Die Zwei-Faktor-Authentifizierung (2FA) per SMS ist bei Twitter in Zukunft nicht mehr kostenlos. Alternativ können Nutzende Apps oder Token zur Verifizierung verwenden. 2FA ist sinnvoll, um Accounts zu schützen. Die Vor- und Nachteile verschiedener kostenloser Tools.

Mit der Zwei-Faktor-Authentifizierung (2FA) lassen sich Online-Accounts gegen unerwünschte fremde Zugriffen sichern. Nutzende können ihre Identität – nach der Passworteingabe – mit einem zusätzlichen Tool verifizieren. Das kann zum Beispiel per Push-Notification auf dem Smartphone passieren. Twitter-Chef Elon Musk kündigte an, dass die 2FA per SMS in seinem Netzwerk in Zukunft Geld kosten soll.

In einem Blog-Eintrag heißt es, dass die Kontosicherung per SMS von böswilligen Akteuren genutzt und missbraucht worden sei. In dem Beitrag vom 18.02.2023 lässt Twitter wissen, dass ausschließlich Abonnenten von Twitter Blue die Verifizierung beim Einloggen per SMS weiterhin kostenlos nutzen können.

Dass wir deswegen jetzt alle auf das kostenpflichtige Twitter-Abo umsteigen müssen, um unseren Account vor fremden Zugriffen zu schützen, bedeutet das aber nicht. Als kostenlose Alternativen gibt es sogenannte Authentifikator-Apps, unter anderem von Google oder Microsoft.

"Wenn du '2FA' bei Twitter aktivierst, bekommst du einen QR-Code angezeigt und scannst den mit der App. Die App liefert ab dann einen zweiten Faktor."
Michael Gessat, Deutschlandfunk-Nova-Netzreporter

Hardware-Token und Apps als Alternative zu SMS

So eine App installieren sich Nutzer*innen auf dem Smartphone und die lässt sich mit so ziemlich jedem Account koppeln – zum Beispiel auch mit Twitter. Deutschlandfunk-Nova-Netzreporter Michael Gessat erklärt, wie personenbezogene Verifizierung dann funktioniert. "Das ist ganz easy: Man geht bei Twitter auf '2FA' aktivieren und bekommt dann einen QR-Code und scannt den mit der App. Die App liefert ab dann einen zweiten Faktor."

Dass diese Apps nicht ganz "kostenfrei" sind, dürfte klar sein. Sie sammeln Daten der Nutzenden. "Das sind so ein paar Analysedaten, die Anbieter sammeln, zum Beispiel, wo und wann ich mich einlogge", sagt Netzreporter Michael Gessat. Für den Fall, dass jemand sein Handy und damit den zweiten Schlüssel als Zugang verliert, gibt es die Möglichkeit, eine Art Backup in der Cloud zu hinterlegen.

Leute, die ein iPhone haben, können die 2FA-Authentifizierung über den iCloud-Schlüsselbund ablaufen lassen. Den stellt Apple als Standard-Schlüssel- und Passwortverwaltung auf allen Geräten bereit.

60 Millionen US-Dollar Schaden für Twitter pro Jahr

Eine weitere Möglichkeit, die Verifizierung per SMS zu umgehen, bieten Hardware-Token. Die lassen sich ähnlich wie USB-Sticks einstöpseln und dann wird ein PIN abgefragt. Allerdings sind die nicht vor Diebstahl geschützt und können auch kaputt gehen, sodass vorübergehend ein Login nicht möglich ist. Allerdings lassen sich Token sperren. Jemand anderes kann sich dann nicht mehr einloggen, weil ein Token tatsächlich einmalig ist. Allerdings ist die Anschaffung eines Hardware-Token nicht kostenlos.

Von Twitter heißt es jedenfalls, dass es offenbar massenhaft betrügerische Telefonprovider gibt, die Bot-Accounts bei Twitter anlegen und permanent 2FA und damit SMS an Rufnummern aus ihrem Pool anstoßen. Dafür bekommen sie jedes Mal ein paar Cent – und Twitter muss jeweils ein paar Cent zahlen. Angeblich summiert sich der Schaden für Twitter so auf 60 Millionen US-Dollar pro Jahr.

Shownotes
Schutz von Twitter-Accounts
Kostenlose Tools zur Zwei-Faktor-Authentifizierung
vom 21. Februar 2023
Moderation: 
Till Haase
Gesprächspartner: 
Michael Gessat, Deutschlandfunk-Nova-Netzreporter