Anzeige

Die Macken von Twitters Sicherheitslogin

Nachdem wiederholt wichtige Twitter-Accounts von Hackern gekapert wurden, hat Twitter in dieser Woche ein neues, zweistufiges Login-Verfahren vorgestellt, dass Nutzern mehr Sicherheit verschaffen soll. Das Verfahren kennen viele bereits vom Online-Banking. Doch die Probleme löst der Dienst damit nur zum Teil. In Deutschland ist der Service zudem nicht ohne weiteres verfügbar. Und dann meldet sich auch noch Kim Dotcom und beklagt Patentbruch. MEEDIA beantwortet die wichtigsten Fragen.

Anzeige

Wie funktioniert der neue Sicherheits-Login?
Um das neue Zwei-Stufen-Login zu nutzen, muss der User dieses in seinen Einstellungen aktivieren. Zuvor ist nötig, dass eine Mobil-Nummer zum Account hinzugefügt ist, was in Deutschland jedoch mit Problemen verbunden ist (siehe nächste Frage). Ist das Sicherheits-Login aktiviert, bekommt der Nutzer vor jedem Login eine SMS mit einem Code an sein Handy geschickt. Diesen Code gibt er zusätzlich zum Passwort online ein und kann erst danach twittern. Einmal eingeloggt ist keine weitere SMS innerhalb einer Session notwendig.
###YOUTUBEVIDEO###
Ein ähnliches Verfahren mit sogenannten mobilen TAN-Codes verwenden auch die meisten Banken beim Online-Banking zur Absicherung von Überweisungen.
Funktioniert der Sicherheits-Login in allen Ländern? 
Das Problem ist das Hinzufügen einer Telefonnummer. In Deutschland funktioniert das einfache Verfahren hierfür noch nicht, da sich Twitter nicht mit den Mobilfunkanbieter geeinigt hat. Versucht man als Nutzer, seine Nummer einzutragen erhält man eine Fehlermeldung:

Als Alternative bietet Twitter ein Verfahren an, bei dem mindestens vier einzelne SMS an eine Nummer übermittelt werden müssen, darunter auch eine mit dem Passwort. Über diese so genannten "Long Codes", die zum Twitterm via SMS in Ländern ohne Zusammenarbeit mit Mobilfunkbetreiber gedacht sind,  bekommen Nutzer jedoch kein Feedback. Sie können keine Tweets auf diesem Weg empfangen. Auch TAN-Codes dürften demnach nicht auf die Mobilgeräte kommen. Im Klartext: Das neue Verfahren funktioniert derzeit nicht in Deutschland. Dafür aber zum Beispiel in Afghanistan oder im Kosovo.
Was ist mit Apps?
Bereits autorisierte Apps, zum Beispiel auf Mobilgeräten oder Desktop-Dienste wie Tweetdeck funktionieren auch nach Aktivierung des zwei Stufen-Logins wie bisher. Soll nach Aktivierung des Sicherheitslogins eine neue App hinzugefügt werden, kann der Nutzer hierfür ein temporäres Passwort für die App anfordern, mit welcher das Programm autorisiert werden kann.
Ist das neue Verfahren nun sicher?
Nur bedingt: Durch die zusätzliche Sicherheitsschranke können sich Unbefugte nicht mehr einfach über die Online-Plattform zu einem Twitter-Account anmelden. Hierfür müssten sie auch das Handy des Nutzers kapern. Allerdings gilt dies nur für den Login. Kommt ein Unbefugter in den Besitz eines Geräts, das bereits eingeloggt ist oder auf dem eine befugte App installiert ist, gelingt weiterhin ein Login.
Besonders Tweetdeck könnte sich als Einfallstor erweisen. Gerade in Redaktionen ist das Tool sehr beliebt. Hier hat jeder Nutzer einen eigenen Account mit eigenem Login. Innerhalb des Accounts kann der User beliebig viele Twitter-Accounts einbinden, etwa private und dienstliche. Über diesen Umweg könnten Hacker weiter auf sensible Twitter-Accounts Zugriff gelangen. Besonders brisant: Wenn nicht klar ist, an welcher Stelle der Zugriff erfolgte, müssten die Apps neu autorisiert werden und jeder User sein privates Passwort ändern.
Für hohe Sicherheit müssten gerade Firmen daher auf Apps verzichten. Dies führt jedoch zu einem anderen Problem:
Und wenn mehrere Personen einen Account nutzen? 
Hier stößt das neuen Verfahren an seine Grenzen: Innerhalb einer Redaktion lässt sich der zwei Stufen-Login noch bewältigen, solange alle an einem Ort sind. Will sich jedoch ein Korrespondent aus einem anderen Land einloggen, um zu twittern, ist das dem Account hinzugefügte Mobiltelefon womöglich weit entfernt. Der Sicherheits-Code müsste dann an den Nutzer weitergeleitet werden oder es müsste eine App genutzt werden. So oder so: ein Sicherheitsrisiko. 
Was hat Kim Dotcom mit dem Sicherheitslogin zu tun? 
Kim Dotcom (bürgerlich Kim Schmitz), der Gründer von Mega Upload und derzeit nur unter Kaution auf freien Fuß, beklagt via Twitter, dass er für das Zwei-Stufen-Login ein Patent besitze. "Sie nutzen meine Innovation, aber verifizieren nicht einmal meinen Account?" schreibt er. In einem weiteren Tweet bietet er einen weltweite Lizenz für sein Patent. Außerdem bietet er Google, Facebook und Twitter an, sein Patent frei zu nutzen. Dafür sollten die Internetgiganten im Gegenzug jedoch seine Verteidigung im kommenden Prozess finanzieren.

Anzeige

Dein Kommentar

Deine E-Mailadresse wird nicht veröffentlicht.

*

Anzeige