Digital
WhatsApp

WhatsApp lanciert Two-Step-Verification, aber ungenügend

WhatsApp hat eine wichtige neue Funktion – doch es gibt einen Haken

WhatsApp lanciert gerade die «Verifizierung in zwei Schritten». Das neue Sicherheits-Feature ermöglicht es einer Milliarde Nutzern, das eigene Profil besser zu schützen. Allerdings ist die technische Umsetzung ungenügend...
10.02.2017, 16:0111.02.2017, 10:51
Mehr «Digital»

WhatsApp rollt zurzeit eine neue Sicherheits-Funktion aus, die man eigentlich aktivieren sollte: die sogenannte «Verifizierung in zwei Schritten», auf Englisch Two-Step Verification.

Kurz gesagt handelt es sich um eine PIN-Code-Abfrage, die Dritten verunmöglichen soll, fremde WhatsApp-Profile zu kapern. Nur wer die vom Besitzer festgelegte Zahlenfolge kennt, kann die Handy-Nummer bei WhatsApp (erneut) registrieren.

watson zeigt anhand der WhatsApp-Version fürs iPhone, wie man das Feature aktiviert, worauf zu achten ist und warum das praktische Feature einen Pferdefuss hat...

Kein Update erforderlich

Die neue Funktion gibts fürs iPhone (iOS), Android und Windows. Wobei das Rollout gestaffelt erfolgt. Es kann also dauern, bis es auf allen Mobilgeräten verfügbar ist

Bild
screenshot: youtube

Das Feature steht mit der aktuellen WhatsApp-Version zur Verfügung (dann ist also kein Update erforderlich)

Bild
screenshot: watson

So findet man es

Das neue Feature verbirgt sich in den App-Einstellungen, im Untermenü «Account»

Bild

Einfache Aktivierung

Das Einrichten ist unkompliziert und dauert nur Minuten

Bild

PIN-Code festlegen

Nun wird man aufgefordert, einen sechsstelligen Zugangscode einzugeben. Wichtig: Es ist davon abzuraten, den gleichen PIN wie für das Gerät oder etwa die Bankomat-/Postfinance-Karte zu verwenden. Und auch das Geburtsdatum ist ungünstig, weil einfach herauszufinden...

Bild

Zur Bestätigung muss man den Code erneut eingeben. 

Bild

Für Vergessliche

«Um dir dabei zu helfen, dir den Zugangscode einzuprägen, wird dich WhatsApp regelmässig danach fragen.»

Eigene E-Mail-Adresse für allfällige Notfälle eingeben

Auch wenn WhatsApp den Zugangscode im Wochen-Rhythmus abfragen will, damit man ihn NICHT vergisst, gilt es ausserdem eine E-Mail-Adresse (fürs Zurücksetzen) einzugeben.

Das ist fakultativ, aber...

Bild

... wer keine E-Mail-Adresse registriert, riskiert, ausgesperrt zu werden

Bild

WhatsApp warnt die User:

«Wenn du eine E-Mail zur Deaktivierung der Verifizierung in zwei Schritten erhältst, die du nicht angefordert hast, klicke nicht auf den Link. Es kann sein, dass jemand versucht, deine Telefonnummer bei WhatsApp zu verifizieren.»

Wo ist der Haken?

Das Sicherheits-Feature kann von jeder Person, die Zugriff auf das entsperrte Smartphone hat, deaktiviert werden. Und fast noch schlimmer: Auch für das Ändern des Zugangscodes und der E-Mail-Adresse ist keine erneute PIN-Eingabe erforderlich. Wer also das eigene Mobilgerät unbeaufsichtigt herumliegen lässt, riskiert, dass jemand die Einstellungen ändert.

Bild
alle screenshots: watson

Zum zwiespältigen Eindruck passt auch, dass die E-Mail-Adresse zwar zweimal einzugeben ist, aber nicht per Mail (durch das Anklicken eines automatisierten Bestätigungs-Links) verifiziert wird. Wer nicht aufpasst und eine fehlerhafte oder fremde Mail-Adresse eingibt, riskiert, sich bei WhatsApp auszusperren...

Fazit: ungenügend!

Zweistufige Authentifizierungs-Verfahren kennen wir seit längerem von wichtigen Diensteanbietern, sei dies Google, Facebook oder auch Apple und Twitter. Bei der Facebook-Tochter WhatsApp ist die Implementierung der sinnvollen zusätzlichen Sicherheitsstufe allerdings nur ungenügend umgesetzt.

Wer das eigene Mobilgerät öfters in fremde Hände gibt oder es ohne Bildschirmsperre herumliegen lässt, muss sich vorsehen. Sonst drohen böse Überraschungen: Im schlimmsten Fall ist zu einem späteren Zeitpunkt das erneute Einrichten von WhatsApp und der Zugriff auf gespeicherte Daten verunmöglicht.

via The Verge

Das bedeuten die Haken bei WhatsApp wirklich

1 / 9
Das bedeuten die Haken bei WhatsApp wirklich
Neue WhatsApp-Nachricht erhalten? So deaktiviert man die automatische Lesebestätigung.
quelle: watson
Auf Facebook teilenAuf X teilen
DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.
Das könnte dich auch noch interessieren:
14 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
DocM
10.02.2017 17:52registriert August 2016
Die zweifach Auth ist nur ein Trick um an verifizierte Mailadressen zu kommen. Dann erhält Zuckerberg die Korrelation: Mobile, reg. Mail und in den Umkehrlogik FB-Account, reg. Mail (da diese oft die gleiche ist) und somit die Crossreferenz zwischen den Accounts.
5613
Melden
Zum Kommentar
avatar
Fondue
10.02.2017 16:16registriert Januar 2015
WA macht das Backup auf das Google Drive. Es wäre nur der logische Schritt auch den Google Authenticator zu nutzen. Warum so was selber Entwickeln und sich blamieren wenn man auf bestehende Features zugreifen kann. Verstehe ich nicht.... Fail WA.
326
Melden
Zum Kommentar
avatar
Hugeyun
10.02.2017 16:16registriert Januar 2016
Zum Glückt fragt WhatsApp im Wochenrhythmus nach meinem Zugangscode, damit ich ihn vergesse. Schwein gehabt (➡Punkt 5!)
201
Melden
Zum Kommentar
14
Mit diesem Stromer läutet Audi seine grosse E-Auto-Offensive ein
Audi ist wieder da: Ein neuer Elektro-SUV soll eine grosse Offensive mit weiteren E-Modellen einläuten. Der Q6 E-tron bekommt schnelles Laden, starke Motoren und eine einzigartige Lichttechnik.

Mit mehr als einem Jahr Verspätung bringt Audi einen neuen Elektro-SUV auf den Markt. Der 4,77 Meter lange Q6 E-tron wurde gemeinsam mit Porsche entwickelt und basiert auf der neuen Elektroauto-Plattform «Premium Platform Electric» (PPE).

Zur Story