Viele Online-Dienste erlauben mittlerweile die Absicherung des Zugangs durch einen zweiten Authentifizierungsfaktor. Dank dieser zusätzlichen Schutzfunktion ist der Zugriff auch dann sicher, wenn das Passwort freiwillig oder unfreiwillig in fremde Hände geraten ist. Eine der populärsten Techniken für die Umsetzung der Zwei-Faktor-Authentifizierung (2FA) sind die zeitbezogenen Einmalpasswörtern, die in einer Handy-App alle paar Sekunden erzeugt werden. In diesem Artikel stelle ich sieben verschiedene 2FA-Apps für iOS und Android vor.

Langes Password, große Sicherheit?

Die Sicherheit unseres elektronischen Lebens hängt häufig an einer Kombination aus Benutzername und Passwort. Und auch wenn sich mittlerweile herumgesprochen hat, dass Passwörter wie “123456” keine gute Idee sind, so ist der Anteil der Menschen, die einen (kostenlosen) Passwort Safe wie zum Beispiel keepass verwenden, immer noch überschaubar. Stattdessen wird ein Passwort für alle Anmeldungen verwendet oder Passwörter werden in Textdateien oder Excel-Tabellen “verwaltet”. Damit eine Schadsoftware, die den Rechner nach unverschlüsselten Passwörtern durchsucht, auch nicht so lange suchen muss, wird diese auch noch passwörter.docx oder geheim.xlsx gennant. Passend! Im Jahre 2020 ist die Bequemlichkeit vielfach noch wichtiger als der Schutz des elektronischen Lebens gegen fremde Zugriffe.

Diese Entscheidung trifft im Privaten jeder für sich selbst. Im Unternehmensbereich gibt es jedoch Zugänge, bei denen man nicht auf eine einfache Kombination von Benutzername und Passwort vertrauen darf. Die Arbeitsfähigkeit und damit die Existenz des Unternehmens hängen daran. Der Zugang zum Online-Shop, den Bezahldienstleistern wie Paypal oder Stripe, der Entwicklungsumgebung GitHub oder dem Firmenaccount bei Amazon gehört dazu. Eine zusätzliche Sicherheitsebene, einen zweiten Faktor für die Authentifizierung, ist nicht Kür, sondern Pflicht.

Glücklicherweise hat das Konzept der Zwei-Faktor-Authentifizierung (2FA) in den letzten Jahren den Weg in die breite Masse der Online-Anbieter gefunden. Google, Facebook, Microsoft, Amazon genauso wie GMX, Xing und Zalando bieten die Möglichkeiten einer zusätzlichen Absicherung des eigenen Kontos per 2FA. Es gibt aber immernoch Ausnahmen! Der große Online-Versandhändler Otto aus Hamburg schafft es trotz negativer Erwähnungen, z.B. durch die Stiftung Warentest, bis heute noch nicht, seine Benutzerkonten mit einem zweiten Faktor abzusichern.

Höchste Zeit also, dass man sich mit dem Konzept der 2-Faktor-Authentifizierung auseinandersetzt. Da ich Dir den Einstieg so einfach wie möglich machen möchte, habe ich ein ganzes Dutzend 2FA-Apps für die TOTP-Technik getestet und möchte Dir in diesem Beitrag meine sieben Empfehlungen für Android und iOS vorstellen. Dank der Vielfalt in Nutzungsweise und Funktionsumfang sollte für jeden etwas dabei sein.

Wie funktionieren 2FA-Apps?

Die Nutzung von Zwei-Faktor-Authentifizierungs-Apps (2FA-Apps) ist denkbar einfach. Gehe bei dem Dienst, bei dem Du 2FA verwenden willst, in die Kontoeinstellungen und lass Dir einen QR-Code für die Einrichtung von 2FA anzeigen. Scanne diesen über die 2FA-App auf Deinem Smartphone ein. Sobald die Handykamera den QR-Code einfängt, ist Deine 2FA-App mit dem Dienst verbunden und sie erzeugt all 30 Sekunden einen neuen Einmalcode. Diesen benötigst Du ab sofort für den Login zusätzlich zum normalen Benutzernamen und Passwort.

