Twitter soll intern Zwei-Faktor-Authentifizierung testen
von caschy | 5 Kommentare
Twitter gerät in schöner Regelmäßigkeit in die Schlagzeilen. Warum? Sicherlich nicht nur aus eigenem Verschulden, sondern aufgrund gehackter Accounts. So wurde gestern noch einmal eben schnell der Account der Associated Press mit knapp 2 Millionen Followern gekapert. Die erste Tat des Tages war dann das Absetzen eines Tweets, der zwei Bombenexplosionen im Weißen Haus nebst einer Verletzung des Präsidenten Obama verkündete. Ich behaupte einmal: mit der sicheren Zwei-Faktor-Authentifizierung, wie sie Google, Dropbox, LastPass, Microsoft und Facebook anbietet, wäre das nicht so schnell passiert. Twitter suchte bereits im Februar 2013 nach einer Attacke auf die Server nach einem Spezialisten, der diese Sicherheitslösung realisiert. Bei der Zwei-Faktor-Authentifizierung handelt es sich um ein Login-Verfahren, bei dem neben dem Passwort noch ein Zahlencode abgefragt wird.
Dieser wird von einer App auf dem Smartphone generiert und ist nur für eine bestimmte Anzahl von Sekunden gültig. Es können sich also nur Nutzer einloggen, die in Besitz des Passwortes sind und Zugriff auf die Zahl der Authentifizierungs-App haben. Da immer mal gefragt wird, was passiert, wenn das Smartphone nicht dabei ist oder gestohlen wird: für solche Fälle werden vom jeweiligen Dienst bei der Einrichtung der 2-Faktor-Authentifizierung immer ausdruckbare Notfall-Codes generiert, die in einem solchen Falle Zugriff auf das Konto bieten. Wired berichtet gerade, dass Twitter diese Zwei-Faktor-Authentifizierung intern bereits testet. Wann die Sicherheitslösung allerdings ausgerollt wird, ist unklar. Fest dürfte stehen, dass sie bald kommen muss. Übrigens: Evernote soll die Zwei-Faktor-Authentifizierung ebenfalls im Mai oder Juni bekommen.
Wird geladen ...
andere dienste so wie zum beispiel bei blizzard haben für den notfall ein service desk, der sofern man sich dort meldet, dann nach einer ausweißkopie erkundigt die man einscannen, faxen oder per post einschicken muss. und dann wird der account freigeschaltet.
facebook verlangt dass man eine sms nummer hinterlegt, die muss dann noch gültig sein. hat man eine sms nummer angegeben und anschließend den provider gewechselt aber vergessen bei facebook die nummer zu aktualisieren, muss man auch hier auf den service desk hoffen.
diese 2faktorauthentifizierung bringt nur nachteile und bringt keinen mehrwert an sicherheit. klaut mir jemand mein smartohone auf dem ich so ein dongleapp am laufen habe, kann er meinen account stehlen. ich kann in diesemfall nicht einmal meinen account, bei verlusst meines smartphones sperren lassen um zuverhindern, dass der smartphone dieb meinen account klaut.
mal wieder nur ein weiterer beweis, dass firmen nicht mehr für useraccounts verantwortlich seien wollen. und leider sind es oft die dummen führungskräfte die über sicherheitsfunktionen und techniken entscheiden. und die kappieren oft gar nicht was sie entscheiden.
mozillas persona ist ein prima beispiel wie man sicherheit schaffen kann, ohne dem user mit bullshit wie 2faktorauthentifizierung oder sicherheitsfragen den zugriff auf den eigenen account zu verwehren.
Sry caschy aber ich muss dir widersprechen. Nicht jeder Anbieter gibt ausdruckbare Notfall Codes raus. Z. B. mt.gox, die größte handelsplattform für Bitcoin bietet das nicht an. Einer der Gründe weshalb ich mir einen yubikey neo zugelegt habe. Die smartphones mit ihren riesendisplays gehen einfach zu schnell kaputt. Ein kleiner USB token ist da schon stabiler.
Auf dem yubikey speichere ich dabei z. B. den seed für die mt.gox softwareauthentifikation. Wird der Code angefordert starte ich die yubikey app und halte den yubikey an mein Handy (nfc) die App zeigt mir dann den jeweiligen einmalcode an. Der yubikey hat zwei Slots und auf dem anderen hab ich den seed für Websites die Yubikeys direkt unterstützen. Z. B. Lastpass oder wordpress mit plugin.
@Sascha Die oben genannten machen es, oder sie bieten Alternativen wie Mail, SMS oder Sicherheitsfragen an. Vielleicht ist das Wort „immer“ unpassend.
Hoffentlich basteln die nicht ne eigene App dafür sondern nehmen entweder den Authenticator von Google oder ihre eigene App.
Zwei-Faktor-Authentifizierung wird viel zu unkritisch gehypt. Klar, die Vorteile liegen auf der Hand. Aber wer spricht mal über die Nachteile?
1. Wer kein Smartphone hat, wird von immer mehr Diensten praktisch ausgeschlossen.
2. Per Telefonnummer lässt sich (zumindest in Deutschland), jeder Account einer Person zuordnen. Das mag bei bestimmten Diensten sinnvoll sein, bei den meisten aber nicht. So wird Anonymität weiter ausgehöhlt.
3. Wer vernünftig mit Passwörtern umgeht, für den dürfte die Wahrscheinlichkeit eines Smartphone-Verlusts um ein Vielfaches höher liegen als die eines Passwort-Hacks.
Freuen können v.a. Smartphone-Hersteller, Mobilfunk-Anbieter, Social Networks und Strafverfolgungsbehörden – die jede Meinungsäußerung einer Person zuordnen können, ganz ohne Vorratsdatenspeicherung. Wegen welchem Sch*ß heutzutage Durchsuchungen genehmigt werden, zeigen gerade wieder zwei aktuelle Fälle: http://tinyurl.com/d6abeeb , http://tinyurl.com/bn4hjdo
Und bevor jetzt gleich wieder gemeckert wird:
1. Nein, ich habe nichts zu verbergen. Dass ich nichts zu verbergen habe, geht aber keinen was an. 😉
2. Nein, ich habe auch keine bessere Idee. Muss man aber auch nicht, um die Nachteile einer anderen sehen zu können.