WhatsApp mit neuen Sicherheitsfunktionen: Kontoschutz, Geräteverifizierung, automatische Sicherheitscodes
von André Westphal | 12 Kommentare
WhatsApp hat neue Sicherheitsfunktionen für alle Nutzer vorgestellt: Kontoschutz, Geräteverifizierung sowie automatische Sicherheitscodes. Allerdings sind die Features nicht ab sofort verfügbar, sondern werden laut dem offiziellen Blog „in den kommenden Monaten“ aktiviert.
Kommen wir zu den einzelnen Features:
Kontoschutz: Wenn ihr euer WhatsApp-Konto auf ein anderes Gerät übertragen möchtet, prüft WhatsApp die Identität. So werden Benutzer aufgefordert, auf ihrem alten Gerät zu bestätigen, dass sie diesen Schritt als zusätzliche Sicherheitsüberprüfung durchführen möchten. Diese Funktion kann warnen, wenn jemand versucht, euer Konto auf ein anderes Gerät zu verschieben.
Geräteverifizierung: Um Kompromittierungen mit Malware und daraus resultierende Probleme zu verhindern, integriert WhatsApp neue Prüffunktionen. Sie helfen dabei, ein Konto zu authentifizieren, ohne dass der Nutzer etwas tun muss. Weitere technische Details könnt ihr dazu hier nachlesen. Da werden z. B. Sicherheitstokens im Hintergrund genutzt.
Automatische Sicherheitscodes: Sicherheitsbewusste Benutzer konnten schon die Funktion „Sicherheitsnummer verifizieren“ nutzen. Mit dieser Funktion könnt ihr sicherstellen, dass ihr wirklich mit der gewünschten Person chattet. Um diesen Vorgang zugänglicher für alle zu gestalten, gibt es jetzt eine neue Sicherheitsfunktion. Sie basiert auf einem Prozess namens „Schlüsseltransparenz“. Ihr könnt damit automatisch überprüfen, ob eine Verbindung sicher ist. Durch Klicken auf den Tab „Verschlüsselung“ lässt sich direkt überprüfen, ob eine persönliche Unterhaltung sicher ist.
WhatsApp rät dabei den Usern, auch selbst aktiv zu werden: Zum einen empfiehlt man die Verifizierung in zwei Schritten zu aktivieren und die Ende-zu-Ende-verschlüsselten Backups zu verwenden. Beides sind Maßnahmen, die ebenfalls die Sicherheit für euch erhöhen. Solltet ihr beide Features kennen und ohnehin von ihnen Gebrauch machen: Klärt vielleicht euren weniger technikaffinen Bekanntenkreis darüber auf.
Ich wünsche euch viel Spaß mit den neuen Sicherheitsfunktionen von WhatsApp. Mal sehen, wann sie dann nach und nach bei allen Nutzern des Messengers zu sehen sind.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Zum Thema den weniger technikaffinen Bekanntenkreis zu informieren: Wenn ich als Fachinformatiker es nicht schaffe, besagte Bekannte davon zu überzeugen, dass Telegram nicht sicherer als WhatsApp ist (die haben WhatsApp deinstalliert und nutzen seit Corona Telegram OHNE Ende-zu-Ende Verschlüsselung) ist, dann brauche ich mit solch „extravaganten“ Tipps gar nicht erst ankommen 😀
Man muss die Leute zu ihrem Glück zwingen. Verschlüsselung, 2Faktor, PINs und Passwörter dürfen nie freiwillig sein. All diese Dinge werden die Leute zwar vergessen oder sich nicht merken, spätestens beim Gerätewechsel ist das Geschrei dann groß, aber das ist dann halt so. Besser als Opfer von Betrug und Identitätsdiebstal zu werden. Das hat meist noch viel schlimmere Folgen.
> Besser als Opfer von Betrug und Identitätsdiebstal zu werden. Das hat meist noch viel schlimmere Folgen.
Nein, das ist keine Entscheidung, die man den Menschen abnehmen kann. Risiko ist Omnipräsent und die Risikoabwägung ist nichts, was irgendjemand jemals aus der Hand geben sollte. Mir ist z.B. vollkommen egal, ob unser Systemadministrator glaubt MS Teams sei sicher.
Aber: Jede Maßnahme muss letztlich in Bezug gesetzt werden zu dem erwarteten marginalen Sicherheitszuwachs. Einfacher Vergleich: Zwei Masken tragen war während covid auch minimal sicherer als nur eine Maske zu tragen. Hat trotzdem keiner gemacht, weil den Menschen dieser erwartete marginale Sicherheitszuwachs halt den Umstand mit der zweiten Maske nicht wert war.
