Instagram arbeitet an 2-Faktor-Authentifizierung ohne SMS

Instagram zeigt sich als Social Network immer wieder innovativ, es vergeht kaum eine Woche, in der Nutzer nicht eine neue Funktion präsentiert bekommen. Nicht ganz so innovativ ist Instagram aber bei der Absicherung der Accounts selbst. Zwar gibt es eine 2-Faktor-Authentifizierung, diese wurde aber auch erst sehr spät eingeführt und beruht zudem auf die Zusendung eines SMS-Codes. Das gilt heute nicht mehr als das Gelbe vom Ei, da sich Rufnummern über Social Engineering relativ einfach portieren lassen und somit die Accounts abgegriffen werden können.

Muss man sich so vorstellen, dass sich ein Angreifer quasi als jemand anders ausgibt und die Rufnummer einer anderen SIM-Karte zuordnen lässt. Ist dies erledigt, erhält er den 2FA-Code per SMS und kann sich in das fremde Konto einloggen. Instagram arbeitet mittlerweile aber an einer 2-Faktor-Authentifizierung, die sich via Authenticator-App nutzen lässt.

Die Codes kommen dann nicht mehr per SMS und können umgeleitet werden, sondern werden über eine App (z. B. Google Authenticator oder Authy) generiert. Wie man es eben von anderen Diensten auch kennt.

Gegenüber TechCrunch hat Instagram die neue 2-Faktor-Variante bereits bestätigt, wann die Funktion aber für alle verfügbar sein wird, ist offen. Eine 2-Faktor-Authentifizeirung ist heute eigentlich Pflicht, diverse Datenleaks sorgen immer wieder dafür, dass normale Login-Informationen abgegriffen werden. Hier bietet der Einmalcode zum Login einen ebenso einfachen wie effektiven Schutz.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Sascha Ostermaier

Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

8 Kommentare

  1. Google Authenticator ist halt auch nicht das Gelbe vom Ei. Wenn das Smartphone weg ist oder man die App löscht, wars das. Ja gibt teilweise noch Backup Codes. Aber die liegen dann auch wieder da, wo man gerade nicht dran denkt (wenn man sie denn überhaupt gesichert hat).

  2. Es gibt genügend Alternativen, die das können.

  3. @Tobias: Was wäre Dein Tipp?

  4. Alternativen zu Google gibt es in der Tat.
    Auf dem Smartphone nutze ich Authy und auf dem PC meinen sowieso vorhandenen Yubikey mit der mitgelieferten Yubico Authenticator Software. KeePass und andere Passwort Manager können die Codes teilweise auch generieren (Stichwort TOTP).

    Zum Thema SMS noch eine Anmerkung:
    Es gibt auch Angriffe, bei denen man SMS ohne Portierung abfangen kann. Dann bekommt das Opfer nicht einmal mit, dass es angegriffen wurde. Bei Instagramm wäre mir das persönlich noch egal, aber PayPal bietet z.B. auch nur SMS als zweiten Faktor an und da will ich nicht, dass jemand Zugriff bekommt (noch dazu ohne, dass ich es mitbekomme).

    Es ist wie so oft eine Risikoabschätzung und bei der möchte ich für PayPal eben weniger Angriffsfläche bieten. Deshalb speichere ich meine TOTP Codes auch nicht im Passwort-Manager, sondern auf Smartphone und Yubikey, welche wiederum die Passwörter ja nicht kennen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.
Wir benutzen Cookies um die Nutzerfreundlichkeit der Webseite zu verbessern. Durch Deinen Besuch stimmst Du dem zu.