Zweistufige Authentifizierung mit TOTP Es ist zum unverzichtbaren Schutzschild für Ihre Konten geworden: ein zweiter Code, der sich regelmäßig ändert und den Sie zusätzlich zu Ihrem Passwort eingeben müssen. In diesem Artikel stelle ich Ihnen einen umfassenden Leitfaden mit App-Vergleichen, Konfigurationstipps und praktischen Anwendungsfällen vor. Alles wird detailliert und benutzerfreundlich erklärt, damit Sie sich nicht verirren.
Über eine einfache Liste hinaus finden Sie hier praktische Information Um die beste TOTP-App auszuwählen, erfahren Sie, wie Sie sie auf gängigen Diensten (GitHub, Bitwarden, Nextcloud usw.) einrichten, wie Sie sie mit Node.js in Ihrem Backend implementieren und häufige Fehler vermeiden, die dazu führen können, dass Sie von Ihren Konten ausgeschlossen werden. Legen wir los.
Was ist TOTP und warum Sie es noch heute aktivieren sollten
TOTP (zeitbasiertes Einmalpasswort) Es handelt sich um einen Algorithmus, der zeitbasierte Einmalpasswörter generiert. Ihre App und der Server teilen ein Geheimnis; mithilfe der Systemuhr berechnen beide denselben Code, der typischerweise alle 30 Sekunden erneuert wird. Da es offline funktioniert, Es ist schnell, zuverlässig und sehr komfortabel, und fügt eine zweite Ebene hinzu, die Angriffe stoppt, selbst wenn Ihr Passwort durchsickert.
Innerhalb von 2FA gibt es mehrere Methoden (SMS, E-Mail, Biometrie, physische Schlüssel, Push-Benachrichtigungen...), aber TOTP-Apps sind normalerweise die ausgewogenste Option Für Datenschutz, Verfügbarkeit und Kontrolle. Hinweis: SMS ist als Rettungsmittel nützlich, aber nicht so robust oder zuverlässig, insbesondere außerhalb der USA.
Wichtige Tipps vor dem Start
Zuerst Löschen Sie kein 2FA-Konto aus Ihrer App. ohne es vorher auf der Website des Dienstes zu deaktivieren. Es ist leicht, lebenslang gesperrt zu werden. Zweitens, generieren und speichern Sie die Wiederherstellungscodes wann immer sie verfügbar sind. Drittens: Planen Sie Ihre Backups: Wählen Sie Apps mit verschlüsseltem Cloud-Backup, exportieren Sie in eine verschlüsselte Datei oder verwenden Sie die Kontosynchronisierung, um den Verlust von Tokens beim Telefonwechsel zu vermeiden.
Ein Hinweis zur Realität: Alle 39 Sekunden gibt es einen Cyberangriff Überall auf der Welt. Die Aktivierung von 2FA mit TOTP dauert weniger als zwei Minuten und erhöht Ihre Sicherheit. Wenn Sie als Alternative zusätzlich einen physischen Sicherheitsschlüssel hinzufügen, sind Sie längst überfällig.
So wählen Sie Ihre TOTP-App aus: Worauf Sie achten und was Sie vermeiden sollten
Die besten Apps kombinieren Sicherheit, Einfachheit, Export/Backup und plattformübergreifende Kompatibilität. Wichtig ist, dass sie mit Biometrie oder PIN geschützt werden können, Bildschirmcodes verbergen und verschlüsselte Backups oder einen sicheren Export ermöglichen. Wenn Sie mehrere Betriebssysteme verwenden, achten Sie auf Synchronisierung zwischen Android, iOS und Desktop.
Wovor weglaufen? Apps ohne Backup oder Export, inkompatible Kopien zwischen Plattformen (wenn Sie zwischen iOS und Android wechseln) oder die eine Telefonnummer erfordern, wenn Sie keine benötigen. In Krisenzeiten machen die kleinen Details den Unterschied.
