2-Faktor-Apps im Vergleich: Welche Authenticator-App sollten Sie wirklich nutzen?

Ein umfassender Guide zu den besten Authenticator-Apps 2025 - von Google Authenticator bis Aegis. Erfahren Sie, welche App am besten zu Ihren Sicherheitsanforderungen passt.

In diesem Artikel fasse ich für Sie zusammen, wie ich fünf bekannte Zwei-Faktor-Authenticator-Apps geprüft habe, welche Vor- und Nachteile jede App hat und worauf Sie achten sollten, damit Sie sich nicht selbst aussperren oder sensible Daten unnötig preisgeben. Zwei-Faktor-Authentifizierung (2FA) ist eine der einfachsten und effektivsten Maßnahmen, um Ihre Online-Konten zu schützen. Aber die Wahl der falschen App – oder deren falsche Nutzung – kann im Worst Case dazu führen, dass Sie den Zugang zu allen Ihren Konten verlieren, was durch die Nutzung von sicheren Passwort-Managern wie Bitwarden verhindert werden kann. Deshalb habe ich gängige Apps gegenübergestellt und auf Aspekte wie Plattformverfügbarkeit, Open-Source-Status, Backup-Verhalten, Ende-zu-Ende-Verschlüsselung, Seed-/Secret-Zugriff, Berechtigungen und Tracker überprüft.

Warum dieser Vergleich?

Es gibt Hunderte Authenticator-Apps in App-Stores. Manche kommen von großen Tech-Konzernen, andere sind Open Source. Für mich sind drei zentrale Fragen entscheidend:

  • Bietet die App eine sichere Möglichkeit, Backups zu erstellen (bei Verlust des Gerätes)?
  • Gibt es Transparenz (Open Source) oder gar direkte Einsicht in die Seed-Codes, damit Migration und Wiederherstellung möglich sind?
  • Wie viele Tracker und welche Berechtigungen verlangt die App – vertraue ich dem Anbieter wirklich meine 2FA-Codes an?

Zusätzlich habe ich geprüft, ob die Authentifizierungs-App auf Android und/oder iOS im App Store verfügbar ist, ob es Desktop- oder Browser-Optionen gibt und ob die App durch ein Passwort oder Biometrie abgesichert werden kann.

Kurz erklärt: Seed, QR-Code und Backups

Bevor ich die einzelnen Apps vorstelle, noch kurz die wichtigsten Begriffe:

  • Seed/Secret: Dies ist wichtig für die Konfiguration Ihres 2FA Authenticators. Das ist der geheime Schlüssel, der bei der Einrichtung Ihres 2FA-Kontos generiert wird. Er wird oft als QR-Code angezeigt. Aus diesem Seed werden die zeitbasierten Einmalkennwörter (TOTP) generiert.
  • QR-Code: Darin ist meist der Seed enthalten, der für den Login in verschiedenen Anwendungen benötigt wird. Wenn Sie ihn einscannen, richtet Ihre Authenticator-App das Konto ein.
  • Backup: Manche Apps erlauben automatische oder manuelle Backups der Seeds. Entscheidend ist, ob diese Backups verschlüsselt sind (idealerweise Ende-zu-Ende).
  • Migrationsfähigkeit: Können Sie den Seed/QR-Code anzeigen lassen, um die Codes zu einer anderen App zu übertragen? Das ist sehr wichtig, falls Sie die App wechseln möchten oder das Gerät verlieren.

Welche Apps habe ich verglichen?

Ich habe fünf Apps unter die Lupe genommen, um die beste 2fa app zu finden.

  • Google Authenticator
  • Microsoft Authenticator
  • Authy
  • Aegis
  • 2FAS

Meine Bewertungskriterien

Für jede App habe ich geprüft:

  • Plattformen (Android/iOS/Desktop/Browser)
  • Open-Source-Status (Quellcode verfügbar?)
  • App-Sperre (Passwort/PIN/Biometrie möglich für die 2-faktor-authentifizierung?)
  • Zugriff auf Seed-Codes/QR-Codes (kann ich Seeds exportieren oder anzeigen?), um meine Accounts abzusichern.
  • Backup-Möglichkeiten (automatisch/manuell, verschlüsselt?)
  • Tracker (Analyse mit Exodus Privacy für Android-Apps) sollten bei der Auswahl von Apps zur Zwei-Faktor-Authentifizierung berücksichtigt werden.
  • Berechtigungen (Permissions) und ob sie minimal gehalten sind

Wichtiger Tipp vorab

Unabhängig davon, welche App Sie wählen: Nutzen Sie unbedingt Backups – am besten automatisch und zusätzlich manuell (z. B. Seed-Codes sicher notieren). Ohne Backup ist ein verlorenes Gerät ein echtes Problem. Und: Eine 2FA-App ist besser als keine 2FA. Wichtiger als die perfekte App ist, dass Sie überhaupt einen zweiten Faktor verwenden.

