Euer Konto besser absichern
Twitter-App: Zwei-Faktor-Authentifizierung als Schutz vor Hacks
Aus dem Twitter-Angriff diese Woche können Nutzer zumindest die Konsequenz ziehen, ihre Sicherheitseinstellungen bei der Kurznachrichtenplattform zu überprüfen. Wenngleich die Zwei-Faktor-Authentifizierung in diesem speziellen Fall wohl auch nichts gebracht hätte (mehr dazu unten), im gewöhnlichen Leben würden wir diese Einstellung mittlerweile als unerlässlich bezeichnen.
Zwei-Faktor-Authentifizierung ist euch mittlerweile ein Begriff. Zusätzlich zu eurem Passwort müsst ihr einen weiteren Sicherheitscode eingeben. Twitter bietet diesbezüglich drei Optionen: Ihr könnt euch den zweiten Code per SMS zusenden lassen, eine Authentifizierungs-App zum Generieren des Codes verwenden oder mit einem physischen Sicherheitsschlüssel arbeiten.
Um eine oder mehrere dieser drei Optionen zu aktivieren, öffnet ihr die Twitter-Einstellungen und dort den Bereich „Account“. Hier könnt ihr über das Menü „Sicherheit“ nun die Zwei-Faktor-Authentifizierung einrichten. Das geht schnell vonstatten und ist in der Twitter-App auch sehr gut erklärt.
Habt auch ein Auge auf die zusätzlich angebotene Option „Passwort-Zurücksetzungsschutz“. Damit könnt ihr es Hackern erschweren, das mit eurem Twitter-Konto verbundene Passwort zu ändern.
Twitter-Hack: Was wir bis jetzt wissen
Kommen wir nun also nochmal auf den Hack zu sprechen. Twitter spricht hier in der Öffentlichkeit zwar weiterhin von „Social Engineering“, doch dürft ihr euch das keinesfalls so vorstellen, dass jemand in dreistelliger Zahl Nutzer beschwatzt hat, um ihnen die Passwörter abzuluchsen. Ganz abgesehen von der in diesem Zusammenhang zumindest größtenteils zu überwindenden Zwei-Faktor-Authentifizierung. Vielmehr scheint es nach aktuellem Stand der Dinge so, dass sich ein Twitter-Mitarbeiter großzügig gezeigt und möglicherweise auch Geld dafür kassiert hat, dass er den Angreifern Zugang zu den Administrations-Werkzeugen von Twitter beschafft. Eine umfassende Abhandlung und auch Screenshots der vermutlich benutzten Werkzeuge hält der Sicherheitsforscher Brian Krebs bereit.
Die Sicherheitslücke ist somit menschlich und existiert in ähnlicher Form wohl bei den meisten Konzernen dieser Welt. Mit einem Administrationszugang ist stets auch ein nicht zu unterschätzendes Machtpotenzial verknüpft und es ist fahrlässig, wenn wenn ein Unternehmen in in der Größenordnung von Twitter erst im Nachhinein daran denkt, sein System auch gegen solche Vorkommnisse abzusichern.
We have also been taking aggressive steps to secure our systems while our investigations are ongoing. We’re still in the process of assessing longer-term steps that we may take and will share more details as soon as we can.
— Twitter Support (@TwitterSupport) July 17, 2020
Spannend bleibt es in dieser Angelegenheit weiterhin, denn noch immer ist nicht klar, ob die Angreifer auch Zugriff auf die Direktnachrichten der betroffenen Nutzer oder deren Passwörter hatten. Das daraus resultierende Schadenspotenzial könnte deutlich höher als die erbeuteten rund 100.000 Dollar in Bitcoin sein. Teils wird bereits darüber spekuliert, ob die Bitcoin-Aktion nicht nur ein Ablenkungsmanöver war, man es jedoch vielmehr auf andere Inhalte abgesehen hatte.
Ach und falls sich jemand fragt, warum ausgerechnet Donald Trump von der Attacke verschont blieb. Die New York Times begründet dies damit, dass der Account des US-Präsidenten aufgrund von Vorkommnissen in der Vergangenheit besonders geschützt war.
Sollte man prinzipiell überall aktiviert haben.
!!!
2FA hilft nur nix wenn über einen Admin Zugang das ganze raus gehauen wird.
„dass der Account des US-Präsidenten … besonders geschützt war“
Warum schützt man nicht alle Benutzer gleich, wenn es doch die Möglichkeit dazu gibt?
Sind die weniger Wert?
.
Wenn es also diese Möglichkeit gibt, man sie nicht allen anbietet und riskiert, dass Benutzerdaten geklaut, verfälscht oder missbraucht werden, dann würde ich von Vorsatz ausgehen, was bei allfälligem Missbrauch besondere Konsequenzen für Twitter haben sollte.
Der war „besonders geschützt“, weil er schon mehrmals gehackt wurde :D
Was nützt 2fa, wen interne Twitter Konten unter jeden Namen twittern können.
ich finde jeder sollte selbst entscheiden dürfen ob er 2fa oder ein sicheres passwort verwendet. ich nutze kein 2fa.
Jap, diese Bevormundung finde ich auch schrecklich, ich folge nur einigem wegen potentiellen interessanten Themen, ansonsten ist es ein toter Account, keinerlei Aktivität meinerseits… da habe ich keinen Bock auf 2fa!
PSA: Unter keinen Umständen SMS als 2. Faktor nutzen. Das ist in der Vergangenheit das Kernproblem gewesen, unter anderem wie der Account vom Twitter CEO gehackt wurde. Und dabei nutzen die Hacker noch nicht mal SS7-Zugänge. Schützenswerte Accounts sollten mit Security Token und App geschützt werden.