Wenn die SMS beim Social Networking zu mächtig wird

Risiken der Zwei-Faktor-Authentifizierung bei Twitter

| Autor / Redakteur: Sean Sullivan, F-Secure / Stephan Augsten

Die SMS-Authentifizierung von Twitter bringt Sicherheitsprobleme mit sich.
Die SMS-Authentifizierung von Twitter bringt Sicherheitsprobleme mit sich. (Bild: Yuri Bizgaimer - Fotolia.com)

Mit der kürzlich erfolgten Einführung der Zwei-Faktor-Authentifizierung wollte Twitter die Sicherheit für den Zugang zu den Accounts verbessern. Da das Sicherheitssystem über SMS läuft, birgt es aber Sicherheitsrisiken.

Sean Sullivan: „Twitters SMS-basierte Authentifizierung könnte mehr Schaden als Nutzen bringen.“
Sean Sullivan: „Twitters SMS-basierte Authentifizierung könnte mehr Schaden als Nutzen bringen.“ (Bild: F-Secure)

Über die Sicherheit der Kurznachrichten-Plattform Twitter wird fortlaufend diskutiert. Das Interesse der Öffentlichkeit ist spätestens geweckt, seit der Twitter-Account von Associated Press (AP) gehackt wurde. Die Hacker posteten eine Falschmeldung über ein Attentat auf Barack Obama, was unter anderem zu sofortigen Einbrüchen des Dollarkurses führte.

Twitter treibt seither die Zwei-Faktor-Authentifizierung voran. Ist dies nun eine gute Nachricht? Nun, das hängt davon ab, denn die Umsetzung basiert auf SMS. Twitter nutzt den Kurznachrichtendienst jedoch auch als eine Möglichkeit zum Senden und Empfangen von Tweets.

SMS werden somit für einen doppelten Zweck eingesetzt: für die soziale Kommunikation und für die Sicherheit. Es ist möglich, eingehende Tweets per SMS „stoppen“ – und dies ist sinnvoll, weil die Leute manchmal das Roaming unerwartet beenden.

Es muss also zwingend einen Weg geben, um die SMS-Funktion zu stoppen. Sonst könnt dies eine teure Rechnung verursachen. Leider könnte ein Angreifer SMS Spoofing nutzen, um die 2FA zu deaktivieren. Dazu bräuchte er nur die Zieltelefonnummer. Twitters SMS-basierte 2FA könnte also mehr Schaden als Nutzen bringen.

SMS-Verifizierungscode birgt mehrere Probleme

Glücklicherweise sind die meisten Twitter-Nutzer nicht die primären Ziele, dafür aber Accounts wie @AP. Hier liegt ein weiterer Knackpunkt: Wenn mehrere Anwender den gleichen Account nutzen, werden sie auch mehrere Telefonnummern hinterlegen. Abgesehen davon, dass ungewollt empfangene SMS früher oder später nerven, wird auch die potenzielle Angriffsfläche größer.

In einem Blogbeitrag von Twitter heißt es: „[Die Zwei-Faktor-Authentifizierung] hat für uns den Weg geebnet, um zukünftig eine verbesserte Account-Sicherheit zu gewährleisten.“ In der Hoffnung, dass dies wirklich so ist, hat F-Secure einige Tests durchgeführt.

In der Bildergalerie (Klick auf das Aufmacherbild) erläutern wir die SMS-Problematik im Detail. Da die Zwei-Faktor-Authentifizierung in Deutschland noch nicht freigeschaltet ist, hat F-Secure die Schritte auf der US-Seite nachvollzogen. Die Originalmeldung findet sich im Security Blog von F-Secure.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 39788870 / Authentifizierung)