Was ist die beste 2FA-Authenticator-App im Jahr 2026?

Für **maximale Privatsphäre**: Aegis (Android, Open Source, lokaler AES-256-Tresor, keine Cloud). Für **iOS/Android-Mainstream-Nutzer**: Google Authenticator (E2EE-Sync über das Google-Konto, 600 Mio.+ Nutzer). Für **bestehende Bitwarden-Nutzer**: Bitwarden Authenticator (native Synchronisation, dasselbe Ökosystem). Für das **Microsoft-Ökosystem**: Microsoft Authenticator (Push-Benachrichtigungen, passwortlos). Authy bleibt auf Mobilgeräten funktionsfähig, aber Twilio hat 2024 die Desktop-App entfernt.

Was ist TOTP und wie unterscheidet es sich von SMS-2FA?

**TOTP** (Time-based One-Time Password, RFC 6238) erzeugt einen 6-stelligen Code, der 30 Sekunden gültig ist und lokal aus einem geteilten geheimen Schlüssel und der Unix-Zeit berechnet wird. Zum Erzeugen des Codes ist keine Internetverbindung nötig. **SMS-2FA** sendet den Code über deinen Mobilfunkanbieter – anfällig für SIM-Swapping (der Angreifer überträgt deine Nummer auf seinen Anbieter). TOTP ist gegen gezieltes Phishing statistisch 10-mal widerstandsfähiger als SMS.

Aegis vs. Google Authenticator: welchen wählen?

**Aegis**, wenn du auf Android bist und Privatsphäre dir wichtig ist: lokaler, AES-256-verschlüsselter Tresor, manuelle verschlüsselte Backups, keine Cloud, GPL3 Open Source. **Google Authenticator**, wenn du Einfachheit willst und im Google-Ökosystem bist: automatischer E2EE-Sync mit deinem Google-Konto seit 2023, iOS + Android, keine Backup-Konfiguration. Für iOS-Nutzer ist Aegis nicht verfügbar – Google Authenticator oder Bitwarden Authenticator sind deine besten Optionen.

Wird Authy 2026 noch empfohlen?

Authy bleibt 2026 auf iOS und Android funktionsfähig, mit Multi-Geräte-Cloud-Sync und AES-256-Verschlüsselung. **Die entscheidende Änderung**: Twilio hat die Authy-Desktop-App im August 2024 entfernt. Das mobile Ökosystem ist intakt. Da Authy jedoch Closed Source und im Besitz von Twilio ist (ein B2B-Telekom-Unternehmen, nicht sicherheitsorientiert), bevorzugen wir Aegis (Android) oder Bitwarden Authenticator für neue Nutzer.

Wie migriere ich von Google Authenticator zu Aegis?

1. Tippe in Google Authenticator auf die 3 Punkte → **Konten übertragen** → **Konten exportieren**. 2. Es erscheint ein Übertragungs-QR-Code (Google-Protobuf-Format). 3. In Aegis → **+** → **Importieren** → **Google Authenticator**. 4. Scanne den QR-Code. 5. Deine TOTP-Codes werden importiert. **Achtung**: Lösche Google Authenticator NICHT, bevor du auf 2-3 Seiten geprüft hast, dass die Aegis-Codes funktionieren.

Funktionieren 2FA-Apps ohne Internet?

**Ja**. TOTP wird lokal berechnet (geheimer Schlüssel + Unix-Zeit). Zum Erzeugen der Codes ist keine Verbindung nötig. Die Cloud-Synchronisation (Backup, mehrere Geräte) erfordert Internet, aber **die Code-Generierung funktioniert offline**. Das ist ein großer Vorteil gegenüber SMS-2FA, die vom Mobilfunknetz abhängt.

Was passiert, wenn ich mein Telefon mit meiner 2FA-App verliere?

**Ohne Backup**: Du verlierst den Zugriff auf jedes durch 2FA geschützte Konto – du musst für jeden Dienst den Support kontaktieren (langwierig und mühsam). **Mit verschlüsseltem Backup** (Aegis, Bitwarden Auth, Google Auth E2EE): Du stellst deine Codes innerhalb von Minuten auf einem neuen Telefon wieder her. **Goldene Regel**: Richte das Backup ein, bevor du 2FA auf kritischen Konten aktivierst.

Kann Microsoft Authenticator Google Authenticator ersetzen?

