Skip to main content
Clienti aziendali Clienti privati

News rund um das Thema Passwortmanager

    /
  • News
  • / TOTP-Tokens speichern: Passwortmanager oder dedizierte Authenticator-App?

TOTP-Tokens speichern: Passwortmanager oder dedizierte Authenticator-App?

Die Multi-Faktor-Authentifizierung (MFA) hat sich zu einer Standard-Sicherheitsanforderung für den Schutz von Online-Konten entwickelt. Eine der weitest verbreiteten MFA-Methoden ist TOTP (zeitbasierte Einmalpasswörter).

Da viele Passwortmanager inzwischen auch die Speicherung und Generierung von TOTP-Codes unterstützen, stellt sich eine wichtige Frage:

Ist es sicherer, TOTP-Tokens im Passwortmanager zu speichern – oder sollte man dafür eine separate Authenticator-App verwenden?

Die Antwort ist nicht eindeutig. Beide Ansätze haben klare Vorteile, aber auch relevante Nachteile. Wer die Unterschiede versteht, kann fundierte Sicherheitsentscheidungen treffen – sowohl privat als auch im Unternehmen.

1. Was sind TOTP-Tokens?

TOTP ist ein Verfahren zur Erzeugung zeitbasierter Einmalpasswörter. Die Codes werden auf Basis eines gemeinsamen Geheimnisses und der aktuellen Zeit generiert und ändern sich in der Regel alle 30 Sekunden.

Bei der Anmeldung werden zwei Faktoren kombiniert:

  1. Ein Passwort (etwas, das Sie wissen), und
  2. Ein zeitlich begrenzter Code (etwas, das Sie besitzen).

TOTP wird häufig eingesetzt für:

  • E-Mail-Konten
  • Cloud-Plattformen
  • VPN-Zugänge
  • Administrationsoberflächen
  • Geschäftsanwendungen

Das grundlegende Sicherheitsprinzip von MFA ist die Trennung der Faktoren: Selbst, wenn ein Faktor kompromittiert wird, reicht dies allein nicht für einen erfolgreichen Zugriff aus.

2. Speicherung von TOTP-Tokens im Passwortmanager

Funktionsweise

Moderne Passwortmanager können das TOTP-Geheimnis zusammen mit den Zugangsdaten speichern. Beim Login wird der aktuelle Code automatisch generiert und ausgefüllt oder in die Zwischenablage kopiert.

Vorteile

Hoher Komfort und einfache Bedienung: Ein einziges Tool für Passwörter und TOTP vereinfacht den Anmeldeprozess erheblich. Ein Wechsel zwischen mehreren Apps entfällt.

Weniger Reibung, weniger Fehler: Reduzierte Komplexität senkt das Risiko von Fehlbedienungen, vergessenen Codes oder MFA-Umgehungen aus Bequemlichkeit.

Zentrale Sicherung und Wiederherstellung: Geht ein Gerät verloren, kann der Zugriff über den Wiederherstellungsprozess des Passwortmanagers oft problemlos wiederhergestellt werden – ein wichtiger Faktor für die Geschäftskontinuität.

Höhere Akzeptanz im Team: Gerade in KMU und bei nicht-technischen Anwendern führt ein einfacher Ansatz häufig zu einer besseren MFA-Nutzung insgesamt.

Nachteile

Single Point of Failure: Wird der Passwort-Tresor kompromittiert, können sowohl Passwort als auch TOTP-Code gleichzeitig offengelegt werden.

Abgeschwächte Faktortrennung: Auch wenn formal MFA eingesetzt wird, liegen beide Faktoren in einem System – das ursprüngliche Sicherheitsmodell wird dadurch geschwächt.

Höheres Risiko bei kompromittierten Endgeräten: Malware auf dem Gerät kann unter Umständen den vollständigen Zugriff ermöglichen.

3. Verwendung einer dedizierten Authenticator-App

Funktionsweise

Eine separate App auf dem Smartphone oder einem anderen Gerät generiert die TOTP-Codes. Die Tokens sind in der Regel gerätegebunden und funktionieren auch offline.

Vorteile

Klare Trennung der Sicherheitsfaktoren: Passwort und TOTP befinden sich auf unterschiedlichen Geräten oder in getrennten Anwendungen.

Begrenzter Schaden bei Passwortverlust:  Ein kompromittiertes Passwort allein reicht nicht aus, solange der Angreifer keinen Zugriff auf die Authenticator-App hat.

Bessere Ausrichtung an Zero-Trust-Prinzipien: Die Trennung der Faktoren unterstützt eine mehrschichtige Sicherheitsstrategie.

Empfohlen für besonders kritische Konten: Administrator-Zugänge, Produktivsysteme oder Finanzplattformen profitieren von diesem Ansatz.

