Digital
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.

WhatsApp hat eine wichtige neue Funktion – doch es gibt einen Haken

WhatsApp lanciert gerade die «Verifizierung in zwei Schritten». Das neue Sicherheits-Feature ermöglicht es einer Milliarde Nutzern, das eigene Profil besser zu schützen. Allerdings ist die technische Umsetzung ungenügend...



WhatsApp rollt zurzeit eine neue Sicherheits-Funktion aus, die man eigentlich aktivieren sollte: die sogenannte «Verifizierung in zwei Schritten», auf Englisch Two-Step Verification.

Kurz gesagt handelt es sich um eine PIN-Code-Abfrage, die Dritten verunmöglichen soll, fremde WhatsApp-Profile zu kapern. Nur wer die vom Besitzer festgelegte Zahlenfolge kennt, kann die Handy-Nummer bei WhatsApp (erneut) registrieren.

watson zeigt anhand der WhatsApp-Version fürs iPhone, wie man das Feature aktiviert, worauf zu achten ist und warum das praktische Feature einen Pferdefuss hat...

Kein Update erforderlich

Die neue Funktion gibts fürs iPhone (iOS), Android und Windows. Wobei das Rollout gestaffelt erfolgt. Es kann also dauern, bis es auf allen Mobilgeräten verfügbar ist

Bild

screenshot: youtube

Das Feature steht mit der aktuellen WhatsApp-Version zur Verfügung (dann ist also kein Update erforderlich)

Bild

screenshot: watson

So findet man es

Das neue Feature verbirgt sich in den App-Einstellungen, im Untermenü «Account»

Bild

Einfache Aktivierung

Das Einrichten ist unkompliziert und dauert nur Minuten

Bild

PIN-Code festlegen

Nun wird man aufgefordert, einen sechsstelligen Zugangscode einzugeben. Wichtig: Es ist davon abzuraten, den gleichen PIN wie für das Gerät oder etwa die Bankomat-/Postfinance-Karte zu verwenden. Und auch das Geburtsdatum ist ungünstig, weil einfach herauszufinden...

Bild

Zur Bestätigung muss man den Code erneut eingeben. 

Bild

Für Vergessliche

«Um dir dabei zu helfen, dir den Zugangscode einzuprägen, wird dich WhatsApp regelmässig danach fragen.»

whatsapp-support-dokument

Eigene E-Mail-Adresse für allfällige Notfälle eingeben

Auch wenn WhatsApp den Zugangscode im Wochen-Rhythmus abfragen will, damit man ihn NICHT vergisst, gilt es ausserdem eine E-Mail-Adresse (fürs Zurücksetzen) einzugeben.

Das ist fakultativ, aber...

Bild

... wer keine E-Mail-Adresse registriert, riskiert, ausgesperrt zu werden

Bild

WhatsApp warnt die User:

«Wenn du eine E-Mail zur Deaktivierung der Verifizierung in zwei Schritten erhältst, die du nicht angefordert hast, klicke nicht auf den Link. Es kann sein, dass jemand versucht, deine Telefonnummer bei WhatsApp zu verifizieren.»

whatsapp-support-dokument

Wo ist der Haken?

Das Sicherheits-Feature kann von jeder Person, die Zugriff auf das entsperrte Smartphone hat, deaktiviert werden. Und fast noch schlimmer: Auch für das Ändern des Zugangscodes und der E-Mail-Adresse ist keine erneute PIN-Eingabe erforderlich. Wer also das eigene Mobilgerät unbeaufsichtigt herumliegen lässt, riskiert, dass jemand die Einstellungen ändert.

Bild

alle screenshots: watson

Zum zwiespältigen Eindruck passt auch, dass die E-Mail-Adresse zwar zweimal einzugeben ist, aber nicht per Mail (durch das Anklicken eines automatisierten Bestätigungs-Links) verifiziert wird. Wer nicht aufpasst und eine fehlerhafte oder fremde Mail-Adresse eingibt, riskiert, sich bei WhatsApp auszusperren...

Fazit: ungenügend!

Zweistufige Authentifizierungs-Verfahren kennen wir seit längerem von wichtigen Diensteanbietern, sei dies Google, Facebook oder auch Apple und Twitter. Bei der Facebook-Tochter WhatsApp ist die Implementierung der sinnvollen zusätzlichen Sicherheitsstufe allerdings nur ungenügend umgesetzt.