Die Apps im Detail

Google Authenticator

Der Google Authenticator ist vermutlich die am weitesten verbreitete App: Allein im Google Play Store wurde sie mehr als 100 Millionen Mal heruntergeladen. Die App ist simpel, funktioniert zuverlässig und ist auf Android und iOS verfügbar.

  • Open Source: Nein, das Einloggen ist nicht möglich ohne die korrekten Berechtigungen. Der Quellcode ist nicht öffentlich einsehbar.
  • Sperre: Eine Sperre für Ihre 2FA-Apps kann zusätzliche Sicherheit bieten, falls Ihr Gerät verloren geht. PIN/Biometrie möglich.
  • Seed-Zugriff: Nicht möglich. Sie können nur den Kontonamen bearbeiten, aber nicht den Seed anzeigen oder exportieren.
  • Backup: Seit April gibt es eine Cloud-Backup-Funktion (Synchronisation über Google-Account).
  • Verschlüsselung der Backups: Kritisch: Sicherheitsforscher warnen, dass das Backup momentan nicht Ende-zu-Ende verschlüsselt ist, sondern nur transportverschlüsselt. Damit hätte Google theoretisch Zugriff auf Ihre Seeds.
  • Tracker: Die Nutzung von Tracker in 2FA-Apps kann helfen, den Überblick über die Sicherheit zu behalten. Exodus Privacy zeigt keine klassischen Tracker, aber Googles Datenschutz-Einstellungen erwähnen zum Beispiel eine Nutzer-ID und Datenerfassung – Google ist selten trackerfrei, was die Sicherheit von Online-Accounts betrifft.

Fazit: Der Google Authenticator ist einfach und weit verbreitet, aber das fehlende Open-Source und unverschlüsselte Cloud-Backup sind aus Datenschutzsicht problematisch, insbesondere im Vergleich zu anderen 2FA-Apps. Wenn Sie Google-Services vertrauen und die Cloud-Backups nutzen wollen, ist er praktikabel. Wenn Sie maximale Kontrolle und Privatsphäre wollen, gibt es bessere Alternativen.

Microsoft Authenticator

Die Microsoft-Variante ist in der Funktion ähnlich zum Google Authenticator und ebenfalls für Android und iOS verfügbar.

  • Open Source: Nein.
  • Sperre: PIN/Biometrie möglich.
  • Seed-Zugriff: Nein, Seeds werden nicht angezeigt. Sie können nur Kontonamen bearbeiten.
  • Backup: Backups können im Microsoft-Konto oder iCloud/Google-Konto abgelegt werden, um Ihre Accounts zu sichern. Nach nochmaliger Recherche gibt es Hinweise, dass Microsoft Ende-zu-Ende-verschlüsselte Backups anbietet – die Dokumentation dazu ist jedoch nicht leicht zu finden.
  • Tracker/Berechtigungen: Achten Sie darauf, welche Berechtigungen Sie den 2FA-Apps wie Authy oder Google Authenticator gewähren. Exodus Privacy listet bei Microsoft mehrere Tracker (u. a. Google Analytics, OpenTelemetry). Die App fordert viele Berechtigungen – bei meinem Test waren es 33 Permissions; darunter Berechtigungen, die mir übertrieben erscheinen (z. B. Standortzugriff, Kontakt-Zugriff).

Fazit: Microsoft bietet solide Funktionalität und möglicherweise E2E-Backups, aber Privatsphäre-Bedenken bleiben wegen der vielen Tracker und Berechtigungen, die in Authentifizierungs-Apps zu finden sind.

Authy

Authy Microsoft Authenticator oder Authy ist eine beliebte Alternative, die ein paar Vorteile gegenüber den großen Herstellern bietet. Neben Android und iOS gibt es Desktop-Versionen für macOS, Windows und Linux – praktisch, wenn Sie Ihre Codes auch am Rechner nutzen möchten.

