Instagram arbeitet an 2-Faktor-Authentifizierung ohne SMS
Instagram zeigt sich als Social Network immer wieder innovativ, es vergeht kaum eine Woche, in der Nutzer nicht eine neue Funktion präsentiert bekommen. Nicht ganz so innovativ ist Instagram aber bei der Absicherung der Accounts selbst. Zwar gibt es eine 2-Faktor-Authentifizierung, diese wurde aber auch erst sehr spät eingeführt und beruht zudem auf die Zusendung eines SMS-Codes. Das gilt heute nicht mehr als das Gelbe vom Ei, da sich Rufnummern über Social Engineering relativ einfach portieren lassen und somit die Accounts abgegriffen werden können.
Muss man sich so vorstellen, dass sich ein Angreifer quasi als jemand anders ausgibt und die Rufnummer einer anderen SIM-Karte zuordnen lässt. Ist dies erledigt, erhält er den 2FA-Code per SMS und kann sich in das fremde Konto einloggen. Instagram arbeitet mittlerweile aber an einer 2-Faktor-Authentifizierung, die sich via Authenticator-App nutzen lässt.
Die Codes kommen dann nicht mehr per SMS und können umgeleitet werden, sondern werden über eine App (z. B. Google Authenticator oder Authy) generiert. Wie man es eben von anderen Diensten auch kennt.
Gegenüber TechCrunch hat Instagram die neue 2-Faktor-Variante bereits bestätigt, wann die Funktion aber für alle verfügbar sein wird, ist offen. Eine 2-Faktor-Authentifizeirung ist heute eigentlich Pflicht, diverse Datenleaks sorgen immer wieder dafür, dass normale Login-Informationen abgegriffen werden. Hier bietet der Einmalcode zum Login einen ebenso einfachen wie effektiven Schutz.
Google Authenticator ist halt auch nicht das Gelbe vom Ei. Wenn das Smartphone weg ist oder man die App löscht, wars das. Ja gibt teilweise noch Backup Codes. Aber die liegen dann auch wieder da, wo man gerade nicht dran denkt (wenn man sie denn überhaupt gesichert hat).
Man bräuchte nur eine Möglichkeit für ein Backup in Googles Authentifikator.
Es gibt genügend Alternativen, die das können.
Einfach auf dem PC eine gleichartige App wie WinAuth laufen lassen, dann hat man auch ein Backup was nicht mit dem Smartphone verloren geht.
Es gibt genügend Alternativen, die das können.
@Tobias: Was wäre Dein Tipp?
Ich verwende Authenticator+
https://play.google.com/store/apps/details?id=com.mufri.authenticatorplus
Alternativen zu Google gibt es in der Tat.
Auf dem Smartphone nutze ich Authy und auf dem PC meinen sowieso vorhandenen Yubikey mit der mitgelieferten Yubico Authenticator Software. KeePass und andere Passwort Manager können die Codes teilweise auch generieren (Stichwort TOTP).
Zum Thema SMS noch eine Anmerkung:
Es gibt auch Angriffe, bei denen man SMS ohne Portierung abfangen kann. Dann bekommt das Opfer nicht einmal mit, dass es angegriffen wurde. Bei Instagramm wäre mir das persönlich noch egal, aber PayPal bietet z.B. auch nur SMS als zweiten Faktor an und da will ich nicht, dass jemand Zugriff bekommt (noch dazu ohne, dass ich es mitbekomme).
Es ist wie so oft eine Risikoabschätzung und bei der möchte ich für PayPal eben weniger Angriffsfläche bieten. Deshalb speichere ich meine TOTP Codes auch nicht im Passwort-Manager, sondern auf Smartphone und Yubikey, welche wiederum die Passwörter ja nicht kennen.