Twitter: Zwei-Faktor-Authentifizierung nun auch ohne Telefonnummer

Wer seinen Twitter-Account mit einer Zwei-Faktor-Authentifizerung schützen wollte, hat dem Unternehmen bisher seine Telefonnummer verraten müssen. Zwar gab es bereits die Möglichkeit, nach der Auswahl von SMS-Codes als zusätzlichen Login-Faktor andere Methoden zu wählen. Ohne die Standardoption konnten diese jedoch nicht aktiviert werden. Nun sollen Nutzer auch ohne diesen Umweg einen zweiten Login-Faktor neben ihrem Passwort wählen können, wie Twitter bekanntgab.

Als Alternativen zur als unsicher geltenden SMS stehen Authentifizierungs-Apps oder ein physischer Sicherheitsschlüssel zur Verfügung. SMS als zweiter Faktor gelten als unsicher, da Angreifer sie beispielweise durch sogenanntes SIM-Swapping umgehen können. Dabei übernimmt ein Täter die Telefonnummer seines Opfers, etwa indem er sich durch Social Engineering eine weitere SIM-Karte für die betreffende Telefonnummer beschafft. Er bekommt dann alle SMS, die der eigentliche Account-Inhaber bekommen sollte - und so auch die zusätzlichen Authentifizierungscodes.

Mit SMS und Telefonnummern hatte der Kurznachrichtendienst in der Vergangenheit schon mehrmals Probleme: Im August wurde der Twitter-Account von Firmenchef Jack Dorsey gekapert. Durch ein Problem bei Dorseys Mobilfunkanbieter sei seine Nummer kompromittiert worden, hieß es damals vonseiten des Unternehmens. Die offenbar erfolgreichen Angreifer twitterten dann per SMS-Dienst in Dorseys Namen rassistische und antisemitische Parolen.

Ein anderer Grund, Twitter seine Telefonnummer nicht anzuvertrauen: Im Oktober gab der Kurznachrichtendienst bekannt, dass Nummern durch einen Fehler unabsichtlich für Werbezwecke verwendet wurden.