Vollständiger Vergleich der TOTP-Authentifizierungs-Apps
Nachfolgend finden Sie eine Übersicht mit den wichtigsten Funktionen und Nuancen der Tools, die in den besten Anleitungen, Dokumentationen und Fachanalysen am häufigsten vorkommen.
Google Authenticator (Android, iOS)
Es ist die klassische Referenz: kostenlos, einfach und kein Konto erforderlichExportieren Sie alle Token auf einmal mit einem einzigen QR-Code, um sie auf ein anderes Telefon zu migrieren. Unter iOS können Sie den Zugriff mit Face ID/Touch ID sichern und nach Token suchen. Es fehlen native Cloud-Backups und Codes werden nicht immer ausgeblendet, was in der Öffentlichkeit unangenehm sein kann. Ideal, wenn Sie keine Cloud möchten und Sie legen Wert auf Einfachheit.
Microsoft Authenticator (Android, iOS)
Kombiniert Passwortmanager und TOTP mit Biometrischer/PIN-Schutz, Code-Verbergung und Cloud-Backups. Schwachpunkt: iOS- und Android-Backups sind nicht miteinander kompatibel, exportiert keine Token und benötigt viel Speicherplatz (150–200 MB). Wenn Sie sich im Microsoft-Ökosystem befinden, erleichtert es die Anmeldung erheblich.
Twilio Authy (Android, iOS, Windows, macOS, Linux)
Der Multiplattform-Star: synchronisiert einwandfrei zwischen Mobilgerät und Desktop, mit Cloud-Backup und PIN/biometrischem Schutz. Die Kontoerstellung mit einer Telefonnummer ist erforderlich, und die mobile Benutzeroberfläche zeigt jeweils ein Token, das bei vielen Konten weniger agil ist. Es exportiert/importiert keine Token, ist aber als Alternative zu Google/Microsoft eine der besten.
Duo Mobile (Android, iOS)
Sehr beliebt in Unternehmen, saubere und einfache Benutzeroberfläche, verbirgt Codes und ermöglicht die Sicherung in Google Cloud (Android) oder iCloud (iOS), ohne ein neues Konto zu erstellen. Es gibt keinen Zugriffsschutz in der App und iOS/Android-Kopien werden nicht unterstützt einander. Wenn Sie die Plattform nicht wechseln möchten, kann es Ihnen perfekt dienen.
FreeOTP (Android, iOS)
Open-Source-Projekt, minimalistisch und sehr leicht (2–3 MB). Kein Cloud-Speicher oder Token-Export; unter iOS ist die Erstellung von Token mit einem manuellen Schlüssel nicht möglich (nur QR-Codes). Unter iOS können Token mit Face ID/Touch ID geschützt werden. Die Codes werden standardmäßig und nach 30 Sekunden Inaktivität ausgeblendet. Für diejenigen, die Wert auf Minimalismus und Privatsphäre legen.
andOTP (Android)
Sehr vollständig und Open Source: PIN-/Passwort-/Fingerabdrucksperre, Etiketten, Suche, automatisches Ausblenden und Sperren bei Inaktivität, ein „Panikknopf“ zum Löschen von allem und Exportieren in eine verschlüsselte Datei (z. B. Google Drive). Es wird nicht mehr angeboten, ist aber immer noch sehr solide. Risiko: : Die einfache Wiederherstellung von Schlüsseln erfordert einen sehr guten Zugriffsschutz.
Aegis Authenticator (Android)
Moderne Open-Source-Alternative, kostenlos, mit Verschlüsselung, Biometrie und gute Backup-Optionen. Es unterstützt den Import von Authy/andOTP und fast allen 2FA-Formaten. Einige leistungsstarke Funktionen erfordern Root, was nicht jedermanns Sache ist. Gute Balance zwischen Sicherheit und Benutzerfreundlichkeit.
OTP-Authentifizierung (iOS, macOS)
Leistungsstark für Apple: Ordner zum Organisieren, Export in Datei, Lesen von Schlüsseln/QR-Token, iCloud-Synchronisierung und Face ID/Touch ID oder Passwortschutz. Codes werden nicht ausgeblendet, und einige Funktionen sind unter macOS kostenpflichtig. Für iPhone/Mac, Es ist das vollständigste.
