WhatsApp schaltet Zwei-Faktor-Authentifizierung für Android und iOS frei, so aktivierst du sie
Bislang nur in einer Betaversion des Android-Clients zu finden, ist die Zwei-Faktor-Authentifizierung mittlerweile auch in der finalen Version des beliebten Messengers für Android, aber auch für iOS zu finden. Das Ganze ist natürlich optional, bedeutet lediglich eine weitere Schutzschicht. Konkret bedeutet dies, dass sich nicht einfach jemand eure SIM schnappen kann und danach direkt in eurem WhatsApp-Account drin ist. Das unterstützen mittlerweile viele Apps auf unterschiedliche Art und Weise.
WhatsApp spricht zwar von einer Zwei-Faktor-Authentifizierung, wobei hier offensichtlich die nach Eingabe eurer Zwei-Faktor-Pin auf der SIM empfangende SMS mit Code als Faktor 1 gesehen wird. Andere Apps setzen auf einen zweiten, zufällig generierten Schlüssel, welcher in einer OTP-App wie dem Google Authenticator angezeigt wird. Telegram macht es anders, da muss man die Rufnummer und ein zusätzliches Passwort wissen.
WhatsApp greift ähnlich an, verlangt einen weiteren Zahlencode von euch, damit ihr die App nutzen könnt. Zu finden ist diese Einstellung unter Einstellungen > Account > Verifizierung in zwei Schritten.
Hier legt man seinen Code fest. Diesen braucht man, wenn man WhatsApp auf einem Smartphone neu einrichtet. Solltet ihr den Code vergessen, so könnt ihr diesen über eine Rücksetzungs-Mail resetten und so wieder Zugriff auf euren WhatsApp-Account bekommen. Solltet ihr die Zwei-Faktor-Authentifizierung für WhatsApp deaktivieren wollen, so könnt ihr dies ebenfalls unter Einstellungen > Account > Verifizierung in zwei Schritten erledigen.
Unter iOS ist dies auch unter Einstellungen > Account > Verifizierung in zwei Schritten zu finden. Hier klickt man auf „Aktivieren“. und muss in Folge dessen auch einen sechsstelligen Code eingeben.
Wohlgemerkt: Die muss man nicht dauerhaft beim Starten der App eingeben, lediglich einmal, wenn man sich registriert. Das sollte nur selten der Fall sein, beispielsweise, wenn ihr das Smartphone tauscht – oder ihr WhatsApp komplett neu installiert. Nummer also nicht vergessen, vielleicht im Passwort-Manager hinterlegen.
Update: Mittlerweile hat WhatsApp eine FAQ veröffentlicht. Aus ihr geht hervor, dass der Code ab und an abgefragt wird, damit man diesen nicht vergisst:
Note: To help you remember your passcode, WhatsApp will periodically ask you to enter your passcode. There is no option to disable this without disabling the two-step verification feature.
Das Feature ist doch schon ewig drin
@Flo: In der Beta, ja. http://stadt-bremerhaven.de/whatsapp-so-aktivierst-du-die-zwei-faktor-authentifizierung-fuer-mehr-sicherheit/
Also in meinem iOS-Whatsapp ist „Verifizierung in zwei Schritten“ noch nicht zu sehen. Ist dafür ein App-Update notwendig oder wird das einfach von denen auf Serverebene freigeschaltet?
@Patrick: Server-seitig Kannst ja mal den Client abschießen und neu starten.
@caschy
Habe ich gemacht, aber „Verifizierung in zwei Schritten“ ist trotzdem nicht vorhanden; kommt wohl nach und nach auf die Clients.
Ich wundere mich gerade, wie man dann einen Account erstellen kann mit einer neuen Nummer. Diese hatte ja höchstwahrscheinlich vorher schonmal jemand mit WA registriert.
@Alex steht alles sogar auf der offiziellen WhatsApp Seite https://www.whatsapp.com/faq/de/general/28030001
Wie verhält sich WhatsApp denn bei mehrmaliger Falscheingabe der PIN? IP blockieren, Login für diese Rufnummer blockiert, gar nichts blockieren?
@Alex
Aus der FAQ: „If your number is reverified on WhatsApp after 30 days of last using WhatsApp, and without your passcode, your account will be deleted and a new one will be created upon successfully reverifying.“
Wenn Du Deine Nummer also nach 30 Tagen Nicht-Nutzung des Accounts verifizieren läßt und keinen Passcode hast, was ja bei einer neuen Nummer der Fall ist, wird der alte Account gelöscht und ein neuer Account generiert.
