Für Zwei-Faktor-Authentifizierung habe ich jahrelang einfach den Microsoft Authenticator genutzt. Hin und wieder habe ich auf Webseiten den Authenticator von Google wahrgenommen. Über Alternativen habe ich mir keine Gedanken gemacht. Das lag vermutlich daran, dass ich den Authenticator erstmalig für Microsoft-Services verwendet habe.
Dann wollte ich unsere eigene n8n-Instanz einrichten und brauchte eine Authenticator-App dafür. Und zum ersten Mal habe ich mich gefragt: Muss das eigentlich Microsoft sein?
Warum nicht einfach weiter Microsoft?
Im Grunde funktioniert der Microsoft Authenticator. Aber wenn man genauer hinschaut: Meine 2FA-Codes liegen auf Microsofts Servern. Ich weiß nicht genau, was damit passiert. Ich weiß nicht, ob die Daten für irgendetwas anderes genutzt werden. Und ich habe keine Kontrolle darüber.
Das ist kein Drama - Millionen Menschen nutzen das so. Aber es passt nicht zu dem Ansatz, den ich seit 2021 konsequent fahre: Weg von US-Tech-Konzernen, hin zu Lösungen, die ich kontrolliere. Nextcloud statt SharePoint/Teams, Mailbox.org statt Microsoft Exchange, OpenTalk/Nextcloud Talk statt Teams. Und jetzt eben auch beim Authenticator.
Also habe ich nachgeschaut, was es sonst gibt.
Die Recherche
Ich habe die KI Claude gefragt, ob es Open-Source-Alternativen gibt. Die Antwort hat mich überrascht: Es gibt nicht nur eine, sondern gleich mehrere. Für Android und iOS, alle kostenlos, alle Open Source.
Für iOS - das ist mein System - kamen vor allem zwei in Frage: 2FAS und Raivo OTP.
2FAS
Die erste Alternative, die ich mir angeschaut habe. Open Source, moderne Oberfläche, aktive Entwicklung. Daten bleiben standardmäßig lokal auf dem Gerät. Cloud-Backup ist optional und Ende-zu-Ende verschlüsselt.
Klingt erstmal gut. Dann habe ich nachgeschaut, woher die Firma kommt: USA. Und ja, auch wenn die Daten lokal bleiben - für mich war das der Punkt, an dem ich weitergesucht habe. Nicht weil 2FAS schlecht ist, sondern weil ich konsequent sein will. Wenn ich bei E-Mail und Cloud auf europäische Anbieter setze, dann auch hier.
Raivo OTP
Entwickler aus den Niederlanden. Open Source. Daten bleiben lokal auf dem iPhone oder - wenn man will - in der eigenen iCloud. Kein Firmenserver dazwischen. Kein Account nötig.
Ich habe auch gefragt, ob man Backups auf eigene Server machen kann. Die ehrliche Antwort: Bei iOS gibt es dafür keine gute Lösung. Die meisten Apps nutzen entweder keine Cloud, iCloud oder den eigenen Dienst des Anbieters. Für mich war das akzeptabel - iCloud ist zumindest verschlüsselt und ich behalte die Kontrolle.
Der Umstieg war unkompliziert: App installieren, QR-Code scannen, fertig. Funktioniert genauso wie der Microsoft Authenticator - nur ohne Microsoft.
Was ich mitgenommen habe
Praktisch ist es banal: Open-Source-Alternativen gibt es für fast alles, der Umstieg dauert keine zehn Minuten, und sobald 2FA aktiv ist, sollte man die Backup-Codes sauber aufbewahren - sonst sperrt man sich selber aus.
Wichtiger ist für mich, was beim 2FAS-Befund klar wurde: Open Source allein reicht mir nicht mehr als Kriterium. Eine quelloffene App, die von einer US-Firma kommt, ändert nichts daran, ob meine Wahl gegen das US-Ökosystem konsequent ist - oder ob ich mir nur etwas vormache. Konsequenz heißt für mich: nicht "kostenlos und einsehbar" als hinreichend akzeptieren, sondern auch fragen, wer dahintersteht und wo das Unternehmen sitzt.
Das macht die Auswahl kleiner. Genau das ist der Punkt.