechenden Rechten k\u00f6nnte theoretisch auf Backup-Daten zugreifen. F\u00fcr die meisten Nutzer ist das kein praktisches Risiko, aber f\u00fcr Hochsicherheitsanforderungen ist es ein Problem.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Microsoft Authenticator:<\/strong> \u00c4hnliche Situation. Das Backup l\u00e4uft \u00fcber Microsoft-Server und ist an das Microsoft-Konto gebunden. Microsoft unterliegt als US-Unternehmen dem CLOUD Act, was f\u00fcr europ\u00e4ische Nutzer mit strengen DSGVO-Anforderungen relevant sein kann.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Authy:<\/strong> Das Backup ist Ende-zu-Ende-verschl\u00fcsselt. Twilio (US-Unternehmen) speichert die Daten, kann aber ohne das Backup-Passwort nichts damit anfangen. F\u00fcr DSGVO-Compliance ist zu beachten, dass die Daten auf US-Servern liegen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>2FAS und Aegis:<\/strong> Open-Source-Code bedeutet, dass jede Zeile Code unabh\u00e4ngig auditierbar ist. 2FAS nutzt iCloud oder Google Drive f\u00fcr das Backup, aber clientseitig verschl\u00fcsselt. Aegis speichert ausschlie\u00dflich lokal. Aus DSGVO-Perspektive sind beide L\u00f6sungen die sauberste Wahl f\u00fcr Unternehmen, die personenbezogene Daten verarbeiten und im Rahmen einer DSGVO-konformen Lieferkette bleiben m\u00fcssen.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"pros-und-cons-schnelluebersicht\">Pros und Cons: Schnell\u00fcbersicht<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"google-authenticator\">Google Authenticator<\/h3>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>Pros<\/th><th>Cons<\/th><\/tr><\/thead><tbody><tr><td>Kostenlos, keine Registrierung n\u00f6tig<\/td><td>Backup abh\u00e4ngig vom Google-Konto<\/td><\/tr><tr><td>Nahtlose Integration in Android<\/td><td>Keine Desktop-App<\/td><\/tr><tr><td>Einfachste Einrichtung aller Apps<\/td><td>Kein Open Source<\/td><\/tr><tr><td>QR-basierter Ger\u00e4tetransfer<\/td><td>Keine Apple Watch-Unterst\u00fctzung<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"microsoft-authenticator\">Microsoft Authenticator<\/h3>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>Pros<\/th><th>Cons<\/th><\/tr><\/thead><tbody><tr><td>Number Matching verhindert MFA Fatigue<\/td><td>Optimiert f\u00fcr Microsoft-\u00d6kosystem<\/td><\/tr><tr><td>Passwortlose Anmeldung f\u00fcr MS-Konten<\/td><td>Kein Open Source<\/td><\/tr><tr><td>Enterprise-Verwaltung via Entra ID<\/td><td>Backup an Microsoft-Konto gebunden<\/td><\/tr><tr><td>100+ Mio. aktive Nutzer<\/td><td>F\u00fcr Nicht-MS-Nutzer \u00fcberdimensioniert<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"verwandte-artikel\">Verwandte Artikel<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Mehr zum Thema Authentifizierung und Account-Sicherheit auf shattered.io:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><a href=\"\/de\/two-factor-authentication-nodejs\/\">Zwei-Faktor-Authentifizierung in Node.js: 11 Schritte, 30 Min<\/a><\/li>\n<li><a href=\"\/de\/passkeys-vs-passwords\/\">Passkeys vs. Passw\u00f6rter: 8,5 vs. 31 Sekunden Anmeldezeit<\/a><\/li>\n<li><a href=\"\/de\/bitwarden-vs-1password\/\">Bitwarden vs. 1Password: 10 \u20ac vs. 36 \u20ac pro Jahr im Vergleich<\/a><\/li>\n<li><a href=\"\/de\/keepassxc-vs-bitwarden\/\">KeePassXC vs. Bitwarden: 0 \u20ac Lokal vs. Cloud im Vergleich<\/a><\/li>\n<li><a href=\"\/de\/nodejs-session-management\/\">Node.js Session Management: 11 Schritte, 30 Min<\/a><\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"haeufig-gestellte-fragen-faq\">H\u00e4ufig gestellte Fragen (FAQ)<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"welche-authenticator-app-empfiehlt-das-bsi\">Welche Authenticator App empfiehlt das BSI?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Das BSI empfiehlt FIDO2-Hardware-Keys als sicherste Methode, gefolgt von Authenticator Apps mit TOTP. F\u00fcr die konkrete App-Wahl gibt das BSI keine Empfehlung f\u00fcr einen bestimmten Anbieter, aber die Prinzipien Open-Source-Code, Ende-zu-Ende-verschl\u00fcsseltes Backup und keine Telefonnummer-Bindung sprechen f\u00fcr 2FAS oder Aegis.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"was-passiert-mit-meinen-codes-wenn-ich-mein-handy-verliere\">Was passiert mit meinen Codes, wenn ich mein Handy verliere?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Das h\u00e4ngt von der genutzten App ab. Google Authenticator und Microsoft Authenticator stellen Codes \u00fcber das Cloud-Backup wieder her, solange Zugang zum jeweiligen Google- oder Microsoft-Konto besteht. Authy nutzt E2E-verschl\u00fcsseltes Backup mit eigenem Passwort. 