Twitter: 2-Faktor-Authentifizierung leicht angreifbar

Erst vor ein paar Tagen wurde Twitters 2-Faktor-Authentifizierung eingeführt, schon stellt sie ein Sicherheitsrisiko dar. Wie die Süddeutsche Zeitung berichtet, ist es gelungen, den Sicherheitsmechanismus auszuhebeln. Mit einfachen Methoden, Schuld sei die Übermittlung des Codes via SMS.

Twitter
Zwei verschiedene Möglichkeiten wurden entdeckt, um Twitter-Accounts trotz der vermeintlichen Sicherheit zu übernehmen. Zum einen lässt sich die 2-Faktor-Authentifizierung einfach per SMS abschalten, es genügt also die Mobilnummer des gewünschten Twitter-Nutzers zu kennen. So beschreibt es Sean Sullivan von F-Secure.

[werbung] Eine andere Methode zeigt Josh Alexander von der Sicherheitsfirma Toopher. In klassischer Phishing-Manier werden die Opfer auf eine falsche Login-Seite gelockt. Dort geben sie zuerst die normalen Login-Daten ein und werden im nächsten Schritt dazu aufgefordert, den erhaltenen Sicherheitscode einzugeben. Der Angreifer hat dann sofort die Kontrolle über den Twitter-Account. Das genaue Vorgehen, könnt Ihr im eingebundenen Video sehen.

Natürlich sollte man nicht vergessen, dass beide Methoden das Man-in-the-middle-Prinzip ausnutzen. Und dafür ist die 2-Faktor-Authentifizierung auch nicht als Schutz gedacht. Sie ist lediglich ein zusätzlicher Schutz während eines Logins. Ein Passwort alleine genügt einem Angreifer nicht mehr. Grundsätzlich gilt, dass man immer aufpassen sollte, ob man sich tatsächlich auf der richtigen Login-Seite befindet. Dann kann so schnell auch nichts schief gehen, egal ob der zusätzliche Login-Code nun von einer App generiert wird oder per SMS auf dem Handy landet.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

*Mitglied der Redaktion 2013 bis 2019*

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

7 Kommentare

  1. Wie schnell läuft denn der Code via SMS ab? Ich vermute mal dass dort die Zeitspanne dann auch noch etwas größer ist als die 60(?) Sekunden bei den Apps.

  2. was ne hackfresse im video. hat twitter jemals behauptet, dass 2-faktor-authefizierung vor dummheit schützt?

  3. Inhaltlich leider falsch.
    Als Sicherheitsrisiko würde ich es nicht bezeichnen, sondern lediglich der Zugewinn an Sicherheit durch das Verfahren bleibt aus. Kann man noch drüber streiten.
    Aber Schuld ist nicht die Übermittlung des Codes via SMS, sondern dass mit einer SMS die SMS Zustellung deaktiviert werden kann und damit das Verfahren deaktiviert.
    Zum anderen ist dieser Angriff kein Man-in-the-Middle Angriff.

  4. Dabei wird außer Acht gelassen, dass ich mindestens ein Gerät als „sicher“ markiere. Wenn ich also von diesem versuche mich einzuloggen, müsste ich misstrauisch werden, weil der Code eigentlich nicht abgefragt werden sollte. Falls ich doch darauf reinfalle, kann ich immer von dem als sicher markierten Gerät auf den Account zugreifen, da ich ja nach dem „Login“ auf der Pishing-Seite merke, dass ich nicht eingeloggt bin…

  5. @jay4: Dümmer und intoleranter kann man einen Kommentar nicht beginnen…

  6. knodderdachs says:

    @jay4 Der Mann im Video ähnelt Dir doch ein wenig, oder nicht?

  7. Was labert der im Video? Der redet soo herablassend und am Ende zeigt er nur ne Phishing Atacke? idiot

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor. In jedes Thema Politik einbringen ist nicht erwünscht.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.