PrivacyTools.io
Geprüft von Gabriel Bachmann
Heute ersetzen: SMS codes Authenticator apps

Hardware-Sicherheitsschlüssel für phishing-sichere 2FA 2026

Private Alternativen zu SMS codes, Authenticator apps, geprüft nach unseren öffentlichen Kriterien.

How they compare

Tool Protocols Based in Cost
Nitrokey
FIDO2 + OpenPGP Germany Paid
YubiKey 5 Series
FIDO2 + OpenPGP Sweden Paid
Yubico Security Key
FIDO2 only Sweden Paid

Ein Hardware-Sicherheitsschlüssel ist ein kleines Gerät, das in USB gesteckt oder per NFC angetippt wird, um zu beweisen, dass wirklich du dich anmeldest. Er ist der stärkste verfügbare zweite Faktor, denn das Geheimnis verlässt den Schlüssel nie, und er lässt sich nicht so per Phishing abgreifen wie ein getippter Code. Für die Konten, deren Verlust am meisten wehtäte, E-Mail und dein Passwortmanager zuerst, verwandelt ein Schlüssel ein gestohlenes Passwort in eine Sackgasse.

Warum ein getippter Code immer noch per Phishing abgreifbar ist

Ein Code aus einer App oder per SMS ist nur so sicher wie die Seite, in die du ihn tippst. Eine überzeugende gefälschte Login-Seite fragt dein Passwort und deinen Code zusammen ab, leitet dann beide in Echtzeit an die echte Seite weiter und spaziert direkt in dein Konto, und keine Vorsicht erkennt jeden Klon. Ein Sicherheitsschlüssel schließt diese Lücke prinzipbedingt. Bei der Einrichtung bindet er sich an die echte Webadresse, und beim Anmelden prüft er diese Adresse kryptografisch, bevor er antwortet, sodass er auf einer Hochstapler-Seite still bleibt. Diese eine Eigenschaft stoppt die häufigsten Kontoübernahmen, weshalb ein Schlüssel ein echter Sprung nach vorn gegenüber einer Authenticator-App ist und nicht nur eine andere Geschmacksrichtung davon.

Wie wir auswählen

Jeder Schlüssel hier wird an unseren öffentlichen Aufnahmekriterien gemessen. Wir verlangen Unterstützung für die offenen Standards FIDO2 und WebAuthn, sodass du in ein Protokoll investierst und nicht in einen einzelnen Anbieter, und wir bevorzugen Schlüssel, deren Firmware und Werkzeuge offen zur Prüfung liegen. Wir achten auf die angebotene Bandbreite an Anschlüssen, denn ein Schlüssel, den du nicht in deine Geräte stecken kannst, ist nutzlos, und auf die Zusatzfunktionen, die manche Schlüssel über den Login hinaus bieten. Wir listen nur einen Schlüssel, den wir an unserem eigenen Schlüsselbund tragen würden, und wir vermerken klar, wohin jeder passt.

Worauf du bei einem Sicherheitsschlüssel achten solltest

Beginne mit dem Standard: Unterstützung für FIDO2 und WebAuthn ist nicht verhandelbar, denn genau das liefert die Phishing-Resistenz. Passe dann die Anschlüsse an deine Hardware an, ob USB-C, USB-A, NFC oder Lightning, und bevorzuge einen Schlüssel, der ein Handy ebenso abdeckt wie einen Laptop. Entscheide, ob du einen reinen Login-Schlüssel willst oder einen, der auch TOTP-, Smartcard- oder OpenPGP-Aufgaben übernimmt, denn Nitrokey und der YubiKey 5 tragen diese Extras, während ein einfacher Schlüssel die Sache schlicht und günstiger hält. Plane vor allem, zwei zu kaufen, denn der Ersatz ist Teil der Spezifikation, kein optionales Zubehör.

Brauche ich wirklich einen Schlüssel, wenn ich schon eine App nutze?

Für die meisten Konten ist eine Authenticator-App bereits eine große Verbesserung gegenüber SMS-Codes, also ist ein Schlüssel nicht zwingend nötig. Der Grund, einen zu ergänzen, sind die wenigen Konten, die alles andere schützen, dein primäres E-Mail-Konto und dein Passwortmanager, wo ein per Phishing abgegriffener Code eine Katastrophe wäre. Bei diesen ist die Adressprüfung des Schlüssels die kleinen Kosten und die Gewohnheit wert, ihn dabeizuhaben. Ein vernünftiger Mittelweg ist ein Schlüssel für deine zwei oder drei sensibelsten Logins und eine App für den Rest, was den Boden überall anhebt, ohne für jede Seite einen Schlüssel zu kaufen.

