Zwei-Faktor-Anmeldung ausgeschaltet

Bei der neuen Zwei-Faktor-Anmeldung wird nach Eingabe des Passworts eine SMS mit einer Kennzahl an das Handy des Nutzers verschickt. Dieses System lässt sich laut dem Sicherheitsexperten Sean Sullivan vom Virenschutzanbieter F-Secure jedoch leicht ausschalten. Grund dafür ist ein Twitter-SMS-Feature. Ein Twitter-User kann sich Tweets per SMS zustellen lassen. Dieser Service kann per SMS ein- und ausgeschaltet werden. Wird der Service per SMS abbestellt, sind ab sofort alle SMS-Benachrichtigungen ausgeschaltet, darunter auch die Zwei-Faktor-Authentifizierung.

Ein Angreifer braucht daher lediglich die Handy-Nummer des Twitter-Nutzers. Mit dieser kann er eine gefälschte SMS an Twitter versenden und so sämtliche SMS-Benachrichtigungen ausschalten. Die Zwei-Faktor-Authentifizierung ist somit effektiv wertlos.

Sullivan meint gegenüber der DPA: «Ich sehe keinen Zusatznutzen in diesem zusätzlichen Aufwand, wenn Leute das ausschalten können.» Der beste Schutz sei weiterhin ein sicheres Passwort und Wachsamkeit gegenüber Phishing-Attacken, so Sullivan. Er gehe davon aus, dass Twitter seine Zwei-Faktor-Authentifizierung in Zukunft verbessern werde: «Ich bin mir sicher, dass die zweite oder dritte Stufe sehr viel solider sein wird.»