**Ja**, Microsoft Authenticator unterstützt Standard-TOTP und kann Google-Authenticator-Konten über einzelne QR-Codes importieren. Seine Stärke ist die Microsoft-Integration (Azure AD, Office 365, passwortlos per Push-Benachrichtigung). Aber er ist nicht Open Source und das Cloud-Backup ist an dein Microsoft-Konto gebunden. Für Unternehmen mit Azure AD: natürliche Wahl. Für Einzelpersonen ohne MS-Ökosystem: Google Authenticator oder Bitwarden Auth sind einfacher.

Aegis vs. Bitwarden Authenticator: welchen wählen?

**Aegis** ist Android-only und standardmäßig offline (lokaler AES-256-Tresor, manuelle verschlüsselte Backups, GPL3 Open Source) – ideal für keine Cloud und maximale Kontrolle. **Bitwarden Authenticator** ist plattformübergreifend (iOS + Android) und speichert die TOTP-Seeds Ende-zu-Ende-verschlüsselt, synchronisiert über dein Bitwarden-Konto – ideal, wenn du Bitwarden bereits nutzt und automatische Multi-Geräte-Synchronisation willst. Beide sind Open Source: wähle Aegis für offline, Android-only-Privatsphäre, Bitwarden Authenticator für geräteübergreifenden Komfort innerhalb einer bestehenden Bitwarden-Einrichtung.

Authy vs. Bitwarden Authenticator: was ist 2026 besser?

**Bitwarden Authenticator** ist Open Source, plattformübergreifend, mit Ende-zu-Ende-verschlüsseltem Sync, der an ein Bitwarden-Konto gebunden ist, und integriert sich in den Bitwarden-Passwort-Manager. **Authy** ist Closed Source, im Besitz von Twilio, mit Multi-Geräte-Cloud-Sync (AES-256), aber ohne Desktop-App seit August 2024. Für neue Nutzer empfehlen wir Bitwarden Authenticator: Open Source und ein aktives Ökosystem. Authy funktioniert weiterhin, wenn du dich bereits darauf verlässt, ist aber nicht mehr unsere Standardwahl.

7 beste Authenticator-Apps 2026: Aegis vs. Google vs. Authy

Aegis hat sich als Open-Source-Referenz auf Android etabliert, besonders nachdem Twilio den Authy-Desktop-Client entfernt hat. Dieser Vergleich basiert auf dokumentierten Funktionen, Backup- und Verschlüsselungsmodellen und dem Konsens öffentlicher Tests – nicht auf Marketing-Screenshots.

01 — Verdikt in 30 Sekunden: Wer gewinnt in welchem Kontext

Podium 2026:

1. Aegis — Android-Privatsphäre-Champion. Lokaler AES-256-Tresor, manuelle verschlüsselte Backups, GPL3 Open Source, keine Cloud, kein Tracking. Einziger Nachteil: nur Android.

2. Bitwarden Authenticator — Beste Wahl, wenn du Bitwarden bereits als Passwort-Manager nutzt. Open Source, E2EE-Sync, iOS + Android. Zwei getrennte Apps, dasselbe Ökosystem.

3. Google Authenticator — Beste Mainstream-Wahl. iOS + Android, E2EE-Sync mit dem Google-Konto (seit 2023), 600 Millionen Nutzer, minimalistische Oberfläche. Closed Source.

4. Microsoft Authenticator — Unverzichtbar im Microsoft/Azure-Ökosystem. Push-Benachrichtigungen, passwortlos, Microsoft-Cloud-Backup.

5. Authy — 2026 noch funktionsfähig (mobil), aber nicht mehr für neue Nutzer empfohlen. Desktop im August 2024 entfernt.

Schnellempfehlung: Android, Privatsphäre zuerst → Aegis. iOS oder Mainstream → Google Authenticator oder Bitwarden Auth. Microsoft-Unternehmen → Microsoft Authenticator.

02 — Was ist eine TOTP-2FA-App?

Eine Authenticator-App ist eine Form der Zwei-Faktor-Authentifizierung (2FA) – der zweite Faktor „etwas, das du hast". TOTP = Time-based One-Time Password, definiert in RFC 6238 (2011). Das Protokoll erzeugt einen 6-stelligen Code, der genau 30 Sekunden gültig ist und aus zwei Elementen berechnet wird:

Einem geheimen Schlüssel (160-Bit-Seed, geteilt bei der 2FA-Aktivierung, im QR-Code kodiert)
Der aktuellen Unix-Zeit, auf 30 Sekunden gerundet

Die Berechnung ist ein lokaler HMAC-SHA1 – keine Internetverbindung zum Erzeugen des Codes nötig. Der Server und deine App führen dieselbe Berechnung durch; stimmen die Codes überein, bist du authentifiziert.