So richtest du einen ein

Registriere den Schlüssel bei deinen wichtigen Konten, E-Mail zuerst, indem du in den Einstellungen jeder Seite die Option Sicherheitsschlüssel wählst und den Schlüssel bei Aufforderung berührst. Registriere dann deinen zweiten Schlüssel auf dieselbe Weise und bewahre ihn getrennt auf, einen am Schlüsselbund und den anderen zu Hause oder in einem Tresor. Halte auch deine Authenticator-App weiter angemeldet als Rückfallebene für Seiten, die Schlüssel noch nicht unterstützen. Von da an werden deine Logins zugleich einfacher, ein Antippen statt einen Code zu tippen, und weit schwerer zu stehlen. Um das Konto abzurunden, gibt ein Passwortmanager jedem Login ein starkes, einzigartiges Passwort, das der Schlüssel bewacht.

Häufige Fragen

Was passiert, wenn ich meinen Sicherheitsschlüssel verliere?
Genau deshalb registrierst du von Anfang an zwei. Geht einer verloren, meldest du dich mit dem Ersatz an und entfernst den verlorenen Schlüssel aus jedem Konto, sodass er nicht mehr genutzt werden kann. Ein einzelner Schlüssel als einziger zweiter Faktor ist der eine Einrichtungsfehler, den du vermeiden solltest, denn es gibt keinen Weg, den Zugang wiederherzustellen, wenn er verschwindet.
Funktionieren Sicherheitsschlüssel mit den Konten, die ich wirklich nutze?
Die meisten großen Dienste unterstützen sie inzwischen, darunter E-Mail-Anbieter und Passwortmanager, während soziale Netzwerke und Banken stetig aufholen. Die Schlüssel sprechen die offenen Standards FIDO2 und WebAuthn, also kommt die Unterstützung von der Website und nicht von einer bestimmten Schlüssel-Marke. Seiten, die noch keine Unterstützung ergänzt haben, akzeptieren weiterhin deine App-Codes neben dem Schlüssel.
Ist ein Sicherheitsschlüssel besser als eine Authenticator-App?
Beim Widerstand gegen Phishing ja, und das ist der Hauptgrund, einen zu kaufen. Ein App-Code kann immer noch in eine überzeugende gefälschte Login-Seite eingetippt werden, während ein Schlüssel die echte Webadresse kryptografisch prüft, bevor er antwortet, und eine Hochstapler-Seite schlicht verweigert. Beim alltäglichen Komfort liegen beide nah beieinander, also nutzen viele einen Schlüssel für ihre sensibelsten Konten und eine App anderswo.
Brauche ich Software oder ein Abo, um einen zu nutzen?
Nein. Ein FIDO2-Schlüssel funktioniert über die bereits eingebaute Browser- und Betriebssystem-Unterstützung, ohne etwas zu installieren und ohne Konto oder Gebühr am Schlüssel. Du steckst ihn ein oder tippst ihn per NFC an, wenn eine Seite danach fragt. Manche Schlüssel bieten Zusatzfunktionen über eine optionale Begleit-App, aber der einfache Login verlangt nie eine.
Kann ein Schlüssel mehr als ein Konto schützen?
Ja. Ein einzelner Schlüssel kann bei so vielen Seiten registriert werden, wie du möchtest, jede als eigene Anmeldung, und er hält sie auseinander, ohne praktische Grenze für den normalen Gebrauch. Ein neues Konto zu registrieren ist jedes Mal derselbe schnelle Schritt: Wähle in den Einstellungen der Seite die Option Sicherheitsschlüssel, dann berühre den Schlüssel zur Bestätigung.
Funktioniert ein Sicherheitsschlüssel auf meinem Handy, nicht nur am Computer?
Ja, solange der Anschluss passt. Schlüssel gibt es in den Formen USB-C, USB-A, NFC und Lightning, und die NFC-Schlüssel tippst du einfach an die Rückseite eines Handys, das es unterstützt. Der Trick ist, den Anschluss zu kaufen, den deine Geräte wirklich nutzen, weshalb es sich lohnt, die Anschlüsse von Laptop und Handy vor der Bestellung zu prüfen.