Die sogenannte Zwei-Faktor-Authentifizierung gilt als eine der effektivsten und sichersten methoden zur Absicherung des eigenen Accounts. Wer sich mit einem Benutzernamen und einem Passwort bei verschiedenen Diensten einloggt, muss zusätzlich eine mehrstellige Pin eingeben. Nun integriert auch WhatsApp diese Option, lässt allerdings ein unerfreuliches Hintertürchen ungeschützt.
Um die neue, momentan ausgerollte Funktion zu aktivieren, muss man sie unter > Einstellungen > Verifizierung in zwei Schritten > Aktivieren freischalten. Bei der Aktivierung dieser Funktion lässt sich optional eine E-Mail-Adresse eingeben, an die WhatsApp einen Link senden kann. Über diesen Link kann man die Verifizierung in zwei Schritten deaktivieren, falls man z.B. seinen sechsstelligen Verifizierungscode vergessen hat.
Diese Funktion ist ein mögliches Sicherheitsrisiko, denn grundsätzlich könnte auch der Dieb eines Smartphones eine solche Deaktivierung anfordern und selbst bestätigen, sofern er über das Gerät Zugriff auf den E-Mail Account hat. Dementsprechend sollte man an dieser Stelle zwar durchaus eine Adresse angeben, aber vorsichtig sein. Empfehlenswert wäre, wenn man für solche und ähnliche Fälle eine separate E-Mail Adresse verwendet, die man sonst “nie” benutzt und nur in Sonderfällen von seinem heimischen Rechner abruft.
Die 2-Faktor Authentifizierung von WhatsApp basiert grundsätzlich auf dem Prinzip, dass nur der Besitzer den wöchentlich erneuerten PIN-Code kennt. Sprich: nur in Kenntnis des Codes kann ein ausschließlich mit dieser Rufnummer bzw. SIM-Karte gekoppelter WhatsApp-Account geöffnet werden.
Weiterlesen:
- Apple-ID: Zweistufige Authentifizierung aktivieren
- Zwei-Faktor-Authentifizierung: SMS nicht mehr sicher genug
Andere Anbieter gehen einen Schritt weiter, diese setzen auf eine Trennung der Geräte. In diesen Fällen kann man auf ein Konto auf einem Desktop-PC nur dann zugreifen, wenn man (per SMS oder über eine Authentifizierungs-App) einen zufallsbasiert generierten Code mit ganz kurzer Ablaufdauer erhält. Für WhatsApp macht diese Form der Absicherung wenig Sinn, da die App hauptsächlich auf dem Smartphone läuft und ein Gerätewechsel damit ausscheidet.
Bei der N26 Bank ist die fehlende Notwendigkeit von 2 Geräte immer noch ein Grund, warum Sicherheitsexperten die Onlinebanking App des Unternehmens kritisch sehen.
Die Funktion erfordert zudem ein wenig Selbstdisziplin und eignet sich nur für Nutzer, die WhatsApp regelmäßig nutzen. Denn: Wenn die Verifizierung in zwei Schritten aktiviert ist, kann man WhatsApp ohne einen noch gültigen Zugangscode sieben Tage lang nach der letzten Nutzung nicht erneut verifizieren.
Das bedeutet, dass auch der legitime Kontoinhaber keine Möglichkeit hat, seinen Zugang erneut zu verifizieren, sofern er seinen eigenen Zugangscode vergisst und keine E-Mail-Adresse für die Deaktivierung der Verifizierung in zwei Schritten angegeben hat.
Nach Ablauf der siebentägigen Sperrfrist kann man seine Telefonnummer auch ohne Zugangscode verifizieren, hat aber keinen Zugriff auf die zwischenzeitlich nicht zugestellten Nachrichten, diese werden gelöscht. Wenn die eigene Nummer ohne Zugangscode dreißig Tage nach der letzten Nutzung erneut verifiziert wird, wird der Account bei der Verifizierung gelöscht und ein neuer Account wird automatisch erstellt.
WhatsApp will den Benutzern die Einprägung des Zugangscodes “erleichtern”, in dem regelmäßig nach der PIN gefragt wird. Es gibt nach Angaben des Unternehmens keine Möglichkeit, diese evtl. Lästigen Nachfragen abzustellen, ohne die Verifizierung in zwei Schritten komplett zu deaktivieren.
Quelle: whatsapp.com