Authenticator-Apps im Überblick: Mehr Sicherheit für Ihre Online-Konten

Mit der Mehrfaktor-Authentifizierung lassen sich Benutzerkonten im Internet gegen fremde Zugriffe absichern. Smartphone-Apps spielen dabei eine wichtige Rolle. Eine Übersicht der bekanntesten Produkte finden Sie hier.

Smartphone liegt auf Handfläche mit Security-Symbol darüber
Authenticator-Apps. Foto Adobe Stock

Der Online-Zugang zum Bankkonto, das Login zum E-Mail-Account, ein Social-Media-Konto, das auch geschäftlich genutzt wird: Solche Anwendungen müssen besonders geschützt werden, um Unberechtigten nicht die Kontrolle über Ihre Zugangsdaten zu überlassen. Denn die einfache Kombination aus Benutzername und Passwort ist in vielen Fällen schnell geknackt.

Die Mehrfaktor-Authentifizierung trägt wesentlich zur Sicherheit im Internet und zum Schutz wichtiger Online-Konten bei. Das übliche Login per Benutzername und Passwort wird dabei durch eine weitere Sicherheitshürde ergänzt. Es gibt verschiedene Möglichkeiten, eine Mehrfaktor-Authentifizierung durchzuführen: biometrische Varianten wie Fingerabdruck-Sensoren oder Gesichtserkennung, die Zusendung eines Sicherheitscodes per SMS oder E-Mail sowie die Verifizierung mittels spezifischer Hardware, beispielsweise eines USB-Sticks.

Hinweis

Eine allgemeine Einführung in die Methoden zur Mehrfaktor-Authentifizierung finden Sie im Beitrag „Mehrfaktor-Authentifizierung: Überblick über die verschiedenen Technologien“.

Smartphone-Apps sind ebenfalls eine beliebte Variante. Für die meisten Menschen ist das Mobiltelefon längst ein ständiger Begleiter, daher gilt diese Form der Mehrfaktor-Identifizierung im Vergleich mit anderen Methoden als besonders niederschwellig und praktisch.

Wie funktioniert die Authentifizierung via Smartphone-App?

Die zweite Sicherheitsebene, die mittels Authenticator-Apps installiert wird, setzt voraus, dass die Benutzerin oder der Benutzer über ein Smartphone verfügt. Ist ein Online-Konto in der App hinterlegt, erfolgt bei jedem Login-Versuch eine zusätzliche Abfrage über das Mobiltelefon, die klärt, ob die Userin oder der User zu diesem Login berechtigt ist. Die Abfrage kann auf verschiedene Arten bestätigt werden. Häufig erfolgt dies über einen einmaligen Code, der beim Login zusätzlich zu Benutzernamen und Passwort angegeben werden muss; es können aber auch biometrische Sicherheitsfaktoren wie ein Fingerabdruck oder die Gesichtserkennung verwendet werden, um die Sicherheitsabfrage zu bestätigen. 

Um die Zwei-Faktor-Authentifizierung erstmalig einzurichten, benötigt man in der Regel zwei Geräte – einen PC oder Laptop, um das jeweilige Konto auf Zwei-Faktor-Authentifizierung umzustellen und den Code für die Verbindung zur gewünschten Authenticator-App zu generieren, sowie das Smartphone mit der Authenticator-App, um die Einrichtung abzuschließen. Künftig erscheint bei jedem Versuch, sich bei dem per Authenticator gesicherten Online-Konto über einen anderen Browser, ein neues Gerät oder eine andere App anzumelden, eine Abfrage am Smartphone, ob es sich dabei um einen berechtigten Zugriff handelt. Erst nach der Freigabe in der Authenticator-App wird der Zugang gewährt.

Achtung: Wenn Sie eine Authenticator-App auf Ihrem Smartphone verwenden, sollten Sie auf jeden Fall die Möglichkeit nutzen, auch das Smartphone selbst per PIN, Fingerabdruck oder Gesichtserkennung abzusichern, ansonsten könnten Unbefugte auf die App und die damit gesicherten Benutzerkonten zugreifen.

Kontenspezifische oder unabhängige Authenticator-Apps

Unternehmen wie Microsoft, Apple oder Google bieten Authenticator-Apps an, die vor allem auf die Anforderungen der firmenspezifischen Benutzerkonten zugeschnitten sind. Sie ermöglichen die Zwei-Faktor-Authentifizierung für das Konto, das die Benutzerin oder der Benutzer beim jeweiligen Anbieter eingerichtet hat, sowie für Online-Konten (zum Beispiel Online-Händler, Streamingdienste), deren Zugänge in diesem Anbieter-Konto verwaltet werden. Dem gegenüber stehen Konten unabhängiger Anbieter, beispielsweise LastPass oder FreeOTP.

Die gängigsten Authenticator-Apps

  • Google Authenticator

Bereits seit 2010 bietet Google seinen Authenticator für Android und iOS an. Wegen der umfangreichen Funktionen des Google-Kontos gilt der Google Authenticator als wichtige Sicherheitsebene und ist weit verbreitet.