Schritt Zwei (iOS, macOS)
Minimalistisch, mit iCloud-Synchronisierung und Apple Watch-Unterstützung. Kein Zugriffsschutz, kein Code-Verbergen, kein Token-Export/-Import und die kostenlose Version beschränkt Sie auf zehn Token. Unter macOS ist zum Lesen von QR-Codes eine Screenshot-Berechtigung erforderlich. Perfekt, wenn Sie etwas ganz Einfaches wollen im Apple-Ökosystem.
WinAuth (Windows)
Gamer-orientiert: unterstützt Token nicht standardmäßig Steam, Battle.net oder Trion/Gamigo, zusätzlich zum Standard-TOTP. Es ermöglicht Ihnen, Daten zu verschlüsseln, sie im Klartext oder in verschlüsselten Dateien zu exportieren, mit einem Passwort oder YubiKey schützen und Codes automatisch ausblenden. Es existiert nur für Windows und in der Regel 2FA wird auf dem PC nicht empfohlen, aber für Spiele ist es ein Juwel.
Authenticator-App (Apple-Ökosystem)
Checker mit Apps für iPhone, iPad, Mac und Apple Watch, und Erweiterungen für fast alle Browser (Safari, Chrome, Brave, Tor, Vivaldi…). Es gibt eine sehr eingeschränkte kostenlose Version; die kostenpflichtige Version bietet Backup und Synchronisierung. Es beinhaltet Verschlüsselung, mit der Familie teilen und mit Face ID sperren. Wenn Sie bei Apple leben, ist dies eine Option, die Sie in Betracht ziehen sollten.
2FAS (2FA-Authentifikator)
Einfach, kostenlos und mit E2E-Verschlüsselung, funktioniert offline und ermöglicht die Verknüpfung von Token per Schlüssel oder QR-Code und die Synchronisierung mit Google Drive. Backups, damit Sie keine Token verlieren, eine Browsererweiterung, PIN/Biometrie und keine Werbung. Wenige erweiterte Optionen. aber sehr zuverlässig Für den Alltag.
1Password (mit integriertem TOTP)
Kostenpflichtiger Passwort-Manager, der beinhaltet 2FA TOTP Integriert. Das große Plus ist die automatische Code-Eingabe auf unterstützten Websites und die einheitliche Verwaltung der Anmeldeinformationen. Es ist keine reine 2FA-App, aber wenn Sie bereits 1Password verwenden, es vereinfacht Ihr Leben auf Mobilgeräten, Desktops und im Browser.
Bitwarden (mit integriertem TOTP)
Open Source und kostenlos für Einzelbenutzer; die kostenpflichtige Version fügt TOTP hinzu, das Autovervollständigung auf Websites und Apps. Es generiert standardmäßig sechsstellige Codes (SHA-1, 30 s) und ermöglicht Ihnen die Anpassung der Parameter durch Bearbeiten der TOTP-URI. Browsererweiterungen kopieren den TOTP nach der Autovervollständigung in die Zwischenablage, wenn Sie die Option aktivieren. Sehr rund um Passwörter und 2FA zu zentralisieren.
TOTP-Authentifikator (BinaryBoot)
Saubere Schnittstelle und umfassende Unterstützung für 2FA-Dienste. Es bietet Cloud Sync Premium mit Google Drive (Sie kontrollieren die Daten), Browser-Erweiterung (Premium), dunklem Design, Tags und Suche, plattformübergreifende Unterstützung (Android/iOS), Nutzung auf mehreren Geräten (verschlüsselte Backups), mehrere Widgets, Symbolanpassung und biometrische Sicherheit mit der Option, Screenshots zu blockieren. Die kostenlose Version ist etwas eingeschränkt.
Protectimus Smart OTP
Verfügbar für Android und iOS, kompatibel mit Android-Uhren, unterstützt mehrere Protokolle und ermöglicht es Ihnen, die App mit einer PIN zu schützen. Weniger bekannt, aber sehr vollständig, wenn Sie nach einer Vielzahl von Standards suchen und Einsatz in Wearables.
