Instagram verbessert 2-Faktor-Authentifizierung

Doppelt hält bekanntlich besser, gerade in Sicherheitsdingen. Deshalb arbeitet Instagram an einer 2-Faktor-Authentifizierung (2FA), die ohne SMS auskommt. Denn die jetzige 2FA mit SMS ist nicht unbedingt sicher: Angreifer missbrauchen die Telefonnummern-Mitnahme, um eine Nummer einer anderen SIM-Karte zuzuordnen. Sie rufen dazu bei dem Mobilfunk-Anbieter an und überzeugen den Support-Mitarbeiter, die Portierung vorzunehmen. Dabei nutzen die Angreifer "Social Engineering", spionieren also das persönliche Umfeld des Opfers aus, um dessen Identität vortäuschen zu können.

In den USA passiert dieser "Port-out Scam" (auch bekannt als SIM-Swapping) inzwischen regelmäßig, schreibt das Onlinemagazin Motherboard. Über die Telefonnummer lässt sich das Instagram-Passwort zurücksetzen – so können Angreifer schließlich den Account übernehmen. Besonders begehrt sind Konten mit (sehr) kurzen Nutzernamen.

2FA mit Google Authenticator

Mit der kommenden 2FA ohne SMS will Instagram seine Nutzer besser vor solchen Angriffen schützen. Der zweite Faktor ist dann eine Sicherheits-App wie der Google Authenticator. Der von der App ausgespuckte Code kann nicht auf anderen Mobilgeräten erzeugt werden; es hilft also nichts, die Telefonnummer auf eine andere SIM-Karte übertragen zu haben. Die Gauner müssten schon das Smartphone erbeuten.

Noch ist die 2FA nicht öffentlich, Jane Manchun Wong hat die Funktion im Quellcode der Android-App entdeckt, berichtet Techcrunch. Gegenüber dem Onlinemagazin bestätigte ein Instagram-Sprecher, dass die 2FA ohne SMS kommen wird, einen Zeitpunkt nannte er aber nicht. "Wir verbessern weiterhin die Sicherheit von Instagram-Konten, inklusive einer Stärkung der 2-Faktor-Authentifizierung." Die jetzige SMS-basierte Technik gibt es seit 2016, als Instagram 400 Millionen Nutzer hatte; heute sind es eine Milliarde Menschen.

tipps+tricks zum Thema:

• Google: Zwei-Faktor-Authentifizierung aktivieren

(dbe)