Besonderheiten: Google Authenticator speichert die benötigten Daten direkt am Gerät ab, eine Synchronisierung mit der Google Cloud erfolgt nicht. Durch die Verwendung optionaler Backup-Codes (auf Papier ausgedruckt oder als Datei auf dem PC hinterlegt) können Userinnen und User sich für den Fall absichern, dass das Smartphone verloren geht. Diese Codes dürfen keinesfalls in falsche Hände geraten.

Hinweis

Wie Sie die Zwei-Faktor-Authentifizierung mit Google Authenticator auf Ihrem Smartphone einrichten, erfahren Sie hier: „Authenticator: Mehr Sicherheit für Ihr Google-Konto“.

  • Microsoft Authenticator

Auch Microsoft hat einen Authenticator auf den Markt gebracht, der für Android- und iOS-Geräte verfügbar ist. In der aktuellen Version erlaubt diese App ein Login beim Microsoft-Konto ganz ohne Passwort. Zudem lassen sich auch weitere Webseiten und Online-Dienste über Microsoft Authenticator absichern, sofern diese die Möglichkeit bieten, ein Einmalkennwort (One-Time-Password; OTP) zu verwenden.

Besonderheiten: Microsoft Authenticator bietet optional den Import und Export der Authenticator-Daten über den Microsoft-Cloud-Server an. Dadurch ist deren Übertragung auf ein neues Smartphone einfacher als bei anderen Apps.

Hinweis

Eine Beschreibung der Funktionsweise sowie eine Anleitung zur Benutzung von Microsoft Authenticator finden Sie hier: „Microsoft Authenticator-App: Funktion, Anleitung und Sicherheitsaspekte“.

  • FreeOTP

Als Google seinen Authenticator im Jahr 2020 von Open Source (frei zugänglicher Programmcode) auf eine proprietäre Version umstellte, wurde die Open-Source-Variante vom Unternehmen Red Hat übernommen und weiterentwickelt. FreeOTP ist für Android und iOS verfügbar und kann für alle Webseiten verwendet werden, die eine Anmeldung über Einmalkennwörter anbieten.

Besonderheit: Das verwendete Sicherungsverfahren kann bei FreeOTP von den Userinnen und Usern selbst ausgewählt werden. Zur Verfügung stehen zeitgesteuerte (nur für ein definiertes Intervall gültige) sowie ereignisgesteuerte (zum Beispiel durch Drücken einer Taste generierte) Token; auch die Zeichenanzahl und der Gültigkeitszeitraum für die generierten Codes sind wählbar.

  • Authy

Der Kommunikationssoftware-Anbieter Twilio hat mit Authy eine plattformübergreifende Lösung geschaffen. In ihrer Funktionsweise ähnelt sie dem Google Authenticator, und sie kann für alle Webseiten und Konten verwendet werden, die diesen unterstützen.

Besonderheit: Twilio bietet Authy auch in Versionen für Windows, MacOS und Linux an. Durch Cloud-Synchronisation können alle Versionen parallel genutzt werden.

  • LastPass Authenticator

Der bekannte Passwortmanager LastPass bietet mittlerweile auch einen Authenticator an, der über ein Cloud-Backup verfügt und eine Zwei-Faktor-Authentifizierung für verknüpfte Online-Konten ermöglicht.

Besonderheit: Mit LastPass lassen sich Anmeldungen über die Smartphone-App durchführen, ohne das Passwort für die jeweilige Webseite eingeben zu müssen.

Im Gegensatz zu den bisher genannten Apps ist bei LastPass nur die Basisversion kostenlos. Benutzerinnen und Benutzer, die erweiterte Funktionen benötigen, müssen ein Abo abschließen.

Den richtigen Authenticator auswählen

Für welche App Sie sich entscheiden sollten, hängt von Ihrem persönlichen Setup ab. Wenn Sie hauptsächlich Ihr Google-Konto nutzen, wird der Authenticator von Google die beste Wahl sein. Verwenden Sie hingegen häufiger Ihr Microsoft-Konto, sollten Sie dem Authenticator dieses Anbieters den Vorzug geben. Andere Apps bieten wiederum mehr Flexibilität beziehungsweise lassen sich auch in Verbindung mit weiteren Betriebssystemen (neben Android und iOS) verwenden.

Es gibt auch noch zahlreiche andere Apps, die zur Mehrfaktor-Authentifizierung genutzt werden können. Vor der Installation und Einrichtung einer solchen sollten Sie jedoch stets die Seriosität und Zuverlässigkeit des jeweiligen Anbieters überprüfen, damit sich die erwartete Sicherheit nicht ins Gegenteil verkehrt.

Tipp

Welche Methoden der Mehrfaktor-Authentifizierung besonders sicher und für Userinnen und User im Alltag praktikabel sind, erklärt Cybersecurity-Expertin Silvie Schmidt im Beitrag „Mehrfaktor-Authentifizierung im Fokus: Methoden und Entwicklungen“.

Letzte Aktualisierung: 1. September 2022

Für den Inhalt verantwortlich: A-SIT Zentrum für sichere Informationstechnologie – Austria