Anleitungen: So aktivieren Sie TOTP bei beliebten Diensten
Lassen Sie uns mit spezifischen Anweisungen fortfahren, aus offiziellen Dokumenten destilliert So können Sie TOTP konfigurieren, ohne den Überblick zu verlieren.
Konfigurieren Sie TOTP auf GitHub (TOTP-App oder SMS, mit zusätzlichen Methoden)
GitHub empfiehlt die Verwendung Cloudbasierte TOTP-Apps und Sicherheitsschlüssel als Backup anstelle von SMS. Nach der Aktivierung von 2FA beginnt für Ihr Konto eine 28-tägige Verifizierungsphase: Wenn der Authentifizierungsprozess fehlschlägt, werden Sie am 28. Tag zur 2FA aufgefordert und können diese neu konfigurieren, falls etwas schiefgeht.
- Schritt für Schritt TOTP: Benutzereinstellungen → Passwort und Authentifizierung → 2FA aktivieren → QR-Code mit Ihrer TOTP-App scannen oder den manuellen Einrichtungsschlüssel verwenden (Typ TOTP, GitHub-Label: , GitHub Issuer, SHA1, 6 Ziffern, 30s). Verifizieren Sie mit einem aktuellen Code und laden Sie die Wiederherstellungscodes.
- SMS als Alternative: Geben Sie Ihre Nummer nach dem Bestehen eines CAPTCHA ein, geben Sie den per SMS erhaltenen Code ein und speichern Sie die Wiederherstellungscodes. Verwenden Sie dies nur, wenn Sie TOTP nicht verwenden können.
- PasskeysWenn Sie bereits über 2FA per TOTP-App oder SMS verfügen, fügen Sie einen Passkey hinzu, um sich ohne Kennwort anzumelden und dennoch die 2FA-Anforderung zu erfüllen.
- Sicherheitsschlüssel (WebAuthn)Registrieren Sie nach der Aktivierung von 2FA einen kompatiblen Schlüssel. Dieser gilt als zweiter Faktor und erfordert Ihr Passwort. Bei Verlust können Sie SMS oder Ihre TOTP-App verwenden.
- GitHub Mobile: Nachdem Sie TOTP oder SMS erhalten haben, können Sie die mobile App mit verwenden Push-Benachrichtigungen; verlässt sich nicht auf TOTP und verwendet Public-Key-Verschlüsselung.
Wenn eine TOTP-App nicht zu Ihnen passt, SMS als Plan B registrieren und fügen Sie dann einen Sicherheitsschlüssel hinzu, um die Sicherheitslatte höher zu legen, ohne die Dinge zu verkomplizieren.
Bitwarden Authenticator: Generierung, Autofill und Tricks
Bitwarden generiert 6-stellige TOTPs mit SHA-1 und 30s RotationSie können den QR-Code über die Browsererweiterung (Kamerasymbol) scannen oder den Code unter iOS/Android manuell eingeben. Nach der Konfiguration sehen Sie das rotierende TOTP-Symbol im Element und können es wie ein Passwort kopieren.
AutocompleteBrowsererweiterungen füllen den TOTP automatisch aus oder kopieren ihn nach dem automatischen Ausfüllen in die Zwischenablage, wenn Sie „Beim Laden der Seite automatisch ausfüllen“ aktivieren. Auf Mobilgeräten wird der Code nach dem automatischen Ausfüllen des Logins in die Zwischenablage kopiert.
Wenn Ihre Codes nicht funktionieren, synchronisiert die Geräteuhr (Schalten Sie die automatische Zeiteinstellung unter Android/iOS ein/aus; unter macOS gilt dasselbe für Datum/Uhrzeit und Zeitzone.) Wenn ein Dienst andere Parameter erfordert, bearbeiten Sie die URI otpauth manuell im Artikel, um Ziffern, Punkt oder Algorithmus anzupassen.