Sicherheitsvergleich der 2FA-Methoden:

Methode	Phishbar?	SIM-Swap-resistent?	Netzwerk nötig?
FIDO2/Passkeys	Nein ✅	Ja ✅	Nein ✅
TOTP (2FA-Apps)	Ja (in Echtzeit)	Ja ✅	Nein ✅
Push-Benachrichtigung	Ja (Ermüdung)	Ja ✅	Ja
SMS-OTP	Ja	Nein ❌	Ja

TOTP ist 10-mal widerstandsfähiger gegen SIM-Swapping als SMS. Mehr über Passkeys vs. Passwörter, um in der Sicherheitshierarchie weiter nach oben zu gehen.

03 — Technischer Vergleich: 5 Apps × 10 Kriterien

Kriterium	Aegis	Bitwarden Auth	Google Auth	Authy	Microsoft Auth
Open Source	✅ GPL3	✅ GPL3	❌	❌	❌
Plattformen	Nur Android	iOS + Android	iOS + Android	iOS + Android	iOS + Android
Cloud-Sync	❌ (nur lokal)	✅ E2EE Bitwarden	✅ E2EE Google	✅ AES-256	✅ Microsoft-Cloud
Verschlüsseltes Backup	✅ Manuell AES-256	✅ Auto E2EE	✅ E2EE Google	✅ AES-256 Cloud	✅ Microsoft
Mehrere Geräte	❌	✅	✅	✅	✅
Biometrische Entsperrung	✅	✅	✅	✅	✅
Tresor-Suche	✅	✅	✅	✅	✅
Datenexport	✅ JSON/CSV	✅	⚠️ Begrenzt	⚠️ Schwierig	❌
Desktop/Web	❌	❌	❌	❌ (2024 entfernt)	❌
Preis	Kostenlos	Kostenlos	Kostenlos	Kostenlos	Kostenlos

Alle Apps sind komplett kostenlos – keine Premium-Stufe für den Authenticator selbst.

04 — Profil jeder App

Ein auf einem Schreibtisch geöffneter Laptop

Aegis Authenticator

Eingeführt: 2018. Maintainer: beemdevelopment (Open-Source-Community). Plattform: nur Android (F-Droid + Google Play).

Stärken: Der robusteste Tresor in diesem Vergleich. AES-256-verschlüsselt im Ruhezustand. JSON-Import/-Export mit Verschlüsselung. Automatisches Backup in einen lokalen Ordner oder die Android-Cloud (Drive, Syncthing usw.), aber vollständig nutzergesteuert. Aufgeräumte Oberfläche, Dark Mode, schnelle Suche, eigene Gruppen.

Schwächen: Kein iOS. Keine native automatische Synchronisation (manuelle Konfiguration nötig). Für nicht-technische Nutzer kann die Backup-Einrichtung einschüchternd sein.

Zielnutzer: Privatsphäre-Maximierer, fortgeschrittene Android-Nutzer, Journalisten, Sicherheitsforscher, alle, die der Cloud nicht vertrauen wollen.

Bitwarden Authenticator

Eingeführt: 2023 (separate App vom Passwort-Manager). Plattform: iOS + Android.

Stärken: E2EE-Sync über das Bitwarden-Konto. Open Source wie Bitwarden (GPL3). Wenn du Bitwarden bereits als Passwort-Manager nutzt, ist die Integration natürlich. Aufgeräumte Oberfläche, Import aus Google Authenticator und Authy.

Schwächen: Erfordert ein Bitwarden-Konto (kostenlos, aber Cloud-Abhängigkeit). Noch eine junge App (weniger fortgeschrittene Funktionen als Aegis). Wird nie mit der Haupt-Bitwarden-App verschmelzen (bewusste Unternehmensentscheidung zur Risikotrennung).

Zielnutzer: Bestehende Bitwarden-Nutzer. Menschen, die Open Source + Multi-Geräte-Sync ohne Reibung wollen.

Google Authenticator

Eingeführt: 2010. Nutzer: 600 Millionen+. Plattform: iOS + Android.