Wer das eigene Mobilgerät öfters in fremde Hände gibt oder es ohne Bildschirmsperre herumliegen lässt, muss sich vorsehen. Sonst drohen böse Überraschungen: Im schlimmsten Fall ist zu einem späteren Zeitpunkt das erneute Einrichten von WhatsApp und der Zugriff auf gespeicherte Daten verunmöglicht.

via The Verge

Das bedeuten die Haken bei WhatsApp wirklich

Das könnte dich auch interessieren:

Der Kampf einer indonesischen Insel gegen den Plastik

Link zum Artikel

Wie gut kennst du dich in der Schweiz aus? Diese 11 Rätsel zeigen es dir

Link zum Artikel

Shaqiri? Xhaka? Von wegen! Zwei Torhüter sind die besten Schweizer bei «FIFA 20»

Link zum Artikel

Warum wir bald wieder über den Schweizer Pass reden werden

Link zum Artikel

Wo du in dieser Saison Champions League und Europa League sehen kannst

Link zum Artikel

«Ich bin … wie soll ich es sagen … so ein bisschen ein Arschloch-Spieler»

Link zum Artikel

CVP fährt grosse Negativ-Kampagne gegen andere Parteien – die Reaktionen sind heftig

Link zum Artikel

Keine Angst vor Freitag, dem 13.! Diese 13 Menschen haben bereits alles Pech aufgebraucht

Link zum Artikel

So schneiden die Politiker im Franz-Test ab – wärst du besser?

Link zum Artikel

Die amerikanische Agentin, die Frankreichs Résistance aufbaute

Link zum Artikel

Eine Untergrund-Industrie plündert Banking-Apps wie Revolut – so gehen die Betrüger vor

Link zum Artikel

Alles, was du über die neuen iPhones und den «Netflix-Killer» von Apple wissen musst

Link zum Artikel

Matheproblem um die Zahl 42 geknackt

Link zum Artikel

«Informiert euch!»: Greta liest den Amerikanern bei Trevor Noah die Leviten

Link zum Artikel

Die Geschichte von «Ausbrecherkönig» Walter Stürm und seinem traurigen Ende

Link zum Artikel

YB droht Bickel mit Gericht, nachdem er als Sportchef 40 Mio. verlochte

Link zum Artikel

«Ich hatte Sex mit dem Ex meiner besten Freundin…»

Link zum Artikel

«In der Schweiz gibt es zu viel Old Money und zu wenig Smart Money»

Link zum Artikel

Migros Aare baut rund 300 Arbeitsplätze ab

Link zum Artikel

Röstigraben im Bundeshaus: «Sobald ich auf Deutsch wechsle, sinkt der Lärm um 10 Dezibel»

Link zum Artikel

15 Bilder, die zeigen, wie wunderschön und gleichzeitig brutal die Natur ist

Link zum Artikel

So erklärt das OK der Hockey-WM in der Schweiz die Ähnlichkeit zum Tim-Hortons-Spot

Link zum Artikel
Alle Artikel anzeigen

Abonniere unseren Newsletter

16
Bubble Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 48 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
16Alle Kommentare anzeigen
    Alle Leser-Kommentare
  • Miikee 11.02.2017 10:01
    Highlight Highlight 7. Das man seine Nummer nicht vergisst fragt WA ab und zu nach der Nummer.

    Was absolut mühsam ist. Habe es jetzt seit Freitag eingerichtet und die Anfrage erschien bereits 2-mal. Ich habe eine willkürliche Nummer gewählt und sie mir ins KeePass eingetragen.

    Was wird nun also passieren, die Benutzer deaktivieren die Funktion wieder oder wählen einfach einfache Zahlen (z.b. 111 111) . Noch schlimmer wären die Bank Kartennummer oder sonstige bereits verwendete Nummern.