Die Option gibts schon seit einigen Versionen 🙂
So stehts auch in dem Artikel. Schön das Whatsapp endlich auch 2FA für alle anbietet.
@caschy: Ist btw auch in der Windows Mobile App verfügbar. (Eine App mit Funktionsupdate!!! Das wäre doch fast schon eine Sondermeldung wert?)
„wobei hier offensichtlich die nach Eingabe eurer Zwei-Faktor-Pin auf der SIM empfangende SMS mit Code als Faktor 1 gesehen wird. Andere Apps setzen auf einen zweiten, zufällig generierten Schlüssel, welcher in einer OTP-App wie dem Google Authenticator angezeigt wird“
ich glaube hier hat jemand das Konzept von 2FA nicht ganz verstanden.
bei Anderen „Apps“ (eigentlich Websites) liegt das daran dass der erste Faktor ein passwort, also Wissen ist. und dazu kommt die App, also der besitz (als 2. Faktor gibts auch bei einigen SMS-Codes.
bei Whatsapp hingegen läuft es ungedreht.
da ist der Erste Faktor eben der Besitz, also die SIM und die Pin ist Im Prinzip n rudimentäres passwort also das Wissen. also hat man wieder Wissen und Besitz.
@My1: Ich sehe nicht, wo caschy etwas Gegenteiliges gesagt hätte. Trotzdem hat er etwas nicht verstanden: die Codes einer App wie Google Authenticator sind alles andere als „zufällig generiert“. (Siehe TOTP) 😉
Das Muster von „Wissen und Besitz“ passt aber streng genommen trotzdem nicht, die OTPs nach TOTP (und auch HOTP) berechnen sich aus einem shared secret, also auch wieder Wissen eigentlich.
ich habe nie geschrieben dass TOTP zufällig sei. ich habe nur die betreffende stelle aus diesem artikel zitiert.
und ich weiß wie TOTP funktioniert, hab mich viel mit 2fa auseinandergesetzt. und ja man könnte sagen dass es auf eine gewisse art auch ein wissen ist aber wissen bezieht sich eher auf das Menschliche gedächtnis (also im sinne davon dass es keine maschine hat, pws werden bspw gehasht, was bei dem TOTP/HOTP seed nicht geht) oder kannst du im kopf nen TOTP ausrechnen?
@My1: Das „er“ bezieht sich auf caschy, nicht auf dich. Caschy hat geschrieben die Codes seien zufällig.
Dafür argumentierst du jetzt falsch. Wenn ich den Seed in Kopf (oder auf einem Zettel) habe (-> Wissen), kann ich mir jeder Zeit beliebig OTPs über den bekannten Algorithmus ausrechnen. Das muss ja nicht im Kopf geschehen, es setzt nur das Wissen um den Seed voraus.
hab wohl etwas zu schnell gelesen.
das stimmt zwar auch aber die meisten apps lassen dich den seed nicht nochmal ansehen. oder wenn man es gleich richtig macht und bspw nen yubikey (oder n anderes smartcard ähnliches device) verwendet dann gibts den seed gar nicht mehr und es ist im prinzip n besitz-only (zumindest solange bis der server gehackt wurde)
Dass sie sich den Seed nicht *nochmal* ansehen lassen, ist ja nun auch kein Argument. Und das Smartcard-Argument zieht auch nur bei Public-Key-Verfahren, wo du deinen privaten Schlüssel ohne Backup auf der Smartcard generierst und er sie nie verlassen kann, oder wenn Client und Server sich per Diffie-Hellman auf den Seed einigen würden (nicht der Fall). Daher bleiben OTPs streng genommen Wissen, sorry. 😉
wird der Code immer noch in Klartext gespeichert? wenn ja einfach sinnlos!
so einen Müll werde ich erst gar nicht einrichten und ich sage auch auch warum. Wie viele Passwörter pro Programm soll sich der Mensch noch merken oder irgendwo notieren, wenn jetzt baldjedes zweite Programm mit einer Zwei-Faktor-Authentifizierung um die Ecke daher kommt? Wenn das Smartphone entweder mit einen Fingerprint oder einen vernünftigen Code entsperrt werden muss zur Benutzung, brwuchts diesen Mist erst gar nicht. Außerdem, als früher noch massenweise sms versendet worden sind hat niemand nach so einen Müll gefragt. Zwei-Faktor-Authentifizierung gaukelt den Leuten nur was vor denn überall wo Zahlen und Buchstaben verwendet werden ist auswertbar von dritten.
man muss ja net überall ein anderes PW oder irgendwas hochsicheres nehmen. mit 2FA hat man ja neben dem passwort ja eben noch den anderen Faktor.