Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 69 reacties

WhatsApp werkt waarschijnlijk aan tweetrapsauthenticatie. De functie werkt met een zescijferige code die gebruikers zelf moeten verzinnen en onthouden. Hoe WhatsApp de authenticatie zal inzetten, is vooralsnog onbekend.

Het Twitter-account WABetaInfo trof in de meest recente bèta-versie voor Android, 2.16.183, de verborgen functie aan. De functie werkt met een code die gebruikers zelf moeten aanmaken, wijzigen en verwijderen. Wie de code is vergeten, kan toegang tot het account krijgen via een vooraf opgegeven e-mailadres.

Het is onbekend hoe en wanneer WhatsApp de functie zal gebruiken. Standaard stuurt WhatsApp een gegenereerde code via sms voor authenticatie. Na die eerste keer vraagt WhatsApp op dezelfde telefoon niet meer naar authenticatie. Het zou kunnen dat de functie wordt ingezet bij het inloggen op een nieuwe telefoon en het terugzetten van een backup. Voor gebruik van WhatsApp Web of Desktop gebeurt dat via een qr-code die gebruikers in de app zelf moeten scannen.

Het gebeurt vaker dat WhatsApp in bèta-versies alvast functies test die pas veel later in de varianten komen die in de downloadwinkels verschijnen. Het bestaan van veel nieuwe functies komt voor het eerst naar buiten via de bèta's.

WhatsApp two-factorWhatsApp two-factor

Moderatie-faq Wijzig weergave

Reacties (69)

Heeft Whatsapp nog een andere vorm van authenticatie dan? Dit lijkt me gewoon een pincode om je account/berichten te beveiligen, niet tweetrapsauthenticatie.
In zekere zin wel - het is gekoppeld aan je SIM kaart die als ik het goed heeft primair als authenticatie door de telco wordt gebruikt. Zonder die SIM kan jij dus niet een ander account overnemen lijkt me...
Da's niet (helemaal?) waar. Op tablets zonder simkaart of een andere simkaart werkt WhatsApp ook. Er wordt dan een SMS'je gestuurd naar het opgegeven nummer, bijvoorbeeld van je telefoon, en vervolgens kan je de ontvangen code overtypen op de tablet waarna je daar WhatsApp kan gebruiken.

In zekere zin in de beschikking over het telefoonnummer wat bij je WhatsApp account hoort dan wel een vorm van authenticatie, maar WhatsApp hoeft daar niet zelf toegang toe te hebben.
Wat is je punt? Je kan dan toch nog steeds alleen op je eigen account.
Het is verre van feilloos, aangezien je die authenticatie maar één keer doet. Je kunt dus prima als iemand zijn telefoon laat liggen terwijl hij naar het toilet gaat even zijn nummer invullen op WhatsApp en aan je eigen device koppelen. Daarna blijft dat gewoon werken zonder dat hij het doorheeft (als je het verificatie-sms'je even verwijderd hebt natuurlijk). Daarbij moet natuurlijk wel opgemerkt worden dat WhatsApp maar op één apparaat tegelijk gekoppeld kan zijn, dus dit trucje leunt er wel een beetje op dat de persoon in kwestie zelf geen WhatsApp gebruikt, anders heeft hij het snel door natuurlijk, en kan hij zijn eigen device her-activeren.

Alsnog is een extra vorm van authenticatie middels een wachtwoord wat je nodig hebt voor het gebruik zeer welkom.
Ik kom er net achter dat ik op mijn Windows telefoon gewoon naar web.whatsapp.com kan gaan. Hier kan ik gewoon de QR code scannen met iemand zijn whatsapp. Dit zorgt ervoor dat ik zijn berichten zonder zijn weten kan lezen. Behalve als hij/zij regelmatig controleert wie er verbonden zijn via web.

Web kan trouwens ook maar op 1 plaats tegelijk actief zijn.

