Das teilte Twitter gestern mit dass es seinen Benutzern ab dem 20. März nur erlaubt, ihre Konten mit SMS-basierter Zwei-Faktor-Authentifizierung zu sichern, wenn sie für ein Twitter Blue-Abonnement bezahlen. Bei der Zwei-Faktor-Authentifizierung oder 2FA müssen sich Benutzer mit einem Benutzernamen und einem Passwort und dann mit einem zusätzlichen „Faktor“ wie einem Zahlencode anmelden. Sicherheitsexperten raten seit langem dazu, eine Generator-App zu verwenden, um diese Codes zu erhalten. Aber der Empfang in SMS-Textnachrichten ist eine beliebte Alternative, daher hat das Entfernen dieser Option für unbezahlte Benutzer dazu geführt, dass Sicherheitsexperten sich am Kopf kratzen.
Der Zwei-Faktor-Schritt von Twitter ist der jüngste in einer Reihe kontroverser politischer Änderungen, seit Elon Musk das Unternehmen im vergangenen Jahr übernommen hat. Der kostenpflichtige Dienst Twitter Blue – die einzige Möglichkeit, jetzt ein blaues verifiziertes Häkchen auf Twitter-Konten zu erhalten – kostet auf Android und iOS 11 US-Dollar pro Monat und weniger für ein reines Desktop-Abonnement. Benutzer, die von der SMS-basierten Zwei-Faktor-Authentifizierung gebootet werden, haben die Möglichkeit, zu einer Authentifizierungs-App oder einem physischen Sicherheitsschlüssel zu wechseln.
„Obwohl historisch gesehen eine beliebte Form von 2FA, haben wir leider gesehen, wie 2FA auf Telefonnummernbasis von schlechten Schauspielern verwendet – und missbraucht – wurde“, schrieb Twitter in a Blogeintrag Freitagabend erschienen. „Ab heute werden wir es Konten nicht mehr erlauben, sich für die Textnachrichten-/SMS-Methode von 2FA anzumelden, es sei denn, sie sind Twitter Blue-Abonnenten.“
In ein Bericht vom Juli 2022 über Kontosicherheit, sagte Twitter, dass nur 2,6 Prozent seiner aktiven Benutzer irgendeine Art von Zwei-Faktor-Authentifizierung aktiviert haben. Von diesen Benutzern verwendeten fast 75 Prozent die SMS-Version. Fast 29 Prozent nutzten Authentifizierungs-Apps und weniger als 1 Prozent hatte einen physischen Authentifizierungsschlüssel hinzugefügt.
Die SMS-basierte Zwei-Faktor-Authentifizierung ist unsicher, da Angreifer die Telefonnummern der Ziele kapern oder andere Techniken verwenden können, um die Texte abzufangen. Sicherheitsexperten betonen jedoch seit langem, dass die Verwendung von SMS mit zwei Faktoren erheblich besser ist, als keinen zweiten Authentifizierungsfaktor zu aktivieren.
Tech-Giganten wie Apple und Google haben zunehmend die Option für SMS-Zwei-Faktor-Authentifizierung eliminiert und Benutzer (normalerweise über viele Monate oder Jahre) auf andere Formen der Authentifizierung umgestellt. Forscher befürchten, dass die Richtlinienänderung von Twitter die Benutzer verwirren wird, indem sie ihnen so wenig Zeit geben, den Übergang abzuschließen, und SMS-Zwei-Faktor-Funktionen wie eine Premium-Funktion erscheinen lassen.
„Der Twitter-Blog weist zu Recht darauf hin, dass die Zwei-Faktor-Authentifizierung, die Textnachrichten verwendet, häufig von schlechten Akteuren missbraucht wird. Ich stimme zu, dass es weniger sicher ist als andere 2FA-Methoden“, sagt Lorrie Cranor, Direktorin des Usable Privacy and Security Lab von Carnegie Mellon. „Aber wenn ihre Motivation Sicherheit ist, würden sie dann nicht auch bezahlte Konten sicher halten wollen? Es macht keinen Sinn, die weniger sichere Methode nur für kostenpflichtige Konten zuzulassen.“
Während das Unternehmen sagt, dass seine Änderungen am Zwei-Faktor Mitte März eingeführt werden, stießen Twitter-Benutzer mit aktiviertem SMS-Zwei-Faktor am Freitag auf einen Popup-Overlay-Bildschirm, der ihnen riet, den Zwei-Faktor vollständig zu entfernen oder zu wechseln „ die Authentifizierungs-App oder Sicherheitsschlüsselmethoden.“
Es ist unklar, was passieren wird, wenn Benutzer SMS Two Factor nicht bis zum neuen Stichtag deaktivieren. Die In-App-Nachricht an Benutzer impliziert, dass Personen, die SMS-Zwei-Faktor-Funktion noch aktiviert haben, wenn die Änderung am 20. März offiziell stattfindet, von ihren Konten gesperrt werden. „Um den Zugriff auf Twitter nicht zu verlieren, entfernen Sie die Zwei-Faktor-Authentifizierung per SMS bis zum 19. März 2023“, heißt es in der Benachrichtigung. Aber der Blog-Beitrag von Twitter sagt, dass Zwei-Faktor am 20. März einfach deaktiviert wird, wenn die Benutzer es nicht vorher anpassen. „Nach dem 20. März 2023 werden wir Nicht-Twitter Blue-Abonnenten nicht länger erlauben, Textnachrichten als 2FA-Methode zu verwenden“, schrieb das Unternehmen. „Zu diesem Zeitpunkt wird es für Konten mit noch aktivierter SMS-2FA deaktiviert.“