Twitter: 2-Faktor-Authentifizierung leicht angreifbar

26. Mai 2013 Kategorie: Backup & Security, Internet, geschrieben von: Sascha Ostermaier

Erst vor ein paar Tagen wurde Twitters 2-Faktor-Authentifizierung eingeführt, schon stellt sie ein Sicherheitsrisiko dar. Wie die Süddeutsche Zeitung berichtet, ist es gelungen, den Sicherheitsmechanismus auszuhebeln. Mit einfachen Methoden, Schuld sei die Übermittlung des Codes via SMS.

Twitter
Zwei verschiedene Möglichkeiten wurden entdeckt, um Twitter-Accounts trotz der vermeintlichen Sicherheit zu übernehmen. Zum einen lässt sich die 2-Faktor-Authentifizierung einfach per SMS abschalten, es genügt also die Mobilnummer des gewünschten Twitter-Nutzers zu kennen. So beschreibt es Sean Sullivan von F-Secure.


Eine andere Methode zeigt Josh Alexander von der Sicherheitsfirma Toopher. In klassischer Phishing-Manier werden die Opfer auf eine falsche Login-Seite gelockt. Dort geben sie zuerst die normalen Login-Daten ein und werden im nächsten Schritt dazu aufgefordert, den erhaltenen Sicherheitscode einzugeben. Der Angreifer hat dann sofort die Kontrolle über den Twitter-Account. Das genaue Vorgehen, könnt Ihr im eingebundenen Video sehen.

Natürlich sollte man nicht vergessen, dass beide Methoden das Man-in-the-middle-Prinzip ausnutzen. Und dafür ist die 2-Faktor-Authentifizierung auch nicht als Schutz gedacht. Sie ist lediglich ein zusätzlicher Schutz während eines Logins. Ein Passwort alleine genügt einem Angreifer nicht mehr. Grundsätzlich gilt, dass man immer aufpassen sollte, ob man sich tatsächlich auf der richtigen Login-Seite befindet. Dann kann so schnell auch nichts schief gehen, egal ob der zusätzliche Login-Code nun von einer App generiert wird oder per SMS auf dem Handy landet.

»

Quelle: Süddeutsche.de |
Gefällt dir der Artikel?
Dann teile ihn mit deinen Freunden.
Nutze dafür einfach unsere Links:
Über den Autor: Sascha Ostermaier

Freund von allem was mit Technik zu tun hat und waschechter Appaholiker. Android oder iOS? Egal, Hauptsache es funktioniert. Außerdem zu finden bei Twitter und Google+.

Sascha hat bereits 1820 Artikel geschrieben.


7 Kommentare

Leif 26. Mai 2013 um 14:39 Uhr

Wie schnell läuft denn der Code via SMS ab? Ich vermute mal dass dort die Zeitspanne dann auch noch etwas größer ist als die 60(?) Sekunden bei den Apps.

jay4 26. Mai 2013 um 14:45 Uhr

was ne hackfresse im video. hat twitter jemals behauptet, dass 2-faktor-authefizierung vor dummheit schützt?

laderio 26. Mai 2013 um 15:01 Uhr

Inhaltlich leider falsch.
Als Sicherheitsrisiko würde ich es nicht bezeichnen, sondern lediglich der Zugewinn an Sicherheit durch das Verfahren bleibt aus. Kann man noch drüber streiten.
Aber Schuld ist nicht die Übermittlung des Codes via SMS, sondern dass mit einer SMS die SMS Zustellung deaktiviert werden kann und damit das Verfahren deaktiviert.
Zum anderen ist dieser Angriff kein Man-in-the-Middle Angriff.

Et Dit 26. Mai 2013 um 15:28 Uhr

Dabei wird außer Acht gelassen, dass ich mindestens ein Gerät als “sicher” markiere. Wenn ich also von diesem versuche mich einzuloggen, müsste ich misstrauisch werden, weil der Code eigentlich nicht abgefragt werden sollte. Falls ich doch darauf reinfalle, kann ich immer von dem als sicher markierten Gerät auf den Account zugreifen, da ich ja nach dem “Login” auf der Pishing-Seite merke, dass ich nicht eingeloggt bin…

Scharlotte Schmidt 26. Mai 2013 um 16:19 Uhr

@jay4: Dümmer und intoleranter kann man einen Kommentar nicht beginnen…

knodderdachs 26. Mai 2013 um 18:37 Uhr

@jay4 Der Mann im Video ähnelt Dir doch ein wenig, oder nicht?

thelegend66943 27. Mai 2013 um 09:16 Uhr

Was labert der im Video? Der redet soo herablassend und am Ende zeigt er nur ne Phishing Atacke? idiot


Deine Meinung ist uns wichtig...

Kommentar verfassen

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich eine Zusammenstellung.