Diese Einmalpasswörter werden auf der Grundlage eines geheimen Schlüssels erzeugt, der Deine App und dem jeweiligen Dienst bekannt ist. Mithilfe des Schlüssels und der aktuellen Uhrzeit kann sowohl der Dienst als auch Dein Smartphone das sechsstellige Einmalpasswort errechnen. Dieses Vorgehen wird OATH TOTP (time-based one-time password) genannt und ist der Quasi-Standard bei 2FA-Apps. Ahnliche Alternativen wie OATH HOTP (HMAC-based one-time password) sind viel weniger verbreitet. Einige Anbieter und Hersteller, wie z.B. Blizzard mit seinem Blizzard Authenticator, gehen sogar soweit, eigene Apps zu entwickeln, die nicht kompatibel sind. Zum Glück sind diese Standardbrecher nur sehr selten anzutreffen. Auch der Spielehersteller Epic Games erkannte die Unsinnigkeit dieses Vorgehens und wechselte vor kurzem mit seinem Multi-Factor-Authenticator zum OATH TOTP-Verfahren. In aller Regel kann man also bei App-basierter 2FA davon ausgehen, dass OATH TOTP als zugrundeliegender Algorithmus verwendet wird.

Alle hier vorgestellten Apps funktionieren mit OATH TOTP! Wähle also einfach die 2FA-App, die in Deinen Augen am besten funktioniert. Für gewöhnlich dürfte es keine Kompatibilitätsprobleme mit Diensten geben, die 2FA-Apps generell unterstützen.

1. Google Authenticator

Unterstützte Plattformen: iOS, Android

Der Google Authenticator ist meiner Erfahrung nach die am häufigsten genutzte 2FA-App. Die App punktet mit seinem schlichten Design und beschränkt sich auf das Wesentliche. Alles was Du tun kannss ist das Hinzufügen neuer Konten – per QR-Code oder per Eingabe – und das Löschen existierender Konten.

Doch diese Einfachheit hat natürlich auch seinen Preis. Weder kannst Du nachträglich die Sicherheitsschlüssel einsehen, noch lassen sich die Konten in irgendeiner Form exportieren, importieren oder synchronisieren. Auch auf eine Suchfunktion wurde verzichtet, weshalb der Google Authenticator bei mehreren Konten tendenziell unübersichtlich wird.

+ Schlicht und schnell
+ Einfach in der Anwendung

2. Microsoft Authenticator

Unterstützte Plattformen: iOS, Android

Auch die 2FA-App aus dem Hause Microsoft verfolgt einen eher minimalistischen Ansatz, wobei die App dem Google Authenticator ein paar Funktionen voraus hat. So ist es zum Beispiel möglich, die Einmalpasswörter standardmäßig auszublenden und diese erst nach einem Klick auf das Konto einzublenden. Dem einen gefällt dies, andere empfinden diesen zusätzlichen Klick als nervig. Die iOS-Variante bietet eine Sicherung der Konten in der iCloud und der Start der App lässt sich per Pin oder Fingerscan absichern.

Darüber hinaus vereinfacht der Microsoft Authenticator die Anmeldung an Microsoft-Konten. Nach Eingabe des Passworts erfolgt die Anmeldung durch einfaches Tippen auf die Schaltfläche des Kontos in der App. Der Einmalcode muss nicht mehr eingegeben werden.

+ Codes können in der Übersicht ausgeblendet werden
+ Einfache Anmeldung bei Microsoft Konten

3. 2FA Authenticator

Unterstützte Plattformen: iOS, Android

Auch der 2FA Authenticator (2FAS) hält das Thema Zwei-Faktor Authentifizierung schlank und einfach. Seine Stärke liegt jedoch definitiv im schicken Design. Als einziger Anbieter im Feld punktet er mit einer kurzen, praktischen Anleitung beim ersten Aufruf. Die App unterstützt den neuen iOS Dark Mode und passt sein Design der Vorliebe des Anwenders an.

Zum aktuellen Zeitpunkt unterstützt 2FAS noch keinen Backup und Restore. Gleichzeitig bietet die App die Möglichkeit, sich bei jedem Konto den verwendeten Sicherheitsschlüssel nachträglich anzeigen zu lassen. Manche mögen das als Sicherheitsrisiko betrachten, ich empfinde es als sinnvolle Funktion, die eine Übertragung auf ein anderes Handy ermöglicht. Die 2FAS App kann so eingestellt werden, dass bei jedem App-Start ein Pin oder ein Fingerscan erforderlich ist.