Die IT Community hat viele Menschen aktiv trainiert, sich gegen Sicherheitsmaßnahmen aufzulehnen. Man erinnere sich an die Zeit in der alle dachten, man müsse ständig alle Passwörter ändern. … oder die Zeit in der man ihnen erzählt hat, Passwörter müssen so aussehen, dass man sie sich zwar nicht merken kann, sie aber schnell gebruteforced oder predicted werden können.
Wenn man so will sind diese Methoden die WhatsApp hier vorstellt eigentlich ein starkes Signal im Sinne des weiten Weges, den die IT-Community hinter sich hat: Sie erhöhen die Sicherheit in plausiblen Szenarien ohne den Nutzern in den Weg zu kommen.
Deshalb, tl;dr: Niemanden zu irgendwelchen Sicherheitsmaßnahmen zwingen. Wenn sie uns nicht wollen sind wir einfach nicht hübsch genug.
Gar nicht. Komfort steht über Sicherheit. Deswegen ist Telegram so beliebt. Ich erlebe die letzten Jahre genau das selbe. Woraus sich zeigt das offensichtlich ein Wechsel möglich ist. Jetzt fehlt nur die passende Alternative. Bisher wechselt man aber von etwas sicherem zu etwas unsicherem, was man vorher eigentlich bemängelte?! 😀
Da machen aber auch die anderen „Großen“ keinen Unterschied. Community dezentral ist das Stichwort, wogegen auch jegliche Regularien scheitern. Die sind aber bisher weiterhin alles andere als komfortabel auch wenn es besser wurde.
An viele Telegram-Nutzer kommt man leider auch nicht mehr dran. Die drehen sich sich das irgendwie zu recht und mischen alles durcheinander was sie irgendwo mal irgendwo als Schlagwort gelesen haben.
Ich hatte letztens wieder eine Diskussion über Multi-Device und E2E. „Telegram kann das schon lange“.
Als ich meinte dass Chats bei Telegram nicht E2E-Verschlüsselt sind fing er an über Gruppenchats zu reden.
Als ich ihm dann erklärte dass auch Einzelchats per Default nicht E2E-Verschlüsselt sind und wenn man das aktiviert der Sync nicht mehr funktioniert wurde er ungehalten.
Ich habe nach 10 Minuten Austauch aufgegeben.
Übrigens finde ich Telegram an sich auch schon sehr bequem. Die API ist schön einfach und funktioniert.
Aber man muss sich halt klar machen dass alles beim Anbieter im Klartext liegt und ggf. eben auch so mitgelesen werden kann.
Ich pushe mir da z.B. einzelne RSS-Feeds wie z.B. die Sonderangebote bei Netcup oder eine Info wenn mein Server mal tot ist.
Beim Kontoschutz dürfte es nur Probleme geben, wenn das alte Smartphone nicht mehr zur Verfügung steht (verloren, gestohlen, defekt) für eine Bestätigung?
Oder verstehe ich da was falsch?
daran dachte ich auch als erstes
Naja wenn das Telefon kaputt ist konnte man den Account ohnehin noch nie auf ein neues Gerät übertragen. Daran hat sich nichts geändert.
Man müsste dann eben auf die Chatverläufe verzichten und die Nummer neu registrieren. Sofern die Registrierungssperre/PIN gesetzt ist, muss man sich an die erinnern. Kann man das nicht, muss man eine kurze Weile warten, bevor man die Nummer neu registrieren lassen kann.
Auch wenn das Telefon kaputt ist konnte man bisher einfach z.B. ein Backup bei Google Drive/iCloud oder von seinem WebDAV-Server (über kurze Umwege) wiederherstellen und mit der alten Nummer nutzen (zumindest wenn das neue Gerät über die alten Nummer dann erreichbar ist).
Man wurde halt dann auf einem alten Gerät automatisch abgemeldet.
Wenn aber nun für die Registrierung eines neuen Gerätes das OK vom alten Gerät gebraucht wird könnte das in der Tat problematisch werden wenn es eben z.B. gestohlen wurde.
Ah, das ist ein guter Hinweis. Ich nutze selbst gar keine Cloud-Backups.
Ah, vermutlich ist der Grund dafür sowas wie „Daten in der Cloud sind nicht mehr deine Daten“?
Wir hatten gerade hier weiter oben die Diskussion darüber, wie sehr gerade unter ITlern (oder Leuten, die meinen sich mit dem Thema gut auszukennen) die gefühlte Sicherheit und die gefühlten Sicherheitsrisiken von den tatsächlichen Sicherheitsrisiken und der tatsächlichen Sicherheit abweicht.