    Die Funktion ist gut aber absolut ungenügend umgesetzt.
  • The Destiny // Team Telegram 11.02.2017 09:35
    Highlight Highlight Lame hat telegram schon lange zzZzz
  • DocM 10.02.2017 17:52
    Highlight Highlight Die zweifach Auth ist nur ein Trick um an verifizierte Mailadressen zu kommen. Dann erhält Zuckerberg die Korrelation: Mobile, reg. Mail und in den Umkehrlogik FB-Account, reg. Mail (da diese oft die gleiche ist) und somit die Crossreferenz zwischen den Accounts.
    • vaiindruu 10.02.2017 18:18
      Highlight Highlight Was hast denn du geraucht?
    • DocM 10.02.2017 19:11
      Highlight Highlight @vaiindruu: nur das kleine 1x1 von BI gelesen, aber vor dem Frühstückswhisky ;-)
    • _stefan 11.02.2017 10:42
      Highlight Highlight Die Verbindung ist bei den meisten Mobile-Usern wohl bereits durch die Installation der FB- und Whats-App möglich.
      Nach der "freiwilligen" Eingabe der E-Mail-Adresse kann aber WA mit gutem Gewissen Werbemails versenden. Da kann keiner mehr DATENSCHUTZ schreien ;-)
    Weitere Antworten anzeigen
  • El_Sam 10.02.2017 16:17
    Highlight Highlight Bei Punkt 5 sollte es wohl heissen "damit man ihm NICHT vergisst" ;-)
    • @schurt3r 10.02.2017 16:24
      Highlight Highlight Oh ja, danke! 🙈
  • Miikee 10.02.2017 16:16
    Highlight Highlight WA macht das Backup auf das Google Drive. Es wäre nur der logische Schritt auch den Google Authenticator zu nutzen. Warum so was selber Entwickeln und sich blamieren wenn man auf bestehende Features zugreifen kann. Verstehe ich nicht.... Fail WA.
    • #bringhansiback 10.02.2017 16:40
      Highlight Highlight Weil TFA dann nichts bringt. Es hilft nicht, TFA aktiv zu haben, aber den Codegenerator auf demselben Gerät zu nutzen wie auch die zu schützende Anwendung selbst.
      Ein Fehler, den viele Banken machen (Mobile Banking App und PhotoTAN App auf demselben Gerät). So ist der Sicherheitsgewinn dahin
    • Miikee 10.02.2017 18:58
      Highlight Highlight @#bringhansiback
      Da gebe ich dir vollkommen recht. Aber hier ist die Situation eine andere. Klar, wenn ich dir dein Smartphone klaue, kann ich es entsperren. Kann ich sowieso auf dein WA zugreifen, hätte ich Pech und die 2FA kommt in diesem Moment wäre es doof wenn die 2FA App auch auf dem Smartphone wäre. Aber könnte ja auch mit einer Mail den Recovery Key auslösen. Dein Mail hast du ja auch auf deinem Smartphone 😜

      Bei WA geht es eher darum, deinen Account zu kapern, ohne dein Gerät und da ist eine Handynummer-Verifizierung einfach zu wenig und eine 2FA mit einer anderen App absolut ausreichend.
    • Elpolloloco 11.02.2017 10:37
      Highlight Highlight @bhb: SMS 2FA hat dasselbe Problem, andere Verfahren (ausser kartenbasiert, RSA Key, zweites Handy, Yubi Key) kommen mir grad nicht in den Sinn, gibts dann überhaupt was Schlaues für mobile 2FA?
    Weitere Antworten anzeigen
  • Hugeyun 10.02.2017 16:16
    Highlight Highlight Zum Glückt fragt WhatsApp im Wochenrhythmus nach meinem Zugangscode, damit ich ihn vergesse. Schwein gehabt (➡Punkt 5!)
    • @schurt3r 10.02.2017 16:24
      Highlight Highlight Ist korrigiert, danke!

Diese wichtige Handy-Funktion kann dein Leben retten – 68% der Schweizer kennen sie nicht

Zwei Drittel der Schweizer haben keine Ahnung, wie man rasch per Tastenkombination mit dem Handy einen Notruf absendet. Die internationale Notrufnummer kennen rund 40 Prozent nicht. Damit gefährden sie ihre eigene Rettung und die Rettung anderer.

Smartphones von Apple, Samsung, Huawei, etc. können über eine vom Handy-Hersteller eingerichtete Tastenkombination einen Notruf absetzen. Wer sich in einer Notsituation befindet und die Notrufnummer nicht wählen kann oder sich – beispielsweise im Schockzustand – nicht daran erinnert, kann so trotzdem jederzeit Hilfe rufen.Das Problem: 68 Prozent der Schweizer wissen nicht, wie man auch bei gesperrtem Handy schnell per Tastenkombination einen Notruf absendet. Gar nur eine von fünf …

Artikel lesen
Link zum Artikel