Wichtige Entwicklung 2023: Google hat eine automatische TOTP-Code-Synchronisation mit dem Google-Konto hinzugefügt (E2EE optional seit April 2024). Vor 2023 gab es kein natives Backup – ein verlorenes Telefon bedeutete verlorene Codes. Diese Änderung löste die größte Schwäche der App.

Stärken: Die am einfachsten zu nutzende App. Native Integration ins Google-Ökosystem. 600 Mio.+ Nutzer = nahezu universelle Kompatibilität. E2EE-Sync verfügbar.

Schwächen: Closed Source. Abhängigkeit vom Google-Konto. Begrenzter Code-Export (Google-Protobuf-Format, kein Standard-TOTP). Wenn du dein Google-Konto verlierst, verlierst du deine TOTP-Codes.

Zielnutzer: Mainstream-Nutzer. Nutzer des Google-Ökosystems. Menschen, die nichts konfigurieren wollen.

Authy (Twilio)

Eingeführt: 2012. 2015 von Twilio übernommen. Plattform: iOS + Android (Desktop im August 2024 entfernt).

Was sich änderte: Twilio hat die Authy-Desktop-Apps (Windows, macOS, Linux) im August 2024 offiziell eingestellt, mit dem Wunsch, sich auf Mobil zu konzentrieren. Desktop-Nutzer verloren den Zugriff – ein schwerer Schlag für Power-User. Die mobile App bleibt funktionsfähig.

Stärken: Ausgereiftes mobiles Multi-Geräte. Cloud-Backup AES-256-verschlüsselt mit separatem Backup-Passwort. Aufgeräumte Oberfläche.

Schwächen: Closed Source. Desktop entfernt. Twilio ist ein B2B-Telekom-Unternehmen, kein sicherheitsorientiertes. Historie: Telefonnummern-Leak 2022 (33 Millionen Nutzer). Nicht für neue Nutzer empfohlen.

Zielnutzer: Bestehende Nutzer, die nicht migrieren wollen. Neue Nutzer sollten Aegis oder Bitwarden Auth bevorzugen.

Microsoft Authenticator

Eingeführt: 2016. Plattform: iOS + Android.

Stärken: Native Azure-AD-/Microsoft-365-Integration. Push-Benachrichtigungen für 1-Tipp-Freigabe. Passwortloser Modus (Anmeldung ohne Passwort per Benachrichtigung). Cloud-Backup an das Microsoft-Konto gebunden.

Schwächen: Closed Source. Abhängigkeit vom Microsoft-Konto. Schwerfälligere Oberfläche als die Alternativen. TOTP-Code-Export unmöglich (Daten im Microsoft-Ökosystem eingeschlossen).

Zielnutzer: Unternehmen mit Azure AD. Microsoft-365-Nutzer. Enterprise-MFA-Kontext – siehe unseren Leitfaden für Enterprise-Passwort-Manager.

05 — Sicherheitsvergleich: Wer verschlüsselt was, wie und wo

Risiko #1: Cloud-Kompromittierung

Wenn der Cloud-Server kompromittiert wird, was passiert?

Aegis: kein Cloud-Risiko (keine Cloud). Tresor lokal gespeichert, AES-256-verschlüsselt, selbst wenn du die Datei manuell auf Drive kopierst.
Bitwarden Auth: Die Bitwarden-Cloud speichert client-verschlüsselte Daten. Bitwarden hat 2023 ein Cure53-Audit abgeschlossen. Kein Klartext serverseitig.
Google Auth: Google speichert deine TOTP-Seeds in deinem Google-Konto mit optionalem E2EE. Wenn jemand auf dein Google-Konto zugreift → Risiko.
Authy: Twilio-Server + separates AES-256-Backup-Passwort. Der Entschlüsselungs-Schlüssel verlässt nie dein Gerät, wenn das Backup-Passwort stark ist.
Microsoft Auth: Microsoft-Cloud-Speicher. Wenn dein Microsoft-Konto kompromittiert wird → Risiko.

Risiko #2: Zentrales Konto gestohlen

Google Authenticator und Microsoft Authenticator erzeugen einen einzelnen Schwachpunkt: Wird dein Google-/Microsoft-Konto kompromittiert, kann der Angreifer gleichzeitig auf deine TOTP-Codes UND deine E-Mail UND deine anderen Dienste zugreifen.

Goldene Regel: Nutze eine 2FA-App, die von deinem primären E-Mail-Anbieter getrennt ist. Wenn du Gmail nutzt, verwende für kritische Konten nicht Google Authenticator.