Maar dit lijkt mij vele malen minder opvallend voor een andere gebruiker dan het daadwerkelijk overnemen van zijn account.
True, dat is eigenlijk nog ernstiger, aangezien je daarmee ook de berichtengeschiedenis kunt lezen. En er zijn een stuk minder mensen die WhatsApp Web gebruiken. Ook daarvoor zou een pincode zeer wenselijk zijn, maakt het een stuk minder makkelijk.
Ik denk dat de code waar hier over gerept wordt, eerder ingezet zal worden voor Web/Desktop dan voor account activatie... Immers is die laatste inderdaad veel makkelijker te misbruiken op het moment.
Als het goed is krijg je nu een vaste notificatie dat aantoont dat Web Whatsapp wordt gebruikt, als het schermpje open is en iemand dus mee kan lezen/typen.

Om de gebruiker te laten weten dat je een webclient open hebt staan en misschien vergeten of iets.
Ik heb die melding in ieder geval nog nooit gehad.
Ik kan hier geen foto toevoegen, maar hier is een voorbeeld net genomen.
http://i.imgur.com/RfOOOIl.jpg

[Reactie gewijzigd door Mustii_93 op 19 juli 2016 20:55]

Duidelijk. Dat hebben ze nog niet in de Windows versie blijkbaar. Maar dat maakt het werk lastiger te misbruiken.

Blijft die melding ook als je hem wegveegt?
Ja, melding gaat niet weg totdat je de webclient afsluit als ik het goed heb, weet niet precies wanneer hij verdwijnt
Mmmh de S7 waar ik het even op getest heb liet geen melding zien. Ook niet als ik opnieuw naar de web interface navigeerde.
Moet er wel bij zeggen dat ik in de beta groep zit, waarschijnlijk zit die functie nog niet in de publieke versie.
dus dit trucje leunt er wel een beetje op dat de persoon in kwestie zelf geen WhatsApp gebruikt
Serieus MadEgg haha? :*)
In mijn vriendengroep zijn er een aantal mensen die in het geheel geen mobiele messengers gebruiken en een aantal die van WhatsApp overgestapt zijn op Telegram, dus zo raar is dat nou ook weer niet. Deze personen zouden het niet zo snel merken als ik hun account zou kapen of voor ze aanmaken.
Behalve dan dat die melding dat WhatsApp gedeactiveerd is op dat toestel als pop-up verschijnt. :P Ook als ze WhatsApp niet gebruiken zullen ze dat dus waarschijnlijk heel snel doorhebben. ... Je zou de app dus moeten verwijderen wil je dat succesvol doen.

De vraag is hoeveel je er aan hebt, het enige dat je kan zien zijn berichten uit het tijdsbestek waarin jij de account kaapt. En je kan vervelend doen door mensen stomme berichten te sturen, al kan je jezelf dan al deze moeite besparen door gewoon een SMS-gateway te gebruiken. :P
Een gevalletje identiteitsfraude bij online aankopen (marktplaats) via WhatsApp is zo gepiept lijkt me. Ik kan tal van zaken bedenken die in dit geval zeer onaangenaam kunnen zijn voor de eigenaar van het account.
Gezien de huidige hacks van youtubers met tweetrapsverificatie door simpelweg de provider op te bellen en een nieuwe simkaart op te laten sturen naar een ander adres is het kennelijk vrij simpel om die authenticatie te omzeilen. Het is dus zeker handig om een extra pincode te hebben zodat heractivatie op een ander toestel ook een 2e factor nodig heeft die alleen jij weet (als het goed is).
Klopt, maar het is dus wel authenticatie. Want als jij dat SMS'je niet krijgt kan je niets..
Het werkt op je tablet maar je kan het niet op 2 devices tegelijk runnen dan vraag ik mij af wat dit voor nut heeft.
De SIM-kaart is alleen voor de facturatie naar de providers toe. Je kunt een mobiel nummer prima op meerdere SIM-kaarten hebben. Echter degene die zich dan het eerste meldt op de GSM-mast kan dan het nummer gebruiken. :)

Was laatst volgens mij wel iets over naar buiten gekomen, dat het op zich redelijk makkelijk is (als derde persoon, dus niet de contracthouder bijvoorbeeld) om een nieuwe SIM-kaart te krijgen voor een reeds uitgegeven mobiel nummer.

