Twitters Entscheidung, die textbasierte 2FA (auch bekannt als SMS-basierte Zwei-Faktor-Authentifizierung) für nicht zahlende Kunden zu deaktivieren, könnten zu einer Zunahme von Cyberangriffen auf Twitter-Nutzer führen – vor allem für diejenigen, die bis zur schnell näher rückenden Frist am 20. März keine anderweitigen Maßnahmen ergreifen. Ein Kommentar von Joseph Carson, Chief Security Scientist & Advisory CISO bei Delinea,
Generell scheint hinter der Entscheidung von Twitter eher eine monetäre Motivation zu stecken, denn ein Sicherheitsfokus. Denn SMS-basierte 2FA kann eine beträchtliche Menge Geld kosten, insbesondere dann, wenn Angreifer versuchen, Konten zu übernehmen. Anstatt den Ansatz zu verfolgen, dass SMS-basierte 2FA nicht mehr sicher genug ist, um die Nutzer zu schützen, wird sie nun weiterhin nur für zahlende Kunden verfügbar sein.
Obwohl SMS-basierte 2FA sicherer ist als die einfache Authentifizierung mit Benutzernamen und Passwort, ist sie grundsätzlich doch sehr anfällig für Kompromittierung. Wäre die Entscheidung von Twitter also tatsächlich sicherheitsorientiert, wäre das Unternehmen wahrscheinlich zu einer Multi-Faktor-Authentifizierung (MFA) oder zu authentifizierungsbasierten Anwendungen übergegangen, um ein höheres Maß an Schutz zu gewährleisten. Die Rückkehr zu Benutzernamen und Passwort ist jedoch ein Rückschritt für all diejenigen Nutzer, die zusätzliche Maßnahmen zum Schutz ihrer Konten unternommen haben, und setzt sie nun erneut Cyberangreifern aus, die schwache oder wiederverwendete Passwörter zu missbrauchen wissen.
Für die Nutzer von Twitter bedeutet dies, dass nur diejenigen, die ein Abonnement bezahlen, zusätzliche Sicherheitsoptionen zur Auswahl haben. Und es bleibt abzuwarten, ob auch andere Unternehmen diesen Ansatz zukünftig verfolgen werden, wenn sie Kosten und Sicherheit abwägen. Dann aber werden sie sich auf einem sehr schmalen Grat bewegen.
Das Ende der SMS-basierten 2FA könnte in den nächsten Jahren tatsächlich kommen, aber die Rückkehrt zu Benutzernamen und Passwort ist kein adäquater Ersatz. Vielmehr sollten wir uns auf eine Authentifizierung ohne Reibungsverluste und mit besserem Schutz zubewegen, indem wir Passwörter in den Hintergrund rücken und die MFA zum Weg der Zukunft machen.“
#Delinea