  • Open Source: Nein.
  • Sperre: PIN/Biometrie möglich.
  • Seed-Zugriff: Nein – Sie können die Seeds nicht direkt anzeigen oder exportieren.
  • Backup & Sync: Authy bietet eine Synchronisation der Token über die Cloud. Laut Anbieter werden Tokens mit einem von Ihnen gewählten Passwort Ende-zu-Ende-verschlüsselt, bevor sie übertragen werden.
  • Weitere Anforderungen: Bitte stellen Sie sicher, dass die verwendeten Apps zur Zwei-Faktor-Authentifizierung sicher sind. Registrierung mit Handynummer erforderlich. Das ist praktisch für Wiederherstellung per SMS, aber die Telefonnummer ist auch eine persönlichere, weniger private Identifikationsmethode.
  • Tracker/Berechtigungen: Authy nutzt einige Google-Komponenten wie Crashlytics und Firebase Analytics. Die erforderlichen Berechtigungen sind moderat; Kamera wird benötigt, Biometrie-Unterstützung vorhanden.

Fazit: Authy ist sehr benutzerfreundlich, hat Desktop-Support und bietet laut Anbieter E2E-verschlüsselte Backups. Die Abhängigkeit von einer Telefonnummer und die Integration einiger Tracking-Komponenten sind die wichtigsten Nachteile.

Aegis

Aegis ist eine moderne Open-Source-Authenticator-App für Android und wird aktiv entwickelt. Funktional erinnert sie stark an andOTP, bietet aber aktuelle Updates und ein gepflegtes Projektumfeld.

  • Open Source: Ja. Auf GitHub verfügbar; auch bei F-Droid.
  • Sperre: PIN/Biometrie möglich.
  • Seed-Zugriff: Ja. Seeds und QR-Codes lassen sich anzeigen und exportieren. Perfekt für Migration und manuelle Backups.
  • Backup: Automatische verschlüsselte Backups sind möglich; Passwortschutz für die Backups ist integriert.
  • Tracker/Berechtigungen: trackerfrei laut Exodus Privacy; Berechtigungen sind moderat (u. a. Kamera, Biometrie) und sinnvoll begründet.

Fazit: Aegis kombiniert die Vorteile von andOTP mit aktiver Wartung. Für Android-Nutzer, die Wert auf Privatsphäre und Kontrolle legen, ist Aegis eine der besten Optionen.

2FAS

2FAS ist eine Open-Source-App mit einem schönen Interface und einem interessanten Feature: Neben Mobilgeräten gibt es eine Browser-Erweiterung (für Chromium-basierte Browser wie Chrome, Edge, Brave), die Codes synchronisiert.

  • Open Source: Ja. Quellcode auf GitHub für die Authentifizierungs-App ist verfügbar.
  • Sperre: PIN/Biometrie möglich.
  • Seed-Zugriff: Ja. Seeds können angezeigt werden, nachdem Sie sich authentifiziert haben.
  • Backup/Synchronisation: Eine wichtige Funktion für die 2-faktor-authentifizierung. Die Synchronisation zwischen Gerät und Cloud/Browser ist laut Anbieter Ende-zu-Ende verschlüsselt. Browser-Integration erlaubt es, Codes direkt im Browser zu verwenden.
  • Tracker: Exodus Privacy fand einen Tracker (Google Crashlytics) – das ist ein Crash-Reporting-Tool, kein klassischer Werbetracker, aber dennoch eine Einbindung von Google-Komponenten.

Fazit: 2FAS ist funktional attraktiv, besonders wenn Sie Codes im Browser nutzen wollen, um sich in Online-Accounts einzuloggen. Achten Sie darauf, dass die Browser-Synchronisation nur für Chromium-basierte Browser verfügbar ist.

Vergleich der wichtigsten Kriterien (Kurzfassung)

Die zentrale Frage ist: Welche Apps geben Ihnen Kontrolle, Privatsphäre und gleichzeitig eine praktikable Wiederherstellung, falls Ihr Gerät verloren geht?

  • Open Source + aktiv gepflegt: Es ist wichtig, eine 2FA-App zu wählen, die regelmäßig aktualisiert wird, wie die von Stiftung Warentest empfohlenen Anwendungen. Aegis (Android) und 2FAS sind hier die Favoriten unter den Authentifizierungs-Apps.
  • Seed-Export möglich: Dies kann helfen, Ihre Accounts abzusichern. Aegis und 2FAS. Google und Microsoft zeigen Seeds meist nicht an, was die Nutzung von 2FA-Apps wie dem Google Authenticator und Microsoft Authenticator erschwert.
  • Ende-zu-Ende-Backups: Eine wichtige Funktion für die Sicherheit Ihrer Accounts. Authy und 2FAS geben explizit an, E2E-Verschlüsselung für Backups/Synchronisation zu realisieren, was die Sicherheitsfunktionen verbessert. Bei Microsoft scheint es ebenfalls E2E-Optionen zu geben, ist aber schwerer dokumentiert. Google bietet momentan kein E2E-verschlüsseltes Backup.
  • Tracker & Berechtigungen: Open-Source-Apps wie Aegis sind tracker-frei und fragen nur sinnvolle Berechtigungen an. Große Anbieter neigen dazu, mehr Telemetrie und Berechtigungen zu haben.

