security

Ist ein browserbasierter 2FA-Generator sicher?

5 Min. Lesezeit

Die Vertrauensfrage

Wenn Menschen von “browserbasiertem 2FA-Generator” hören, ist die erste Reaktion meist Skepsis. Und ehrlich, das ist der richtige Instinkt. Wenn eine Webseite deine Zwei-Faktor-Authentifizierungs-Codes generiert, berühren deine geheimen Schlüssel eine Webseite. Das fühlt sich riskant an.

Aber “browserbasiert” bedeutet nicht automatisch “unsicher”. Es hängt vollständig davon ab, wie das Tool gebaut ist. Manche Ansätze sind wirklich gefährlich. Andere sind etwa so sicher wie eine native App. Der Unterschied kommt darauf an, wo die Verarbeitung stattfindet.

Client-seitig vs. Server-seitig

Das ist der entscheidende Unterschied. Ein webbasiertes TOTP-Tool kann auf zwei sehr unterschiedliche Arten funktionieren:

Server-seitige Verarbeitung bedeutet, dein geheimer Schlüssel wird an einen entfernten Server gesendet, der den Code generiert und ihn zurückschickt. Das ist schlecht. Dein Geheimnis ist nun auf jemand anderer Infrastruktur gespeichert oder wird dorthin übertragen. Du vertraust dem Server-Betreiber, seinen Sicherheitspraktiken und jeder Software dazwischen.

Client-seitige Verarbeitung bedeutet, alles passiert in deinem Browser. Das JavaScript läuft lokal, generiert den Code auf deinem Rechner, und dein geheimer Schlüssel verlässt dein Gerät nie. Die Webseite ist nur ein Liefermechanismus für den Code, der auf deinem Computer läuft.

Ein gut gebautes Browser-TOTP-Tool nutzt ausschließlich Client-seitige Verarbeitung. Deine Geheimnisse bleiben im Speicher deines Browsers, werden verwendet, um einen Code zu berechnen, und das war’s. Nichts wird irgendwohin gesendet.

Wie du das selbst verifizieren kannst

Du musst niemandem aufs Wort glauben. Öffne die Entwickler-Tools deines Browsers (F12 in den meisten Browsern), geh auf den Network-Tab und beobachte, was passiert, wenn du einen geheimen Schlüssel eingibst und einen Code generierst. Wenn keine Requests rausgehen, ist das Tool Client-seitig.

Du kannst auch testen, indem du die Internetverbindung komplett trennst. Lade die Seite, geh offline, dann gib ein Geheimnis ein und generiere einen Code. Wenn es funktioniert, wird nichts an einen Server gesendet.

Für Open-Source-Tools kannst du den Quellcode direkt lesen. Der TOTP-Algorithmus ist kurz und gut dokumentiert (er basiert auf RFC 6238), also ist es nicht schwer zu verifizieren, dass die Implementierung der Spezifikation entspricht und keine Daten-Exfiltration enthält.

Die Web Crypto API

Moderne Browser enthalten die Web Crypto API, eine eingebaute Sammlung kryptografischer Funktionen, die nativ im Browser laufen. Das bedeutet, ein webbasierter TOTP-Generator braucht keine third-party Krypto-Bibliotheken. Er kann dieselben erprobten kryptografischen Primitive nutzen, die der Browser selbst für HTTPS-Verbindungen verwendet.

Die Web Crypto API bietet HMAC-SHA1 (die Hash-Funktion, die TOTP nutzt), und sie führt Operationen auf eine Art aus, die Timing-Attacken widersteht. Das ist dieselbe Qualität kryptografischer Implementierung, die du in einer nativen Desktop-Anwendung findest.

Sicherheitsabwägungen im Vergleich zu nativen Apps

Lass uns direkt darüber sprechen, was sich zwischen einem Browser-Tool und einer dedizierten Authenticator-App unterscheidet.

Was native Apps besser machen

Persistenter sicherer Speicher. Mobile Authenticator-Apps speichern deine Geheimnisse im sicheren Enklave oder Schlüsselbund des Betriebssystems. Ein Browser-Tab hat nicht Zugriff auf diesen hardware-gestützten Schutz. Wenn du den Tab schließt, sind die Daten weg (was in manchen Kontexten tatsächlich ein Feature ist, aber bedeutet, dass du Geheimnisse erneut eingeben musst).

