Twitter streicht kostenlose Zwei-Faktor-Authentifizierung per SMS

Passwort

Nutzer der Anmeldung in zwei Schritten müssen bis 19. März auf eine andere Methode umsteigen. Twitter erlaubt ihnen weiterhin die Nutzung eines Hardware-Schlüssels oder einer App zu Generierung von Einmalkennwörtern.

Twitter hat Ende vergangener Woche die Möglichkeiten eingeschränkt, ein Twitter-Konto vor Hackerangriffen zu schützen. Die Anmeldung in zwei Schritten über einen an ein Mobilgerät per SMS übermittelten Code erlaubt das Unternehmen künftig nur noch Nutzern, die ein Abonnement für Twitter Blue abgeschlossen haben.

Die Änderung tritt laut Twitter am 20. März in Kraft. Bis einschließlich 19. März müssen Nutzer, die die Zwei-Faktor-Authentifizierung verwenden, eine andere Bestätigungsmethode als SMS konfigurieren. Andernfalls laufen Sie laut Twitter Gefahr, den Zugriff auf ihre Konto zu verlieren. Zudem ist es ab sofort nicht mehr möglich, ohne Twitter-Blue-Abonnement 2FA per SMS einzurichten.

Twitter stuft 2FA per SMS als unsicher ein

“Obwohl die 2FA-Methode in der Vergangenheit sehr beliebt war, haben wir leider gesehen, dass die 2FA-Methode auf der Basis von Telefonnummern von böswilligen Akteuren verwendet – und missbraucht – wurde. Daher werden wir ab heute nicht mehr zulassen, dass sich Konten für die SMS-Methode der 2FA anmelden, es sei denn, sie sind Twitter Blue-Abonnenten”, teilte Twitter mit.

Unklar ist, warum Twitter trotz des unterstellten Sicherheitsrisikos die Zwei-Faktor-Authentifizierung per SMS weiterhin für zahlende Kunden anbietet – ein Abonnement an sich sorgt eigentlich nicht für mehr Sicherheit. Zumal auch die beiden anderen noch verfügbaren Methoden nicht als unfehlbar eingestuft werden können.

Nicht zahlende Twitter-Nutzer können sich weiterhin in zwei Schritten bei Twitter anmelden. Als zweiten Faktor lässt das Unternehmen Hardware-Sicherheitsschlüssel wie Google Titan zu – oder eine App zur Generierung von Einmal-Kennwörtern wie Microsoft Authenticator oder Google Authenticator. Beide Methoden sind zwar auch geeignet, ein Konto im Fall eines kompromittierten Passworts zu schützen, sie sind allerdings mit einem höheren Aufwand verbunden: Nutzer müssen einen Hardwareschlüssel kaufen und mitführen oder eine zusätzliche App installieren und einrichten.

“Ja, Authentifizierungs-Apps und Hardwareschlüssel sind ein sichereres Mittel, um Ihr Konto zu schützen als SMS-basierte 2FA aber Twitter tut dies in einem verzweifelten Versuch, Geld zu sparen, nicht um die Sicherheit seiner Nutzer zu verbessern”, kommentiert der Sicherheitsexperte Graham Cluley. “Viele Nutzer werden schlechter geschützt sein als zuvor.”