Twitter unterstützt nun auch Anmeldebestätigung via USB-Sicherheitsschlüssel
Die Absicherung von Online-Konten über einen zweiten Faktor ist nicht mehr neu, aber für den Durchschnittsnutzer super unbequem. Entweder muss man auf eine SMS mit einem Code warten oder diesen via App generieren, um Einlass zu diversen Webseiten zu erhalten. Das funktioniert auch beim Social Network Twitter. Die haben nun eine weitere Möglichkeit geschaffen, seinen Account gegen unberechtigten Zugriff zu schützen, nämlich via USB-Sicherheitsschlüssel, zum Beispiel einem YubiKey.
Voraussetzung für die Nutzung ist, dass sich der Nutzer bereits für die Anmeldebestätigung via SMS oder Authenticator-App festgelegt hat, erst dann kann ein USB-Key hinzugefügt werden. Das geht auch relativ einfach vonstatten, Nutzern eines solchen Keys sollte der Vorgang durchaus vertraut vorkommen. Ist die Einrichtung abgeschlossen, kann man die Anmeldebestätigung dann eben auch über den Key ausführen, ohne zusätzliche App oder einen SMS-Code.
Die Vorgehensweise erklärt Twitter auch auf dieser Seite, folgendermaßen vollzieht Ihr die Registrierung des USB-Keys:
So richtest du einen Sicherheitsschlüssel zur Verifizierung auf twitter.com ein:
Du kannst beispielsweise einen USB-Sicherheitsschlüssel, etwa Yubikey, verwenden.
- Klicke im oberen Menü auf dein Profil-Symbol und dann auf Einstellungen und Datenschutz.
- Klicke auf den Tab Account.
- Klicke unter Sicherheit und neben Anmeldebestätigungauf den Button Überprüfe deine Methoden zur Anmeldebestätigung, um zu beginnen.
- Gib dein Passwort ein und klicke auf Bestätigen.
- Klicke in den Optionen auf Einrichten neben Sicherheitsschlüssel.
- Lies die Anleitung und klicke dann auf Start.
- Wenn du aufgefordert wirst, dein Passwort zu verifizieren, gib es ein und klicke auf Verifizieren.
- Daraufhin erscheint ein Popup-Fenster, das dich zur Registrierung deines Schlüssels auffordert, indem du ihn in einen USB-Port an deinem Computer steckst. Drücke nach dem Einstecken den Knopf auf deinem Schlüssel. Bestätige den Schlüssel dann, indem du den Knopf ein weiteres Mal drückst.
Wichtig: Für die Anmeldebestätigung musst du entweder die Option zu SMS-Nachrichten oder mobile Sicherheits-Appaktiviert haben. Nur das Aktivieren der Option Sicherheitsschlüssel reicht nicht.
Gut zu wissen: Verwendet man einen Drittanbieter-Client, wird man durch die Aktivierung des Sicherheitsschlüssels nicht aus der aktuellen Anmeldung geworfen. Erst wenn man sich abmeldet, benötigt man einen Key, bei Drittanbieter-Clients muss man hierfür auf ein temporäres Passwort zurückgreifen.
Das nennt sich U2F-Hardwaretoken!