Anwendungsfall
2FA-Backup-Codes sicher versenden
Backup-Codes sind buchstäblich Generalschlüssel zu deinen Konten — und die meisten geben sie per E-Mail, Slack oder WhatsApp weiter, wo sie für immer in einem durchsuchbaren Verlauf liegen. So bringst du einen Code zur richtigen Person, ohne irgendwo eine Kopie zu hinterlassen.
Code über einen Chat senden, der verschwindet — gratis, ohne AnmeldungWarum die üblichen Kanäle der falsche Ort für Backup-Codes sind
Ein Zwei-Faktor-Backup-Code existiert aus genau einem Grund: Er umgeht deinen zweiten Faktor. Wer einen findet, spaziert direkt in das zugehörige Konto. Damit ist der Kanal, über den du ihn verschickst, genauso wichtig wie der Code selbst.
E-Mail ist der schlimmste Kandidat. Ein per Mail verschickter Code liegt im Postausgang des Absenders, im Posteingang des Empfängers, auf den Servern beider Anbieter und auf jedem Gerät, das eines der Postfächer synchronisiert — unbegrenzt, vollständig indexiert und durchsuchbar. Wird eines der Postfächer je kompromittiert, fördert eine schnelle Suche nach "Backup-Code" ihn in Sekunden zutage.
Messenger-Apps sind nur unwesentlich besser. WhatsApp, Telegram und Slack behalten die Nachricht standardmäßig im Verlauf, sichern sie in die Cloud und synchronisieren sie auf jedes eingeloggte Gerät. Selbst Apps mit Verschwinden-Modus speichern die Nachricht meist zuerst irgendwo — in einem Backup, im Benachrichtigungsprotokoll oder in einem Export.
Das sichere Muster ist simpel: Der Code sollte unterwegs existieren und sonst nirgends. Sobald der Empfänger ihn ordentlich abgelegt hat (in einem Passwort-Manager, nicht als Screenshot), darf keine Kopie auf irgendeinem Server, in irgendeinem Verlauf, auf irgendeinem Gerät zurückbleiben.
Die sicheren Wege, einen Backup-Code zu übergeben
- 1. Ein geteilter Passwort-Manager-Tresor — am besten für dauerhaften Zugriff
Wenn du und der Empfänger bereits einen Tresor in 1Password, Bitwarden oder Proton Pass teilen, leg den Code dort ab. Er ist Ende-zu-Ende-verschlüsselt, der Zugriff ist nachvollziehbar, und nichts läuft über einen Chat-Kanal. Der Haken: Es funktioniert nur, wenn beide Seiten schon denselben Manager nutzen — was bei Familienmitgliedern oder einmaligen Situationen selten der Fall ist.
- 2. Ein Chat, der verschwindet — am besten für eine einmalige Übergabe
FadeChats gibt dir einen privaten Raum für zwei Personen, in dem Nachrichten Peer-to-Peer über einen verschlüsselten WebRTC-Kanal laufen und nie auf einem Server gespeichert werden. Code senden, bestätigen lassen, dass die andere Person ihn gesichert hat, Tab schließen — kein Verlauf, kein Backup, nirgendwo eine Kopie. Keine Konten oder Installationen auf beiden Seiten nötig — genau richtig für die Situation, die Backup-Codes erzeugen: eine dringende, einmalige Übergabe an jemanden, der dafür kein Tool installieren wird.
- 3. Eine selbstzerstörende Notiz — okay für Einweg-Übergaben
Dienste wie Privnote oder One-Time Secret verschlüsseln eine Notiz und löschen sie nach einmaligem Lesen. Solide für einen einzelnen Code, aber Einbahnstraße: Wenn der Empfänger bestätigen, nachfragen, zu welchem Konto er gehört, oder den nächsten Code anfordern will, landest du fürs Follow-up wieder auf einem unsicheren Kanal.
