Twitter und die Sicherheit

Nach den inzwischen zur Regel gewordenen Hackerangriffen auf exponierte Twitter-Nutzer, reagiert Twitter nun endlich mit der Einführung einer two factor authentication, dass heisst, wer das Feature aktiviert braucht zwei Dinge um sich bei Twitter einzuloggen: seine Passwort und einen per SMS zugesandten Code. Damit werden die Angriffe, dort wo das Verfahren genutzt wird, nun deutlich erschwert.

Twitter nutzt Einzellösung

Aber Twitter wäre ja nicht Twitter, wenn man das Verfahren nicht so gestaltet hätte, dass es nicht so abläuft, wie man schon bei Vorreitern der Materie erfolgreich erprobt hat. Zunächst mal bekommt man den zusätzlichen Logincode von Twitter nur per SMS. Bei app.net, Google, Facebook und sogar Microsoft, die sich alle nach der RFC 6238 richten, kann man auch ein komfortables Programm auf dem Smartphone nutzen, um sich die Logincodes generieren zu lassen. Hinzu kommt außerdem, dass man die SMS bei jedem Loginvorgang bekommt, sich also keine Geräte als vertrauensvoll gemerkt werden. Auch das läuft bei anderen besser, Twitter sorgt somit dafür, dass das Verfahren störend und unkomfortabel ist, die Nutzerakzeptanz also eher niedrig bleiben wird.

Einigermaßen unkomfortabel

Für Redaktionen und andere Accounts, die gemeinsam auf einen Twitteraccount zugreifen wird es noch lästiger: ein Account ist mit einem Telefon verbandelt, in Zukunft muss also ein gemeinsames Telefon zwischen den Nutzern hin- und hergereicht werden, weil man nach Murphys Law natürlich immer genau dann ausgeloggt ist, wenn man gerade etwas ganz wichtiges auf dem Kurznachrichtendienst zu verkünden hat. Das passt natürlich zu Twitters bisherigem Vorgehen in Sachen Sicherheit, in einer Mail hatte man vorgeschlagen, in einer Redaktion einen dezidierten Rechner für den Zugang zum Twitteraccount einzurichten. Da kann man das dezidierte Telefon nun gleich daneben positionieren. Nicht sonderlich praktikabel, aber was tut man nicht alles für die Sicherheit. Oder nicht?

Auftritt Kimble

Auf den Moment, dass Twitter seine two factor authentication aktivert scheint Kim Dotcom aka. Kimble in Neuseeland nur gewartet zu haben. Publikumswirksam tritt er seit kurzem mit der Behauptung auf, ein Patent für das Loginverfahren zu beseitzen, das von Google, Facebook und Twitter verletzt würde. Nach eigener Aussage möchte er sich aber mit den Firmen einigen und von den Lizenzgebühren seinen Prozess finanzieren. Dafür benötige er 50 Millionen Dollar. Ob hier nun der Wunsch Vater des Gedankens ist, oder ob Kimble wirklich ein entsprechendes Patent besitzt ist derzeit unklar. Aber wie auch immer, insgesamt kein guter Start für Twitter und die Sicherheit.