Sicherere Nutzerkonten bei WhatsApp

Die „Verifizierung in zwei Schritten“ schützt den WhatsApp-Account durch einen zusätzlichen Passcode vor Missbrauch.

Mit einer neuen Funktion will WhatsApp das Kapern von Konten erschweren: Bei der „Verifizierung in zwei Schritten“ handelt es sich um die Einführung eines optionalen Passworts. Bisher waren WhatsApp-Konten lediglich an die Telefonnummer gekoppelt. Bei der An- oder Ummeldung einer Nummer wird dem Nutzer eine Einmal-PIN per SMS zugesandt, um zu bestätigen, dass er die entsprechende Nummer auch wirklich innehat. Deshalb braucht der Nutzer lediglich eine SIM-Karte, die zu der entsprechenden Nummer passt, um WhatsApp auf einem Gerät zu nutzen.

Dieser Vorgang ist für die Nutzer sehr bequem und hat bei der enormen Verbreitung des Messengers zweifellos eine Rolle gespielt. Er stellt aber auch ein Risiko dar, da Unbefugte das WhatsApp-Konto übernehmen können, falls sie es schaffen, die Kontrolle über die Telefonnummer des Nutzers zu erhalten. Das funktioniert, indem sie die Nummer auf einem anderen Gerät erneut aktivieren und die Aktivierungs-SMS abfangen – etwa über eine zweite SIM-Karte für dieselbe Nummer oder durch einen Angriff auf das SS7-Protokoll. Im August waren im Iran über einen dieser Wege Konten des WhatsApp-Konkurrenten Telegram kompromittiert worden.

Wer die optionale Verifizierung in zwei Schritten aktiviert, muss einen sechsstelligen Code festlegen, der bei der Kontoverifizierung der dazugehörigen Telefonnummer abgefragt wird. Wird eine Aktivierung eines WhatsApp-Kontos mit Zwei-Schritt-Verifizierung auf einem neuen Gerät durchgeführt, bei der der sechsstellige Code nicht eingegeben wurde, schlägt diese fehl, falls das Konto in den letzten sieben Tagen benutzt wurde. Nach sieben Tagen kann das Konto wieder ohne den zusätzlichen Code aktiviert werden, allerdings löscht WhatsApp dann alle nicht zugestellten Nachrichten. 30 Tage nach der letzten Nutzung können auch andere Nutzer die Telefonnummer erneut bei WhatsApp verifizieren – in diesem Fall wird das alte Konto komplett gelöscht. Die neuartige Verifizierung schützt also vor Missbrauch eines aktiven Kontos, blockiert aber keine Telefonnummern.

Man schaltet die doppelte Kontoverifizierung unter „Einstellungen / Account / Verifizierung in zwei Schritten“ ein. Momentan ist diese Funktion allerdings nur für Betaversionen von WhatsApp verfügbar. Wann sie allen Nutzern zur Verfügung gestellt wird, ist unklar. Optional können Nutzer eine E-Mail-Adresse angeben, über die sie die zusätzliche Sicherheitsmaßnahme wieder deaktivieren können. Hat man den sechsstelligen Code vergessen, ist dies die einzige Möglichkeit, das eigene WhatsApp-Konto auf einem anderen Gerät unbeschadet zu reaktivieren. (fab@ct.de)