Meine Empfehlungen und Vorgehensweise

Wenn Sie mich fragen, welche App Sie wählen sollten, antworte ich so:

  • Wenn Sie Android nutzen und höchste Privatsphäre wollen: Verwenden Sie Aegis oder eine andere Authentifizierungs-App. Sie ist Open Source, aktiv gepflegt, erlaubt Seed-Export und verschlüsselte Backups.
  • Wenn Sie iOS/Mac nutzen: 2FAS ist eine gute Wahl für die Authentifizierung.
  • Wenn Sie plattformübergreifend arbeiten wollen und Desktop-Zugang benötigen: Authy ist bequem (Desktop-Apps), bietet laut Anbieter E2E-Verschlüsselung für Backups, aber erfordert eine Telefonnummer. Falls Browser-Integration gewünscht ist, schauen Sie sich 2FAS an.
  • Wenn Sie sich nicht um jede Feinheit kümmern wollen, aber eine vertrauenswürdige, einfache App suchen: Microsoft oder Google funktionieren, jedoch sollten Sie bei Google die Cloud-Backups wegen fehlender E2E-Verschlüsselung kritisch sehen.

Wichtig: Egal welche App Sie verwenden, setzen Sie zusätzliche Sicherheitsmaßnahmen:

  1. Erstellen Sie sichere Backups der Seeds (physisch oder verschlüsselt digital).
  2. Speichern Sie Recovery-Codes Ihrer Online-Dienste an einem sicheren Ort (nicht nur im App-Backup), um Ihre Accounts abzusichern.
  3. Nutzen Sie, wenn möglich, ein Passwort für die Authenticator-App und aktivieren Sie Biometrie nur als Ergänzung.
  4. Wechseln Sie nicht unbedacht die Telefonnummer, wenn Ihr Authenticator an diese gekoppelt ist (z. B. bei Authy).

Häufige Fehler, die Sie vermeiden sollten

  • Kein Backup Ihrer Seeds legen, um sicherzustellen, dass Hacker keinen Zugriff auf Ihre Konten erhalten. Gerät verloren = Zugang weg.
  • Nur auf Cloud-Backup setzen, ohne zu prüfen, ob es verschlüsselt ist und wer Zugriff hat.
  • Seed nicht exportierbar machen, wenn Sie die App wechseln möchten.
  • Eine App benutzen, die nicht mehr gepflegt wird (keine Updates), ist riskant, besonders wenn es sich nicht um eine empfohlene 2FA-App handelt, wie die von Stiftung Warentest getesteten Anwendungen.
  • Passive Vertrauensannahme bei großen Anbietern: Cloud-Backups klingen bequem, können aber die Privatsphäre einschränken.

Mein persönliches Vorgehen beim Einrichten von 2FA

Ich richte 2FA-Konten so ein:

  1. Wenn möglich, aktiviere 2FA mit einem Authenticator (nicht SMS), zunächst testweise mit einem Konto.
  2. Beim Setup lasse ich mir immer das Secret/QR anzeigen und speichere es sicher ab – entweder in verschlüsselter Form in meinem Passwortmanager (sofern dort sicher) oder als physische Kopie in einem Safe. So kann ich im Notfall manuell wiederherstellen.
  3. Ich aktiviere automatische, verschlüsselte Backups in meiner Authenticator-App, sofern verfügbar (z. B. bei Aegis).
  4. Ich notiere mir die Recovery-Codes, die viele Dienste anbieten, und bewahre sie getrennt auf, um sicherzustellen, dass ich im Falle eines Hacks oder eines verlorenen Passwort-Managers wie Bitwarden nicht den Zugang verliere.
  5. Wenn ich eine App wechsle, exportiere ich vorher alle Seeds (sofern möglich) und teste die Wiederherstellung auf einem Zweitgerät.

Fazit

Zwei-Faktor-Authentifizierung ist essenziell. Die richtige Authenticator-App schützt nicht nur vor Kontoübernahme, sondern entscheidet auch darüber, wie leicht Sie sich aus einer misslichen Lage – etwa dem Verlust Ihres Handys – wieder befreien können. Die beste Wahl ist oft eine App, die:

  • Open Source und aktiv gepflegt ist (Transparenz & Updates),
  • Seeds/QR-Codes anzeigen und exportieren kann (Migration & manuelle Backups),
  • verschlüsselte Backups bietet (idealerweise Ende-zu-Ende), was für die Sicherheit Ihrer Accounts wichtig ist.
  • möglichst trackerfrei ist und nur notwendige Berechtigungen fordert.

