Twitter: Zwei-Faktor-Anmeldung ausgeschaltet

Bei der neuen Zwei-Faktor-Anmeldung wird nach Eingabe des Passworts eine SMS mit einer Kennzahl an das Handy des Nutzers verschickt. Dieses System lässt sich laut dem Sicherheitsexperten Sean Sullivan vom Virenschutzanbieter F-Secure jedoch leicht ausschalten. Grund dafür ist ein Twitter-SMS-Feature. Ein Twitter-User kann sich Tweets per SMS zustellen lassen. Dieser Service kann per SMS ein- und ausgeschaltet werden. Wird der Service per SMS abbestellt, sind ab sofort alle SMS-Benachrichtigungen ausgeschaltet, darunter auch die Zwei-Faktor-Authentifizierung.

Ein Angreifer braucht daher lediglich die Handy-Nummer des Twitter-Nutzers. Mit dieser kann er eine gefälschte SMS an Twitter versenden und so sämtliche SMS-Benachrichtigungen ausschalten. Die Zwei-Faktor-Authentifizierung ist somit effektiv wertlos.

Sullivan meint gegenüber der dpa: «Ich sehe keinen Zusatznutzen in diesem zusätzlichen Aufwand, wenn Leute das ausschalten können.» Der beste Schutz sei weiterhin ein sicheres Passwort und Wachsamkeit gegenüber Phishing-Attacken, so Sullivan. Er gehe davon aus, dass Twitter seine Zwei-Faktor-Authentifizierung in Zukunft verbessern werde: «Ich bin mir sicher, dass die zweite oder dritte Stufe sehr viel solider sein wird.»

Sean Sullivan hat sich ebenfalls via Twitter mit PCtipp Redakteurin Gaby Salvisberg unterhalten. Die gesamte Konversation ist hier zu finden (Englisch).