[Reactie gewijzigd door CH40S op 19 juli 2016 12:22]

In principe bieden de providers dat zelf ook al aan met Dual-SIM oplossingen :P
Ik was wat kort door de bocht met de tweede alinea. Ik heb hem even wat uitegebreid. :)
Nee, dat zijn twee verschillende nummers op één telefoon.
Wat dacht je van T-Mobile MB Verdeler?
Zegt me niks.
https://www.t-mobile.nl/k...ordeelbundels/mb-verdeler
Tot maximaal 3 simkaarten: je simkaart die je krijgt bij je abonnement plus twee extra simkaarten
Dat kan al jaren... ik heb vroeger ook een kloon sim gehad, dat was nog voor de smartphone tijd. Ik had toen een speciale ruggedized en waterdichte Nokia 6310 voor werkzaamheden maar die was veel te log en groot om privé mee rond te lopen, ik had daarom daarnaast nog een mooie Nokia 8810... Vodafone heeft mij toen voorzien van een kloon sim zodat ik niet telkens de Sim hoefde te verwisselen.
Ik zeg toch ook niet dat het nieuw is? Maar ik snap wat je bedoeld, even mijn bericht aanpassen. :)
Zeker tweetrapsauthenticatie of two-factor-authentication gaat uit van twee verschillende dingen die je niet op dezelfde plek kunt vinden. In dit geval is het iets dat je hebt (een werkende simkaart in een werkende telefoon) die nodig is voor de gegenereerde code en iets dat je weet (de zescijferige pincode).

WhatsApp ziet dat duidelijk ook zo, want de screenshots vermelden duidelijk de woorden 'Two-factor authentication' :)
Je zin klopt niet "een werkende simkaart in een werkende telefoon" moet zijn "een telefoon met een nummer wat in jouw bezit is waar je een verificatie-SMS op kan ontvangen". Whatsapp zelf doet niks met de SIM.
Om een SMS op dat nummer te kunnen ontvangen zal de SIM die aan dat nummer gekoppeld zit toch echt moeten werken en zich in een werkende telefoon moeten bevinden.
Nee, want het kan ook een nummer zijn zonder sim.
Een nummer heeft toch echt een werkende simkaart, tenzij uiteraard de simkaart kapot is of geblokkeerd is, maar dan heb/krijg je een nieuwe simkaart dus dan heb je nog steeds een simkaart ;).
Zonder werkende simkaart waaraan het nummer is gekoppeld kan je geen sms ontvangen.
En zonder een werkende telefoon al helemaal niet ;).
Dat klopt toch niet helemaal... er bestaan tegenwoordig namelijk ook eSims waar je dus geen fysieke sim-kaart in je telefoon hebt maar een geprogrammeerde chip (hoewel men dit natuurlijk ook als sim-kaart kan zien).

Ten tweede kun je ook via apps als TextNow een nummer krijgen waar je sms'jes op kunt ontvangen, hiervoor is enkel een internet (WiFi) verbinding nodig en dus ook geen sim-kaart ;)

Tot slot de telefoon, die zou je ook kunnen vervangen door een emulator op een PC (niet handig natuurlijk voor whatsapp)
Voor zover ik weet word er in de eu nog geen gebruik daarvan gemaakt. Dus dit laten we nu echt even achter ;).

Textnow, tja, dat is toch wel apart ;p.
Je kunt ook een vast nummer opgeven. Heeft jouw huistelefoon een simkaart?
Bij mij lukte dat anders niet.
die nodig is voor de gegenereerde code en iets dat je weet (de zescijferige pincode).
Kunnen kwaadaardige gebruikers dat gewoon niet bruteforcen?
Ik neem aan dat het aantal pogingen beperkt is tot 3 of 5 ofzo (en dan elke X uur / dagen een reset van die teller ofzo)
Ik zie het nut niet echt want je hebt al een pincode / wachtwoord op je telefoon en je telefoonnummer is de andere beveiliging. Waarvoor is dit nodig?
Zoals beschreven in het artikel maken ze gebruik van SMS authenticatie
Dat is nu ook al het geval, bij het activeren van Whatsapp op elke telefoon, in elk geval op Android althans.
Dat staat toch ook in het artikel ? :P
De SMS bij activatie van de app, is meer een bevestiging voor het mobiele nummer of die werkt/bestaat of niet. Daarmee kun je dus een login poging niet bevestigen. Als je Whatsapp gebruikt op je mobiel, gaat die immers automatisch door. ;)