2FAS bietet manuellen Export. Aegis hat kein automatisches Backup, was manuellen Export voraussetzt. Bei Verlust des Handys ohne Backup kann die Wiederherstellung nur \u00fcber den Kundensupport der einzelnen Dienste erfolgen, bei denen 2FA aktiv war.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"ist-authy-nach-dem-desktop-aus-noch-empfehlenswert\">Ist Authy nach dem Desktop-Aus noch empfehlenswert?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Authy Mobile funktioniert weiterhin und ist sicher. Das E2E-verschl\u00fcsselte Backup ist ein echter Vorteil. F\u00fcr Nutzer, die den Desktop-Client aktiv genutzt haben, ist 2FAS mit Browser-Plugin die beste Alternative. F\u00fcr neue Nutzer ohne bestehende Authy-Einrichtung gibt es keinen zwingenden Grund, Authy statt 2FAS zu w\u00e4hlen.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"schuetzt-eine-authenticator-app-gegen-phishing\">Sch\u00fctzt eine Authenticator App gegen Phishing?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Eingeschr\u00e4nkt. TOTP-Codes sch\u00fctzen gegen automatisierte Credential-Stuffing-Angriffe, weil das Passwort allein nicht ausreicht. Gegen Echtzeit-Phishing, bei dem der Angreifer Code und Passwort gleichzeitig abgreift und sofort weiterleitet, bieten TOTP-Apps keinen zuverl\u00e4ssigen Schutz. Daf\u00fcr braucht man FIDO2-Hardware-Keys, deren Authentifizierung origin-bound ist und auf gef\u00e4lschten Seiten nicht funktioniert.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"kann-ich-mehrere-authenticator-apps-gleichzeitig-nutzen\">Kann ich mehrere Authenticator Apps gleichzeitig nutzen?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Ja. Es ist m\u00f6glich und oft empfehlenswert, beim Einrichten eines neuen Dienstes den QR-Code gleichzeitig in zwei Apps zu scannen, also den gleichen TOTP-Seed in zwei Apps zu hinterlegen. Das dient als gegenseitiges Backup. Wichtig: Beide Apps erzeugen dann identische Codes zur gleichen Zeit, weil sie denselben Shared Secret und dieselbe Zeitbasis verwenden.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"was-ist-der-unterschied-zwischen-2fas-und-aegis\">Was ist der Unterschied zwischen 2FAS und Aegis?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Beide sind Open Source und kostenlos. Der Hauptunterschied: 2FAS ist f\u00fcr iOS und Android verf\u00fcgbar, bietet Cloud-Backup und hat ein Browser-Plugin. Aegis ist ausschlie\u00dflich f\u00fcr Android und setzt auf lokale Verschl\u00fcsselung ohne Cloud. Wer ein iPhone hat, kann Aegis nicht nutzen. Wer maximale Kontrolle ohne Cloud will und Android nutzt, ist mit Aegis besser bedient. Alle anderen w\u00e4hlen 2FAS.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"wie-sicher-sind-authenticator-apps-gegen-sim-swapping\">Wie sicher sind Authenticator Apps gegen SIM-Swapping?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Authenticator Apps sind vollst\u00e4ndig immun gegen SIM-Swapping, weil sie keine SMS-OTPs verwenden. SIM-Swapping ist ein Angriff, bei dem ein Angreifer die Telefonnummer des Opfers auf eine eigene SIM \u00fcbertr\u00e4gt und dadurch SMS-basierte OTP-Codes abfangen kann. TOTP-Apps generieren Codes lokal auf dem Ger\u00e4t, ohne Mobilfunknetz-Abh\u00e4ngigkeit. Das ist einer der Hauptgr\u00fcnde, warum Authenticator Apps SMS-OTP immer vorzuziehen sind.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Authenticator Apps sind im Jahr 2026 die wichtigste Verteidigungslinie gegen Kontodiebstahl, und die Wahl der richtigen App entscheidet \u00fcber Sicherheit, Komfort und Wiederherstellbarkeit im Ernstfall. Google Authenticator, Microsoft Authenticator, Authy,\u2026<\/p>\n","protected":false},"author":4,"featured_media":315,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-314","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-security"],"_links":{"self":[{"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/posts\/314","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/comments?post=314"}],"version-history":[{"count":0,"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/posts\/314\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/media\/315"}],"wp:attachment":[{"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/media?parent=314"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/categories?post=314"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/tags?post=314"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}