Authenticator-App

Eine Authenticator-App ist eine Sicherheitsanwendung, die auf einem Smartphone oder Tablet installiert wird und zeitbasierte Einmalpasswörter (Time-based One-time Passwords, TOTPs) generiert, um die Identität eines Nutzers bei der Zwei-Faktor-Authentifizierung (2FA) zu bestätigen.

Funktionsweise: TOTP und der gemeinsame Schlüssel

Bei der Einrichtung scannt der Nutzer einen QR-Code des jeweiligen Dienstes – etwa einer Krypto-Börse. Dieser Code überträgt einen geheimen Schlüssel, der dauerhaft in der App gespeichert wird und die Basis aller späteren Codes bildet. Aus diesem Schlüssel und dem aktuellen Zeitstempel berechnet die App nach dem standardisierten TOTP-Protokoll alle 30 Sekunden einen neuen, sechsstelligen Code. Der Dienst kennt denselben Schlüssel und kann den eingegebenen Code serverseitig prüfen – ohne dass ein Code jemals übertragen werden muss. Die Berechnung erfolgt vollständig lokal, also ohne Internetverbindung.

Dieser Mechanismus ist der entscheidende Vorteil gegenüber SMS-basierter 2FA: Beim sogenannten SIM-Swap-Angriff übernehmen Angreifer die Mobilfunknummer eines Opfers und fangen so SMS-Codes ab. Da die Authenticator-App keinen Mobilfunkkanal nutzt und der geheime Schlüssel das Gerät nicht verlässt, entfällt dieser Angriffsvektor.

Bedeutung im Krypto-Kontext

Krypto-Konten sind ein bevorzugtes Ziel für Angreifer, weil Transaktionen in der Regel irreversibel sind. Große Handelsplattformen unterstützen deshalb durchgängig TOTP-basierte Authenticator-Apps als Standard-2FA-Methode – sowohl für die Anmeldung als auch für sensible Aktionen wie Auszahlungen oder API-Schlüssel-Verwaltung. Bekannte Apps sind Google Authenticator, Microsoft Authenticator und Authy; sie folgen alle demselben offenen TOTP-Standard (RFC 6238) und sind untereinander kompatibel.

Ein praktischer Vorbehalt: Geht das Smartphone verloren oder wird es zurückgesetzt, ohne die Backup-Codes gesichert zu haben, ist der Zugang zu allen verknüpften Konten blockiert. Nutzer sollten die bei der Einrichtung angezeigten Recovery-Codes an einem sicheren Ort aufbewahren.

Authenticator-App vs. FIDO2-Passkeys

TOTPs gelten als deutlich sicherer als SMS-2FA, sind jedoch nicht immun gegen Phishing: Ein gefälschtes Login-Formular kann einen gültigen TOTP-Code in Echtzeit abfangen. Modernere FIDO2-Passkeys binden die Authentifizierung an eine kryptografische Signatur und die konkrete Domain, wodurch Phishing strukturell ausgeschlossen wird. Einige Plattformen empfehlen daher bereits aktiv den Wechsel auf Passkeys als nächste Sicherheitsstufe.

Verwandte Begriffe

• Hot Wallet
• Cold Wallet
• Hardware Wallet
• Non-Custodial Wallet