[Reactie gewijzigd door CH40S op 19 juli 2016 11:56]

Ik heb liever dat die pannenkoeken eens een web functie maken zoals Telegram dat doet, dus zonder tussenkomst telefoon. Ik wordt er lijp van dat elke keer een melding komt dat ze mijn telefoon niet kunnen vinden.
Dat zal 1,2,3 niet gebeuren, omdat als ze de opzet van Telegram willen er zo verschrikkelijk veel ingeleverd moet worden op de veiligheid en privacy waarborging dat ze daar niet aan gaan beginnen... Ze moeten dan de end-to-end encryptie standaard uitschakelen, al jou berichten en media in de cloud opslaan, et cetera. Alles wat ze dus al jaren niet willen, en waarom het privacy vriendelijk is, moeten ze dan overboord gooien voor een marginale winst in gebruiksvriendelijkheid.
(Overigens, als je telefoon steeds niet gevonden kan worden is er iets mis met je netwerk(instellingen); heb je energiebesparing aanstaan op WiFi/betere WiFi prestaties uitgeschakeld?)

Als je dus een cloud-based systeem wil hebben waar al je data in plain-text opgeslagen is: dan gebruik je toch gewoon Telegram?
Als je het echter prima vindt dat alles lokaal draait, en daarbij veel betere beveiliging en privacy gewaarborgd wordt; maar je dan niet zonder telefoon kan chatten: dan gebruik je WhatsApp of Signal.

Keuzes maken dus! ;)
Ik snap niet waarom iedereen wil dat alles maar hetzelfde werkt. Ik ben zelf juist heel blij dat er keuze is tussen sterke veiligheid en sterke gebruiksvriendelijkheid. Voor mij heeft WhatsApp daar de perfecte balans in gevonden, maar daar zal niet iedereen het mee eens zijn: en voor die mensen zijn er zat alternatieven; waaronder Telegram.

[Reactie gewijzigd door WhatsappHack op 19 juli 2016 14:26]

3G/4G is binnen klote op mn werk. En wifi niet aanwezig voor privé gebruik. Vandaar dat het in dit geval zuigt.

Maar het is hinderlijk en dat heb ik niet met Telegram.
Privacy maak ik mij geen zorgen om bij een Facebook app :+
Ja dat maakt het lastig, maar daar kan WhatsApp natuurlijk vrij weinig aan doen. :) Kwestie van klagen bij provider en/of bedrijf. :P

Mwah, de privacy is bij WhatsApp vele malen beter gegarandeerd dan bij Telegram.
WhatsApp is een zeer veilige app. Het enige waar FB in principe bij zou kunnen is de metadata, met wie je praat dus. Meer niet. Telegram kan bij al je data (heeft dit ook plain-text opgeslagen), en mag dit juridisch gezien doorverkopen als ze willen; terwijl WhatsApp dat niet zou mogen ALS ze uberhaupt bij die data kunnen komen.
Het is maar wat je wilt. :P WhatsApp != Facebook. ;)
Klopt.
Tijd voor een Nederlands cq Europees alternatief.
Mwah, met wat er in de EU allemaal gebeurd is voor gestoorde overheidsspionage shit; weet ik niet of dat nou echt toegevoegde waarde heeft. Privacy is hier, ondanks dat dat zo lijkt, niet eens super veel beter geregeld eigenlijk.

