Twitter: 2-Faktor-Authentifizierung leicht angreifbar
Erst vor ein paar Tagen wurde Twitters 2-Faktor-Authentifizierung eingeführt, schon stellt sie ein Sicherheitsrisiko dar. Wie die Süddeutsche Zeitung berichtet, ist es gelungen, den Sicherheitsmechanismus auszuhebeln. Mit einfachen Methoden, Schuld sei die Übermittlung des Codes via SMS.
Zwei verschiedene Möglichkeiten wurden entdeckt, um Twitter-Accounts trotz der vermeintlichen Sicherheit zu übernehmen. Zum einen lässt sich die 2-Faktor-Authentifizierung einfach per SMS abschalten, es genügt also die Mobilnummer des gewünschten Twitter-Nutzers zu kennen. So beschreibt es Sean Sullivan von F-Secure.
[werbung] Eine andere Methode zeigt Josh Alexander von der Sicherheitsfirma Toopher. In klassischer Phishing-Manier werden die Opfer auf eine falsche Login-Seite gelockt. Dort geben sie zuerst die normalen Login-Daten ein und werden im nächsten Schritt dazu aufgefordert, den erhaltenen Sicherheitscode einzugeben. Der Angreifer hat dann sofort die Kontrolle über den Twitter-Account. Das genaue Vorgehen, könnt Ihr im eingebundenen Video sehen.
Natürlich sollte man nicht vergessen, dass beide Methoden das Man-in-the-middle-Prinzip ausnutzen. Und dafür ist die 2-Faktor-Authentifizierung auch nicht als Schutz gedacht. Sie ist lediglich ein zusätzlicher Schutz während eines Logins. Ein Passwort alleine genügt einem Angreifer nicht mehr. Grundsätzlich gilt, dass man immer aufpassen sollte, ob man sich tatsächlich auf der richtigen Login-Seite befindet. Dann kann so schnell auch nichts schief gehen, egal ob der zusätzliche Login-Code nun von einer App generiert wird oder per SMS auf dem Handy landet.
Wird geladen ...
Wie schnell läuft denn der Code via SMS ab? Ich vermute mal dass dort die Zeitspanne dann auch noch etwas größer ist als die 60(?) Sekunden bei den Apps.
was ne hackfresse im video. hat twitter jemals behauptet, dass 2-faktor-authefizierung vor dummheit schützt?
Inhaltlich leider falsch.
Als Sicherheitsrisiko würde ich es nicht bezeichnen, sondern lediglich der Zugewinn an Sicherheit durch das Verfahren bleibt aus. Kann man noch drüber streiten.
Aber Schuld ist nicht die Übermittlung des Codes via SMS, sondern dass mit einer SMS die SMS Zustellung deaktiviert werden kann und damit das Verfahren deaktiviert.
Zum anderen ist dieser Angriff kein Man-in-the-Middle Angriff.
Dabei wird außer Acht gelassen, dass ich mindestens ein Gerät als „sicher“ markiere. Wenn ich also von diesem versuche mich einzuloggen, müsste ich misstrauisch werden, weil der Code eigentlich nicht abgefragt werden sollte. Falls ich doch darauf reinfalle, kann ich immer von dem als sicher markierten Gerät auf den Account zugreifen, da ich ja nach dem „Login“ auf der Pishing-Seite merke, dass ich nicht eingeloggt bin…
@jay4: Dümmer und intoleranter kann man einen Kommentar nicht beginnen…
@jay4 Der Mann im Video ähnelt Dir doch ein wenig, oder nicht?
Was labert der im Video? Der redet soo herablassend und am Ende zeigt er nur ne Phishing Atacke? idiot