Für die 2-Faktor-Authentifizierung von Twitter ist Ihre Telefonnummer nicht mehr erforderlich
In dem Bestreben, Menschen ein stressfreieres Erlebnis zu bieten, nimmt Twitter Änderungen an seinem Anmeldesystem vor. Das Sicherheitsteam der Microblogging-Plattform kündigte gestern in einem Tweet an, dass Benutzer von nun an leicht unterschiedliche Optionen für die Zwei-Faktor-Authentifizierung (2FA) haben werden. Hier ist der fragliche Tweet:
Wir machen es auch einfacher, Ihr Konto mit der Zwei-Faktor-Authentifizierung zu sichern. Ab heute können Sie sich bei 2FA ohne Telefonnummer anmelden. https://t.co/AxVB4QWFA1
- Twitter-Sicherheit (@ TwitterSafety) 21. November 2019
Viele von Ihnen würden sagen, dass eine wichtige Nachricht nicht in weniger als 280 Zeichen angekündigt werden kann. Einige mögen argumentieren, dass dieser bestimmte Tweet nicht sehr aufregend ist, auch wenn es möglich ist. Wenn Sie jedoch tiefer graben, werden Sie feststellen, dass die Ankündigung von Bedeutung ist.
Das 2FA-System von Twitter kann jetzt ohne Ihre Telefonnummer verwendet werden
Das 2FA-System von Twitter bietet drei Optionen für den zweiten Faktor: Sie können sich ein Einmalpasswort (OTP) per SMS zusenden lassen. Sie können eine mobile Authentifizierungsanwendung verwenden. oder Sie können ein Hardware-Token verwenden.
Bisher war es für Twitter jedoch erforderlich, dass Ihre Telefonnummer mit Ihrem Konto verbunden war, um die Zwei-Faktor-Authentifizierung zu ermöglichen, unabhängig davon, ob Sie Textnachrichten verwenden wollten oder nicht. Dies war kein Designfehler, und es war auch kein Plan, Millionen von Telefonnummern zu sammeln und sie an den niedrigsten Bieter weiterzuverkaufen. Es war eigentlich ein Sicherheitsmerkmal.
Ihre Telefonnummer hat sich als ausfallsicher erwiesen, falls Sie Ihr Token verloren haben oder nicht auf die mobile Authentifizierungsanwendung zugreifen konnten. Es sollte sicherstellen, dass Sie in jedem Fall ohne großen Aufwand auf Ihr Konto zugreifen können. Jetzt müssen Sie es nicht mehr bereitstellen, und diejenigen von Ihnen, die es bereits hinzugefügt haben, können es löschen, ohne 2FA zu deaktivieren. Was ist die Begründung dafür?
Twitter weiß, wie schlimm die falschen Dinge sein können, wenn Ihre Telefonnummer kompromittiert wird
Twitter entfernt das fehlerhafte SMS-basierte 2FA nicht. Sie können Ihre Telefonnummer weiterhin mit Ihrem Konto verknüpfen und Ihren Twitter-Einmalcode in einer Textnachricht erhalten. Stattdessen ermöglicht das soziale Netzwerk Benutzern, die ihre Telefonnummer nicht teilen möchten, die Zwei-Faktor-Authentifizierung. Und einige Leute, darunter niemand anderes als der CEO von Twitter, haben einen guten Grund, ihre Telefonnummern nicht weiterzugeben.
Bereits im September hatte Jack Dorsey seinen Twitter-Account gekapert. Die Kriminellen haben sein Passwort jedoch nicht erraten und die Systeme von Twitter nicht infiltriert. Stattdessen wurde ein sogenannter SIM-Swap-Angriff gestartet.
Im Wesentlichen haben sie Dorseys Telefonnummer entführt und den alten Tweet-via-SMS-Dienst von Twitter genutzt, um anstößige Inhalte zu verbreiten. Obwohl die Option zum Twittern per SMS fast sofort deaktiviert wurde, warnte der Angriff alle bei Twitter vor den Gefahren entführter Telefonnummern, und jetzt haben die Menschen die Möglichkeit, sich selbst zu schützen.
Um fair zu sein, sind normale Benutzer, die nicht den Einfluss und die Anzahl der Follower von Leuten wie Jack Dorsey haben, nicht so wahrscheinlich Opfer eines SIM-Tausch-Angriffs. Es gibt jedoch noch andere Risiken, wenn die Kontaktdaten angezeigt werden. Wenn Sie also Ihre Telefonnummer bereits zu Ihrem Konto hinzugefügt haben, können Sie sie löschen. Gehen Sie dazu zu Einstellungen und Datenschutz > Konto > Telefon > Telefonnummer löschen.
Was auch immer Sie tun, stellen Sie sicher, dass 2FA eingeschaltet ist. Gehen Sie dazu zu Einstellungen und Datenschutz > Konto > Sicherheit > Zwei-Faktor-Authentifizierung.