Dan kan je eigenlijk nog beter overstappen naar het opensource Signal. Dat is dezelfde E2EE als in WhatsApp, alleen kan je hier eventueel zelfs je eigen server draaien. Zit niet echt een bedrijf achter.
Of je gebruikt Telegram ipv Whatsapp als je dat beter vindt?
Dat doe ik ook. Maar er zijn veel mensen die niet de moeite nemen om te kijken naar alternatieven zoals Telegram. Dus ben je weer genoodzaakt om Whatsapp te gebruiken. Niet erg hoor, maar de gebruikservaring is beter van Telegram.
Ik weet niet of dit ingezet gaat worden voor iets anders dan WhatsApp Web/Desktop, maar het zou ook een voordeel hebben bij account activatie; namelijk om automagische hertransmissie van berichten tegen te gaan. Enkel activeren is dan niet genoeg, pas als de code is opgegeven zal de client je contacten verzoeken alles wat mismatched in de E2EE opnieuw te versturen. Zou leuk zijn, maar mogelijk ook problematisch in het geval dat iemands nummer vervalt, de provider het aan iemand anders toekent en je vervolgens die code blijkt te moeten intikken; maar voor dat klantvriendelijkheidseuveltje vinden ze vast een makkelijke/snelle oplossing ALS dit ook voor verificatie van het nummer ingezet wordt.

Overigens zal dit misschien (uiteindelijk) ook als toegangscode voor de app kunnen worden gebruikt als de gebruiker dat wil. En wie weet komt er ook TouchID ondersteuning voor deze twee zaken. :) Gewoon een paar laagjes extra beveiliging voor zij die dat willen. En vooral voor desktop/web is dat best snugger.
Hoe zit het met de forencis team?
Zodra je dit ingeschakeld hebt, kunnen de overheids instanties alsnog je hele whatsapp bericht uitlezen?
Huh, ik snap het niet. Je download en installeert WhatsApp, je voert je telefoonnummer in waarop je een SMS verificatie code krijgt (in kan vullen of laten uitlezen door WhatsApp zelf) en nu moet je ook een 6-cijferige code invullen die je (allicht ooit) gemaakt hebt? En dan... Dat is het?

Lijkt mij persoonlijk (en dat meen ik toch) weinig nut te hebben?
Even een worst-kaas scenario:
Als iemand zo snugger is en je telefoonnummer invult op de WhatsApp die op zijn (of haar) telefoon staat dan komt de applicatie toch niet verder dan het Verificatie scherm. Je mis dan de code die door WhatsApp gesmst wordt naar de eigenaar van dat telefoonnummer. Je kan zonder die code vrij weinig of je moet 6^9 aan combinaties willen proberen...

Ik had gehoopt dat zo'n code dan voor de applicatie kwam als extra bescherming, in plaats van een extra applicatie installeren die dit voor je doet .
Ik snap het nut niet, als je een backup terug wil zetten moet je al inloggen op Google, en om die SMS verificatie kom je ook niet echt heen... en dan nog een code? Dan moet je flink wat te verbergen hebben
Verbergen? Gewoon zorgen voor degelijke veiligheid.
Denken aan de veiligheid van je chats en media, en daarmee ook je privacy, heeft helemaal niets met verbergen te maken.
Je chats worden toch ook lokaal opgeslagen? https://imgur.com/xb7Yqqq
Dus ik denk dat dit dan extra word beveiligd, want inprincipe kan iedereen hierbij.
ben ik de enige die tweetrapsauthenticatie altijd in het engels probeert te lezen? kan het niet
twee-traps authenticatie worden?
Dat probleem had ik dus ook.

Moest het artikel lezen om het te snappen. Vond al zo gek. WhatsApp verstuurd toch geen tweets :?
ghehe dit is al het 2e artikel bij tweakers waarbij ik lees tweet...raps.....authen...?!
aaah twee-traps authenticatie :+
Het is een systeem waarbij je Tweets moet Rappen :+
Ik bedenk me net dat dit trouwens ook best wel eens gebruikt kan gaan worden voor het herstellen van je back-ups. De back-ups naar Google Drive en naar iCloud zullen encrypt gaan worden. Het toevoegen van een extra code aan deze back-up is niet geheel ondenkbaar, alhoewel aan de andere kant er een "reset" functie komt op basis van je e-mailadres... Dat is een indicator dat het hier misschien niet voor gaat dienen.

Toch... interessant om te bedenken hoe ze het gaan inzetten.
Hoe gaat dit dan over plusminus 3 jaar? als mensen een nieuw nummer hebben gekregen? Wanneer een oud nummer weer wordt ingezet komt de nieuwe eigenaar er plots achter dat er een 6 cijferige passcode op staat om te koppelen aan Whatsapp.

Op dit item kan niet meer gereageerd worden.



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True