Für Android empfehle ich Aegis; für iOS ist 2FAS sehr attraktiv. Authy ist praktisch für Desktop- und plattformübergreifende Nutzung, hat aber die Telefonnummerverzahnung. Google und Microsoft sind bequem, aber aus Datenschutzsicht nicht ideal – insbesondere der Google-Cloud-Backup-Ansatz ohne E2E-Verschlüsselung ist kritisch.

FAQ – Häufig gestellte Fragen

1. Ist eine Authenticator-App wirklich sicherer als SMS-2FA?

Ja. SMS-2FA ist anfällig für SIM-Swaps, Abfangen und Social-Engineering. Authenticator-Apps generieren zeitbasierte Codes lokal auf dem Gerät und sind daher in der Regel sicherer – vorausgesetzt, die App selbst ist sicher konfiguriert und Backups sind geschützt.

2. Was passiert, wenn ich mein Handy verliere?

Wenn Sie Backups gemacht haben (automatisch verschlüsselt oder manuell gespeicherte Seeds), können Sie die Seeds auf einem neuen Gerät wiederherstellen. Ohne Backup kann es schwierig werden – Sie müssen sich bei jedem Dienst einzeln an den Support wenden und Identitätsnachweise erbringen. Deshalb: Backup erstellen!

3. Sollte ich meine Seeds digital speichern?

Sie können Seeds in einem vertrauenswürdigen, verschlüsselten Passwortmanager speichern oder auf einem verschlüsselten Datenträger. Manche Nutzer schreiben sie auch auf Papier und bewahren sie an einem sicheren Ort (Safe). Wichtig ist: Verschlüsseln und vor unberechtigtem Zugriff schützen.

4. Sind Cloud-Backups per se unsicher?

Nicht per se. Entscheidend ist, ob die Backups Ende-zu-Ende verschlüsselt sind und nur Sie den Schlüssel besitzen. Transportverschlüsselung reicht nicht aus, wenn der Cloud-Anbieter die Daten theoretisch entschlüsseln könnte. Prüfen Sie dabei die Dokumentation des Anbieters genau.

5. Warum ist Open Source wichtig bei Authenticator-Apps?

Open Source erlaubt unabhängige Überprüfungen des Quellcodes. Sicherheitsexperten und die Community können potenzielle Schwachstellen oder heimliche Telemetrie entdecken. Open Source ist kein Allheilmittel, aber ein starkes Vertrauenssignal für die beste 2fa app.

6. Kann ich mehrere Authenticator-Apps parallel verwenden?

Ja. Beim Einrichten eines Kontos mit 2FA können Sie oft mehrere Apps gleichzeitig einrichten (mehrere QR-Codes oder denselben Seed in zwei 2FA-Apps einscannen, wie zum Beispiel LastPass Authenticator, kann zu Komplikationen führen, die Sie vermeiden sollten. Das ist sinnvoll als zusätzliche Absicherung beim Wechsel des Gerätes und beim Einloggen in Online-Accounts.

7. Was ist, wenn eine App Tracker verwendet – muss ich sie sofort deinstallieren?

Es kommt auf die Art der Tracker an, die Sie in Ihrer Authentifizierungs-App verwenden. Crash-Reporting-Tools sind nicht zwangsläufig datenhungrig für Werbezwecke, können aber dennoch Telemetrie senden. Wenn Privatsphäre für Sie zentral ist, wählen Sie trackerfreie Open-Source-Optionen. Lesen Sie die Datenschutzbestimmungen und entscheiden Sie.

8. Wie prüfe ich, ob eine App Ende-zu-Ende-verschlüsselte Backups anbietet?

Suche nach Begriffen wie „end-to-end encryption", „client-side encryption" oder „your password encrypts tokens before upload" in der Dokumentation oder Support-Artikeln des Anbieters, insbesondere für Authentifizierungs-Apps. Fachartikel und Security-Analysen sind ebenfalls hilfreich. Wenn die Doku unklar ist, frage den Support oder greife zu einer Alternative wie einer anderen App für die 2-faktor-authentifizierung.

Weiterführende Ressourcen

Wenn Sie tiefer einsteigen wollen, empfehle ich, die Sicherheitsdokumentationen der jeweiligen Apps zu lesen, unabhängige Tests (z. B. von Tech-Portalen) sowie die Exodus-Privacy-Analysen für Android-Apps zu prüfen. Achten Sie bei Vergleichen auf Aktualität – bei Authenticator-Apps sind regelmäßige Updates und aktive Entwicklung notwendig.