- 4. Persönlich oder per Anruf — der analoge Fallback
Einen Code am Telefon laut vorzulesen hinterlässt keine digitale Kopie (sofern keiner mitschneidet). Langsam und fehleranfällig bei langen Codes, aber es funktioniert, wenn sonst nichts verfügbar ist.
Wo eine Kopie deines Codes landet
| Kanal | Server-Kopie | Geräteverlauf | Später durchsuchbar |
|---|---|---|---|
| Ja — beide Anbieter, unbegrenzt | Jedes synchronisierte Gerät | Ja | |
| Slack / Teams | Ja — Workspace-Verlauf | Jedes eingeloggte Gerät | Ja |
| WhatsApp / Telegram | Backups und Multi-Device-Sync | Ja, außer manuell gelöscht | Ja |
| Selbstzerstörende Notiz | Bis zum ersten Lesen | Nein | Nein |
| FadeChats | Nie — nur Peer-to-Peer | Weg, sobald der Tab zugeht | Nein |
| Geteilter Tresor | Ende-zu-Ende-verschlüsselt | Verschlüsselter App-Speicher | Nur innerhalb des Tresors |
Stand: Juli 2026. Cloud-Backup-Einstellungen können ändern, was Messenger-Apps behalten.
Einen Code über FadeChats senden
- FadeChats öffnen
Ein privater Raum wird sofort erstellt — kein Formular, keine E-Mail, kein Passwort.
- Den Einmal-Einladungslink senden
Teile ihn über jeden beliebigen Kanal, auch einen unsicheren. Der Link lässt sich genau einmal einlösen und läuft in Minuten ab — ein abgefangener, bereits genutzter Link ist wertlos.
- Code einfügen, bestätigen, schließen
Der Code läuft direkt zwischen euren beiden Browsern. Warte, bis die andere Person bestätigt, dass sie ihn im Passwort-Manager gesichert hat, dann schließ den Tab — das Gespräch ist weg, und keine Kopie hat je einen Server berührt.
Die ehrliche Empfehlung
Wenn ihr beide im selben Passwort-Manager lebt, nutzt einen geteilten Tresor — er ist ohnehin das richtige Langzeit-Zuhause für einen Backup-Code. Für alles andere — einem Elternteil bei der Kontowiederherstellung helfen, einem Teamkollegen einen Notfall-Code geben, eine einmalige Übergabe an jemanden, der nichts installieren wird — nimm einen Chat, der verschwindet, und lass den Kanal sich selbst löschen.
Häufig gestellte Fragen
Ist es wirklich unsicher, einen Backup-Code zu mailen und danach zu löschen?
Deine Kopie zu löschen löscht weder die Kopie des Empfängers noch die Server-Kopien der Anbieter noch irgendein Backup, das eines der Postfächer zwischendurch angelegt hat. E-Mail-Löschung entfernt eine von vielen Kopien — der Rest bleibt durchsuchbar.
Was, wenn jemand den FadeChats-Einladungslink abfängt?
Der Einladungslink lässt sich genau einmal einlösen und läuft nach 10 Minuten ab. Hat dein Empfänger ihn schon genutzt, ist ein abgefangener Link tot. Löst ihn jemand anderes zuerst ein, kommt dein eigentlicher Empfänger nicht rein — das würdest du sofort merken, und noch wurde kein Code gesendet.
Kann die andere Person den Code screenshotten?
Ja — kein Tool kann Screenshots wirklich verhindern, auch nicht die Apps, die das behaupten. Das realistische Ziel ist, die Kopien zu eliminieren, die du nicht kontrollierst: Server-Logs, Chat-Verläufe und Backups. Der Empfänger soll den Code ja behalten; der Punkt ist, dass es sonst niemand tut.
Wo sollte der Empfänger den Code aufbewahren, sobald er ihn hat?
In einem Passwort-Manager-Eintrag, idealerweise am Login-Eintrag des Kontos. Nicht als Screenshot, nicht in einer Notizen-App und nicht im Verlauf eines anderen Messengers — das erzeugt das Problem nur einen Schritt weiter neu.