Nachteile

Geringerer Bedienkomfort: Der ständige Wechsel zwischen Anwendungen verlangsamt Arbeitsabläufe, insbesondere bei häufigen Anmeldungen.

Erhöhtes Risiko von Kontosperren: Geht das Smartphone verloren und existieren keine Backups, kann der Zugriff dauerhaft verloren gehen.

Aufwendige Backup-Prozesse: QR-Codes und Wiederherstellungsschlüssel müssen manuell und sicher gespeichert werden – was in der Praxis oft versäumt wird.

Geringere Akzeptanz bei Anwendern: Komplexe MFA-Setups werden häufiger umgangen oder falsch genutzt.

4. Sicherheitsvergleich: Typische Risikoszenarien

Kompromittiertes Endgerät

  • TOTP im Passwortmanager: hohes Risiko, falls der Tresor zugänglich ist
  • Authenticator-App: zusätzlicher Schutz durch Geräte- und App-Trennung

Phishing-Angriffe

  • Beide Methoden schützen vor Passwort-Wiederverwendung
  • Keiner der Ansätze ist vollständig phishing-resistent ohne zusätzliche Massnahmen (z. B. Passkeys)

Geräteverlust

  • Passwortmanager: Wiederherstellung meist einfacher
  • Authenticator-App: abhängig von Backups und Recovery-Codes

5. Unternehmensperspektive: KMU vs. Grossunternehmen

KMU und kleine Teams

  • Begrenzte IT-Ressourcen
  • Hoher Fokus auf Benutzerfreundlichkeit
  • Geschäftskontinuität hat Priorität

Für viele KMU stellt die Speicherung von TOTP im Passwortmanager einen praktischen Kompromiss zwischen Sicherheit und Nutzbarkeit dar.

Grossunternehmen

Eigenschaften:

  • Höhere Compliance-Anforderungen
  • Verwaltung privilegierter Zugriffe
  • Anspruchsvollere Bedrohungsmodelle

Hier wird häufig ein gestaffelter Ansatz gewählt: Dedizierte Authenticator-Apps für privilegierte Konten, Passwortmanager-TOTP für Standardanwender.

6. Best Practice: Ein hybrider Ansatz

Ein hybrides Modell verbindet Sicherheit und Effizienz:

  • Niedriges Risiko: TOTP im Passwortmanager
  • Hohes Risiko / privilegierte Konten: Dedizierte Authenticator-App oder Hardware-Sicherheitsschlüssel

Dieser risikobasierte Ansatz erlaubt es, Sicherheitsmassnahmen gezielt dort zu verstärken, wo sie den grössten Effekt haben.

7. Alternativen zu TOTP

TOTP ist weit verbreitet, aber nicht die einzige Option:

  • Passkeys (FIDO2 / WebAuthn): phishing-resistent und passwortlos
  • Hardware-Sicherheitsschlüssel: sehr hoher Schutz
  • Push-basierte Verfahren: komfortabel, aber nicht immer phishing-resistent

Wo verfügbar, können diese Methoden die Sicherheit weiter erhöhen.

8. Entscheidungshilfe

Stellen Sie sich folgende Fragen:

  • Wie kritisch ist das Konto?
  • Welches Bedrohungsmodell gilt?
  • Wie technisch versiert sind die Benutzer?
  • Wie wichtig sind Wiederherstellung und Verfügbarkeit?
  • Gibt es regulatorische oder Compliance-Vorgaben?

9. Fazit: Der Kontext ist entscheidend

Es gibt keine universelle Antwort darauf, wo TOTP-Tokens gespeichert werden sollten.

Passwortmanager punkten bei Komfort und Akzeptanz, während dedizierte Authenticator-Apps eine stärkere Faktortrennung bieten.

Sicherheit ist keine absolute Entscheidung, sondern eine Frage des Kontexts.

Die beste Lösung ist jene, die zur Organisation, zum Risiko und zu den Anwendern passt – ergänzt durch klare Richtlinien, regelmässige Überprüfungen und mehrschichtige Schutzmassnahmen.

Bitte beachten Sie, dass PassSecurium™, unser Passwortmanager, die sichere Speicherung und Generierung von TOTP-Codes unterstützt.

Geschäftskunden können eine Live-Demonstration oder einen Testzugang anfordern, während Privatnutzer sich direkt auf unserer Website für eine kostenlose private Version registrieren können.

Haben Sie weitere Fragen?

Gehen Sie keine Kompromisse ein! Sie haben spezielle Anforderungen? Dann teilen Sie uns Ihre Wünsche mit – wir gehen gerne individuell darauf ein.

Wir helfen Ihnen gerne, die passende PassSecurium™-Version auszuwählen und auf Ihre Bedürfnisse abzustimmen.

 

KontaktFAQ 

Bleiben Sie auf dem Laufenden
Bleiben Sie auf dem Laufenden