Isolation. Eine native App läuft in ihrer eigenen Sandbox. Ein Browser-Tab teilt sich den Browser-Prozess mit anderen Tabs. Eine böswillige Browser-Erweiterung könnte theoretisch auf Seiteninhalte zugreifen. Das gilt für jede Web-Anwendung, nicht spezifisch für TOTP-Tools.

Offline-Verfügbarkeit. Du kannst eine mobile App jederzeit öffnen. Ein Web-Tool muss zuerst geladen werden, obwohl viele Offline-Nutzung durch Service-Worker nach dem initialen Laden unterstützen.

Was Browser-Tools gut machen

Keine Installation. Du musst keine App herunterladen. Das ist wichtig, wenn du an einem gemeinsamen Computer bist, einem Arbeitsrechner, auf dem du keine Software installieren kannst, oder einem temporären Gerät.

Transparenz. Mit einem Web-Tool (besonders Open-Source), kannst du genau inspizieren, welcher Code läuft, direkt im Browser. Native Apps sind kompilierte Binärdateien. Du vertraust dem Entwickler in beiden Fällen, aber Web-Apps sind leichter zu auditieren.

Wegwerfbarkeit. Schließe den Tab und die Geheimnisse sind aus dem Speicher weg. Es gibt nichts, was auf der Festplatte persistiert, keine Datenbank, die gestohlen werden kann, falls dein Gerät später kompromittiert wird. Für temporäre oder einmalige Nutzung ist das ein echter Vorteil.

Plattformübergreifend. Funktioniert auf jedem Gerät mit einem Browser. Keine Kompatibilitätsbedenken, keine App-Store-Beschränkungen.

Wann ein browserbasiertes Tool Sinn macht

Ein Browser-TOTP-Generator will nicht deine tägliche Authenticator-App ersetzen. Er füllt andere Lücken:

  • Du bist an einem Computer, an dem du keine Apps installieren kannst und musst einen Code generieren
  • Du richtest 2FA ein und willst verifizieren, dass dein geheimer Schlüssel die korrekten Codes produziert, bevor du dich auf eine spezifische Authenticator-App festlegst
  • Du bist ein Entwickler, der TOTP-Integration in deiner eigenen Anwendung testet
  • Dein Telefon ist leer und du brauchst Zugriff auf einen Account mit einem Sicherungs-Geheimschlüssel, den du sicher aufbewahrt hast
  • Du willst einen schnellen, verpflichtungsfreien Weg, um zu sehen, wie TOTP-Codes funktionieren

Für deine primären, täglichen 2FA-Bedürfnisse ist eine dedizierte Authenticator-App mit verschlüsseltem Backup immer noch die praktischste Wahl. Aber ein Client-seitiges Browser-Tool ist eine solide Option für die Situationen oben.

Worauf man bei einem browserbasierten TOTP-Tool achten sollte

Wenn du eines evaluierst, hier ist, was zählt:

Nur Client-seitig. Keine Netzwerk-Requests beim Generieren von Codes. Verifiziere dies mit den Entwickler-Tools.

Open Source. Du kannst den Code lesen. Andere können ihn auditieren. Bugs werden öffentlich gefunden und behoben.

Minimale Abhängigkeiten. Weniger Bibliotheken bedeuten eine kleinere Angriffsfläche. Der TOTP-Algorithmus ist einfach genug, um mit nur der Web Crypto API implementiert zu werden.

Keine Accounts oder Registrierung. Wenn ein TOTP-Tool dich bittet, einen Account zu erstellen, werden deine Geheimnisse wahrscheinlich Server-seitig gespeichert.

HTTPS. Die Seite sollte über HTTPS ausgeliefert werden, damit der Code nicht während der Übertragung manipuliert werden kann.

Probier es selbst aus

2fa.zip ist ein browserbasierter TOTP-Generator, der komplett Client-seitig läuft. Keine Accounts, kein Server-Speicher, Open Source. Gib einen geheimen Schlüssel ein, bekomme einen Code. Du kannst die Client-seitige Behauptung selbst mit den oben beschriebenen Methoden verifizieren.

Schützen Sie Ihre Konten mit Zwei-Faktor-Authentifizierung

Erzeugen Sie TOTP-Codes sofort direkt in Ihrem Browser.

Probieren Sie unseren kostenlosen 2FA-Code-Generator aus

Verwandte Beiträge

Was ist TOTP? So funktionieren zeitbasierte Einmalpasswörter

Erfahre, wie TOTP temporäre 6-stellige Codes aus einem geheimen Schlüssel und der aktuellen Uhrzeit generiert. Eine verständliche Erklärung des Standards…

Weiterlesen