Unter iOS 16+ können Sie Bitwarden als Standardmäßige App-Verifizierung Beim Scannen von Codes von der Kamera: Einstellungen → Passwörter → Passwortoptionen → Bestätigungscodes einrichten mit → Bitwarden. Tippen Sie beim Scannen auf „In Bitwarden öffnen“, um es zu speichern.
Für Microsoft Azure/Office 365-Konten: Wählen Sie während der 2FA-Einrichtung „eine andere Authentifizierungs-App” anstelle von Microsoft Authenticator und scannen Sie den QR-Code mit Bitwarden. Verwenden Sie für Steam eine vorangestellte URI. steam:// gefolgt von Ihrem geheimen Schlüssel; die Codes werden 5 alphanumerische Zeichen.
Nextcloud: TOTP und Backup-Codes
Wenn Ihre Instanz 2FA aktiviert, sehen Sie in Ihren persönlichen Einstellungen den Geheimcode und einen QR zum Scannen mit Ihrer TOTP-App. Generieren und speichern Sie die Sicherungscodes an einem sicheren Ort (nicht auf dem Telefon selbst), denn sie helfen Ihnen aus der Patsche, wenn Sie den zweiten Faktor verlieren.
Geben Sie beim Anmelden das TOTP-Passwort in Ihren Browser ein oder wählen Sie einen weiteren zweiten Schritt, falls Sie einen eingerichtet haben. Wenn Sie WebAuthn verwenden, Verwenden Sie dasselbe Token nicht erneut. für 2FA und für die passwortlose Anmeldung, da es sich nicht mehr um einen „doppelten“ Faktor handeln würde.
Unternehmensfallstudie: Specialty Medicines Portal (AEMPS)
Typisches Ablaufbeispiel: Installieren Sie eine TOTP-App (Microsoft/Google Authenticator, FreeOTP, Authy…) und vom Browser aus fordert „Verifizierungscode zurücksetzen“ auf der Anmeldeseite. Sie erhalten eine E-Mail mit einem Link mit einem QR-Code.
Scannen Sie den QR-Code mit Ihrer App, Sie werden Ihren ersten Code sehen und kehren Sie zu Ihrem Browser zurück, um ihn auf der Reset-Seite einzugeben. Melden Sie sich von dort aus an, indem Sie die Methode „Verifizierungscode“ wählen: Benutzername, Passwort und der aktuelle TOTP-Code, der auf Ihrem Telefon angezeigt wird.
Hardware-Schlüssel: YubiKey als Luxus-Accessoire
Für maximale Sicherheit, YubiKey von Yubico Es ist der Goldstandard: IP68-Schlüssel, batterielos, robust und kompatibel mit FIDO2, U2F, OTP, Smartcard usw. Sie funktionieren perfekt mit Google, Facebook und vielen anderen Diensten. Wenn ein Dienst keine Hardware unterstützt, Sie können ihre Authentifizierungs-App verwenden Backup. Es gibt sogar FIPS-zertifizierte Modelle für Umgebungen, die dies erfordern.
Das Ideal: TOTP-App + YubiKeyIhnen steht immer ein zweiter Faktor zur Verfügung, und zwar ein weiterer hochsicherer Faktor, wenn Sie Ihren Schutz maximieren möchten.
Implementieren Sie TOTP in Ihrem Backend (Node.js mit otplib)
Wenn Sie Ihre eigene Anwendung entwickeln, lässt sich TOTP einfach integrieren mit otplib und ein Schuss Express.js. Der Workflow besteht aus zwei Phasen: Zuordnen eines TOTP-Geheimnisses zum Benutzer und Validieren der Codes bei der Anmeldung.
- Verein: Generieren Sie ein Geheimnis auf dem Server, erstellen Sie die OTPauth-URI und zeigen Sie sie als QR-Code an (mithilfe von Bibliotheken wie QRcode). Der Benutzer scannt ihn mit seiner App und sendet Ihnen ein TOTP. Bestätigen und speichern Sie die Zuordnung.
