Instagram arbeitet an 2-Faktor-Authentifizierung ohne SMS

Instagram zeigt sich als Social Network immer wieder innovativ, es vergeht kaum eine Woche, in der Nutzer nicht eine neue Funktion präsentiert bekommen. Nicht ganz so innovativ ist Instagram aber bei der Absicherung der Accounts selbst. Zwar gibt es eine 2-Faktor-Authentifizierung, diese wurde aber auch erst sehr spät eingeführt und beruht zudem auf die Zusendung eines SMS-Codes. Das gilt heute nicht mehr als das Gelbe vom Ei, da sich Rufnummern über Social Engineering relativ einfach portieren lassen und somit die Accounts abgegriffen werden können.

Muss man sich so vorstellen, dass sich ein Angreifer quasi als jemand anders ausgibt und die Rufnummer einer anderen SIM-Karte zuordnen lässt. Ist dies erledigt, erhält er den 2FA-Code per SMS und kann sich in das fremde Konto einloggen. Instagram arbeitet mittlerweile aber an einer 2-Faktor-Authentifizierung, die sich via Authenticator-App nutzen lässt.

Die Codes kommen dann nicht mehr per SMS und können umgeleitet werden, sondern werden über eine App (z. B. Google Authenticator oder Authy) generiert. Wie man es eben von anderen Diensten auch kennt.

Gegenüber TechCrunch hat Instagram die neue 2-Faktor-Variante bereits bestätigt, wann die Funktion aber für alle verfügbar sein wird, ist offen. Eine 2-Faktor-Authentifizeirung ist heute eigentlich Pflicht, diverse Datenleaks sorgen immer wieder dafür, dass normale Login-Informationen abgegriffen werden. Hier bietet der Einmalcode zum Login einen ebenso einfachen wie effektiven Schutz.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

*Mitglied der Redaktion 2013 bis 2019*

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

8 Kommentare

  1. Google Authenticator ist halt auch nicht das Gelbe vom Ei. Wenn das Smartphone weg ist oder man die App löscht, wars das. Ja gibt teilweise noch Backup Codes. Aber die liegen dann auch wieder da, wo man gerade nicht dran denkt (wenn man sie denn überhaupt gesichert hat).

  2. Es gibt genügend Alternativen, die das können.

  3. @Tobias: Was wäre Dein Tipp?

  4. Alternativen zu Google gibt es in der Tat.
    Auf dem Smartphone nutze ich Authy und auf dem PC meinen sowieso vorhandenen Yubikey mit der mitgelieferten Yubico Authenticator Software. KeePass und andere Passwort Manager können die Codes teilweise auch generieren (Stichwort TOTP).

    Zum Thema SMS noch eine Anmerkung:
    Es gibt auch Angriffe, bei denen man SMS ohne Portierung abfangen kann. Dann bekommt das Opfer nicht einmal mit, dass es angegriffen wurde. Bei Instagramm wäre mir das persönlich noch egal, aber PayPal bietet z.B. auch nur SMS als zweiten Faktor an und da will ich nicht, dass jemand Zugriff bekommt (noch dazu ohne, dass ich es mitbekomme).

    Es ist wie so oft eine Risikoabschätzung und bei der möchte ich für PayPal eben weniger Angriffsfläche bieten. Deshalb speichere ich meine TOTP Codes auch nicht im Passwort-Manager, sondern auf Smartphone und Yubikey, welche wiederum die Passwörter ja nicht kennen.

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.