+ Schickes Design (inkl. Dark Mode)
+ Solider Funktionsumfang
+ Anzeige des Sicherheitsschlüssels möglich
+ Optionaler Schutz der App per Fingerscan oder Pin

4. Authy

Unterstützte Plattformen: iOS, Android

Authy unterscheidet sich an zwei Stellen grundlegend von den bisherigen 2FA-Apps. Bei Authy werden alle Sicherheitsschlüssel auf dem Handy und in der Cloud des Herstellers gespeichert. So ist es möglich, Authy auf mehreren Geräten wie Smartphones, Tablets und Desktop-Rechnern synchron zu halten. Auch die Migration von einem alten zu einem neuen Smartphone wird so natürlich zum Kinderspiel. Um dies zu erreichen, muss beim ersten Start von Authy ein eigenes Konto inklusive Angabe der eigenen Mobiltelefonnummer anlegt werden. Anschließend werden alle Sicherheitsschlüssel verschlüsselt beim Hersteller abgespeichert.

Ein weiterer großer Unterschied ist die Art der Darstellung. Bei Authy stehen die Konten nicht in einer Liste untereinander, sondern jedes Konto muss ausgewählt werden und füllt anschließend den ganzen Bildschirm. Wenn man viele Konten angelegt hat, ist die Suchfunktion meist schneller als ein seitliches Scrollen durch die Liste.

+ Alle Sicherheitsschlüssel werden in der Cloud gespeichert
+ Einfache Migration und Nutzung mit mehreren Geräten gleichzeitig
+ Windows, MacOS und Linux-App verfügbar
+ Schutz der App per Pin oder Fingerabdruck

5. LastPass Authenticator

Unterstützte Plattformen: iOS, Android

Die Zwei-Faktor Authenticator App von LastPass empfiehlt sich für alle Nutzer, die bereits den Passwort-Speicher von LastPass verwenden. Neu hinzugefügte Konten können nämlich direkt im LastPass Passwort-Safe abgespeichert werden und von dort auch auf ein zweites Smartphone übertragen werden.

Darüber hinaus überzeugt die App mit soliden Standardfunktionen, ohne irgendwelche Highlights anzubieten. Die App kann per Pin oder Fingerscan abgesichert werden.

+ Automatische Speicherung neuer Konten im Passwort-Safe von LastPass

6. Duo Mobile

Unterstützte Plattformen: iOS, Android

Duo Mobile ist eine weitere einfache und Benutzerfreundliche 2FA-App ohne jegliche Schnörkel. Auch Duo Mobile unterstützt den Dark Mode und passt sich der Farbgebung des Handys an. Sie bietet aus meiner Sicht keinen Vorteil gegenüber anderen Apps außer der Tatsache, dass die Passwörter standardmäßig ausgeblendet werden und erst bei einem Klick auf das Konto angezeigt werden. Manche bevorzugen diese Art der Darstellung, weil so mehr Konten auf weniger Platz angezeigt werden können und es sich sicherer anfühlt, wenn die Passwörter nicht sofort angezeigt werden. Ich persönlich teile diese Einstellung nicht unbedingt, wollte die App aber nicht verschweigen.

+ Zeigt die Passwörter erst nach einmaligen Klick

7. FreeOTP

Unterstützte Plattformen: iOS, Android

FreeOTP stammt aus dem Hause Red Hat und ist meiner Meinung nach die App für Nerds oder Puristen. Die Qualitäten von FreeOTP liegen jedoch somit nicht in seinem Design, sondern FreeOTP überzeugt durch seine inneren Werte.

Im Gegensatz zur Konkurrenz ist FreeOTP nämlich Open Source Software, die App ist weniger als 1 MB groß (zum Vergleich: Authy ist 44 MB groß), die App unterstützt neben OATH TOTP auch HOTP, es können eigene Bilder für die Konten verwendet werden und die App zeigt die Passwörter erst nach einem Klick auf das Konto an.

+ Open Source
+ TOTP und HOTP Support
+ Maximale Einstellungsmöglichen beim Erstellen der Konten

Für jeden Geschmack ist etwas dabei

Für welche App solltest Du Dich jetzt nun entscheiden? Das ist schwierig zu sagen. Alle hier vorgestellten Apps erfüllen die Kernanforderung nach einer einfachen und sicheren Zwei-Faktor-Authentifizierung. Gleichzeitig wirst Du jedoch schnell merken, welche Funktionen und welches Design Dir am Besten gefällt.

Mit dem Marktführer Google Authenticator wirst Du nicht viel falsch machen, wenn Du nur gelegentlich mal ein 2FA-Konto benötigst. Microsoft-Anhänger sollten einen Blick auf den Microsoft Authenticator werfen. Puristen finden wohl bei 2FAS eine schicke Lösung und Menschen, die keine Berührungsängste mit der Authy Cloud haben, werden dort bestimmt glücklich werden. Die restlichen Apps sind etwas spezieller, werden jedoch auch ihren Nutzerkreis finden.

Ich wünsche viel Spaß beim Ausprobieren.