- Überprüfung: bei jedem Login nach korrektem Passwort, Fragen Sie nach dem TOTP und überprüfen Sie die Gültigkeit anhand des gespeicherten Geheimnisses. Wenn es gültig ist, schließen Sie die Anmeldung ab.
Wie Sie sehen, handelt es sich um ein sehr klares Muster: Sie synchronisieren ein GeheimnisSie validieren den ersten Code und vergleichen dann bei jedem Login den rotierenden TOTP-Code. Einfach, robust und kompatibel mit den meisten Authentifizierungs-Apps.
Tricks und bewährte Vorgehensweisen, die Ihnen Ärger ersparen
Denken Sie über Ihren „Plan B“ nach: Wiederherstellungscodes und alternative Methoden (Sicherheitsschlüssel, SMS, Push-Mobile-App) und wenn Sie auf Cloud-Synchronisation angewiesen sind, prüfen Sie, ob es Inkompatibilitäten zwischen iOS und Android (Microsoft- und Duo-Hülle), damit Sie beim Telefonwechsel keine Überraschungen erleben.
Wann Sie einen Passwort-Manager mit integriertem TOTP verwenden sollten
Wenn Sie bereits Bitwarden oder 1Password verwenden, Aktivieren Sie das TOTP-Modul Vereinheitlicht Passwörter und Zwei-Faktor-Authentifizierung mit Autofill im selben Tool. Vorteile: Geschwindigkeit und weniger Aufwand. Nachteil: Sie konzentrieren sensiblere Elemente an einem Ort, sodass Schützen Sie es mit starker 2FA und überprüfen Sie die sicheren Export-/Sicherungsoptionen.
Zusammenfassung der vorgestellten Apps und Kompatibilitäten
Android: Google Authenticator, Microsoft Authenticator, Authy, Duo, FreeOTP, Aegis, andOTP, 2FAS, Protectimus, TOTP Authenticator, WinAuth (nicht mobil). In iOS: Google Authenticator, Microsoft Authenticator, Authy, Duo, FreeOTP, OTP Auth, Step Two, Authenticator App, TOTP Authenticator. Schreibtisch: Authy (Win/macOS/Linux), OTP-Authentifizierung (macOS), Schritt zwei (macOS), WinAuth (Windows).
zu spezielle Videospiel-Token, WinAuth glänzt mit Steam und Battle.net; Bitwarden kann Steam mit steam://Bei Apple ist die integrierter Authentifikator unter iOS 15+ und Safari 15+ ist es nützlich, aber die Autovervollständigung trifft nicht immer ins Schwarze und ist nicht so schnell wie eine dedizierte App.
Kurze Checkliste zur Auswahl Ihrer TOTP-App
- Müssen echte plattformübergreifende (mobil + Desktop)? Authy ist eine sichere Wahl.
- Minimalismus und keine Cloud? Google Authenticator oder FreeOTP sind eine gute Basis.
- Open Source mit Feinsteuerung? Ägide (Android) oder OTP Auth (iOS) fallen auf.
- All-in-One-Manager + TOTP? Bitwarden oder 1Password macht es viel einfacher.
- Gaming-Welt? WinAuth unterstützt nicht standardmäßige Token.
Was auch immer Ihre Wahl ist, erstellt Sicherungskopien und speichert Wiederherstellungscodes. Es ist ein Lebensretter, wenn die Dinge am schlimmsten sind.
Durch die Aktivierung von TOTP erzielen Sie bei minimalem Zeitaufwand einen enormen Sicherheitssprung. Mit den Apps, die Sie gesehen haben, können Sie auswählen, was am besten zu Ihnen passt: von einfachen, Cloud-freien Lösungen bis hin zu synchronisierten Ökosystemen auf allen Ihren Geräten, einschließlich Managern, die den Code automatisch für Sie vervollständigen, oder physischen Schlüsseln zum Schließen des Kreises. HochsicherheitsszenarienMit ein paar guten Entscheidungen und einem Backup-Plan, Ihr Konto wird von „ausgeliefert“ zu „schrecksicher“.
