Ein Passwort ist schnell mal vergessen, weshalb viele einfach dasselbe für mehrere Accounts verwenden. Das macht es jedoch nicht nur einem selbst leichter, sich anzumelden. Gelangen Kriminelle an das Passwort, ist das ein Universalschlüssel zu einer Vielzahl von Nutzerdaten und potenziell sogar zu Bezahl-Diensten oder dem Bankkonto.

Wer sicherer im Netz unterwegs sein möchte, sollte die Zweifaktor-Authentifizierung (2FA) benutzen, die viele Onlinedienste anbieten. Dann wird zusätzlich zum Passwort ein weiterer Code abgefragt. Das geht mit Hilfe von 2FA-Apps, die auf dem Smartphone oder Tablet laufen. Die verknüpft man mit dem entsprechenden Konto und bekommt 

Sieben Apps getestet, zwei sind besonders nutzerfreundlich

Stiftung Warentest hat sieben solcher Code-Generator-Apps getestet ("test" 11/2024). Da die grundlegende Funktionsweise bei allen gleich ist, haben die Testerinnen und Tester sich vor allem auf die Nutzerfreundlichkeit, das Datensendeverhalten und die Datenschutzerklärung fokussiert.

Als besonders nutzerfreundlich bewertet Stiftung Warentest die 2FA-Apps "2FAS" und "BinaryBoot". Sowohl das Einrichten als auch der tägliche Gebrauch sind einfach. Beide Apps bieten eine lokale oder cloud-basierte Backup-Option an für den Fall, dass das Smartphone verloren geht. Für zusätzliche Sicherheit lässt "BinaryBoot" sich per Passwort, Pin oder Fingerabdruck öffnen.

Datenschutzerklärung bei mehr als der Hälfte mit deutlichen Mängeln

Aber nicht nur die Sicherheit der App ist wichtig, sondern auch die Sicherheit der eigenen Daten. Einige der Apps sammeln den Warentestern zufolge recht viele Daten und teilen sie mit Dritten. Darunter etwa Nutzungsstatistiken oder Nutzerdaten für Werbezwecke. Von den getesteten Apps erfasst nur "Red Hat FreeOTP" keine Daten. 

Vier der sieben Apps weisen nicht nur sehr deutliche Mängel in ihrer Datenschutzerklärung auf, sondern verstoßen laut "test" sogar gegen die Datenschutz-Grundverordnung.

Trotzdem rät Stiftung Warentest dazu, Zwei-Faktor-Schutz-Apps zu verwenden, da mit dem zweiten Faktor Konten besser geschützt sind als nur mit einem Passwort allein. 

Ihr Fazit: "2FAS" ist am nutzerfreundlichsten, während "Red Hat FreeOTP" bei Datenschutz punktet.

Übrigens: Welche Dienste den Zwei-Faktor-Schutz unterstützen, kann man auf der Website "2fa.directory/de" herausfinden. Hier sind zahlreiche Onlinedienste gelistet, die den Zusatzschutz schon anbieten, in vielen Fällen gibt es auch direkt einen Link zur Anleitung. Aber es werden auch Dienste gelistet, die es noch nicht tun. Hier gibt es dann die Möglichkeit, auf verschiedenen Wegen die Einführung von 2FA per Nachricht ans Unternehmen zu fordern.