Risiko #3: Export und Portabilität

Für die Migration: Aegis (verschlüsseltes JSON, trivial) > Bitwarden Auth (JSON-Export) > Authy (schwierig, kein direkter Export) > Microsoft Auth (nativ unmöglich) > Google Auth (Google-Protobuf-Format, erfordert die App zum Scannen).

Portabilität ist für die langfristige Sicherheit wichtig: in einem Ökosystem eingeschlossen zu sein = Risiko, beim Plattformwechsel den Zugriff zu verlieren.

06 — Migration: von Authy (oder Google) zu Aegis, Schritt für Schritt

Authy Desktop verschwand 2024 – wenn du Desktop-Nutzer warst, so migrierst du sauber zu Aegis.

Voraussetzungen: Aegis auf Android installiert + Authy auf dem Mobilgerät.

Methode 1: QR-Codes neu scannen (sauber, aber langsam)

Gehe für jeden Dienst zu Einstellungen → Sicherheit → 2FA
Bestehende 2FA deaktivieren (Authy-Code zur Bestätigung eingeben)
2FA erneut aktivieren – ein QR-Code erscheint
Mit Aegis scannen
Bestätigen, dass der Aegis-Code funktioniert

Methode 2: über Authy Desktop (falls du noch Zugriff hast) Die Authy-Desktop-App erlaubte vor ihrer Entfernung den Seed-Export über ein Community-Skript. Diese Methode ist für neue Nutzer nicht mehr verfügbar (Desktop entfernt).

Migration Google Authenticator → Aegis (offizielle Methode):

Google Authenticator → Menü → Konten übertragen → Konten exportieren → Alle auswählen
Übertragungs-QR-Code wird erzeugt (Google-Protobuf-Format)
Aegis → + → Scannen → Aus Google Authenticator importieren
Scanne den QR-Code mit Aegis
Lösche Google Authenticator nicht, bevor du Aegis auf 2-3 kritischen Seiten getestet hast

Nach der Migration: Aktiviere sofort das verschlüsselte Aegis-Backup (Einstellungen → Backups → Auto-Backup aktivieren + ein starkes Backup-Passwort festlegen).

07 — Empfehlung nach Nutzerprofil

Maximale Sicherheit gewünscht (Android) → Aegis. Lokaler verschlüsselter Tresor, keine Cloud, Open Source, manuelle verschlüsselte Backups. Etwas komplexere Ersteinrichtung, aber kein Kompromiss bei der Privatsphäre.

Nutzt bereits Bitwarden → Bitwarden Authenticator. Die Integration ist natürlich. Open Source, E2EE-Sync. Unser Vergleich Proton Pass vs. Bitwarden kann helfen, deine Wahl des primären Managers zu bestätigen.

Mainstream-Nutzer, iOS oder Android → Google Authenticator. Am einfachsten zu konfigurieren, E2EE-Sync verfügbar, 600 Mio.+ Nutzer. Closed Source, aber für den Standardgebrauch akzeptabel.

Unternehmen mit Azure AD / Microsoft 365 → Microsoft Authenticator. Push-Benachrichtigungen, passwortlos, native Integration. Für den Enterprise-MFA-Kontext siehe unseren Leitfaden für Enterprise-Passwort-Manager.

Nutzt bereits Authy und es funktioniert → vorerst bleiben, aber mittelfristig eine Migration zu Aegis oder Bitwarden Auth planen. Das Authy-Ökosystem stagniert seit der Desktop-Entfernung.

Wichtige Erinnerung: TOTP-2FA ist eine Sicherheitsschicht auf deinem Passwort-Manager. Beide ergänzen sich – ein starkes, einzigartiges Passwort + TOTP = optimaler Schutz.

Für Definitionen von TOTP, HOTP, 2FA, Passkey und Hardware-Schlüssel siehe das PwdFortress-Authentifizierungsglossar.

PwdFortress testet Sicherheits-Apps unabhängig, basierend auf öffentlicher Dokumentation und Funktionsanalyse. Keine 2FA-App in diesem Vergleich zahlt Provision. Interne Links zu Bitwarden beziehen sich auf unsere Partnerschaft mit dem Bitwarden-Passwort-Manager (ein eigenständiges Produkt).

★ Audit Cure53 2024 · ✓ Plan gratuit · Cross-platform

Ein Manager mit integrierter 2FA & Passkeys → NordPassTOTP & Passkeys speichern · XChaCha20 · Gratis-Tarif→