WhatsApp schakelt optie voor tweetrapsauthenticatie in voor alle gebruikers

WhatsApp maakt tweetrapsauthenticatie mogelijk bij alle gebruikers. Het gaat om een opt-in die gebruikers moeten inschakelen via de instellingen. Gebruikers hoeven alleen de code in te voeren als zij hun nummer verifiëren, bijvoorbeeld als zij een nieuwe telefoon in gebruik nemen.

WhatsApp vraagt periodiek om de code, al zegt de dienst niet om de hoeveel tijd dat gebeurt. De functie leunt op het instellen van een zelfgekozen code van zes cijfers in de instellingen. Vervolgens vraagt WhatsApp om de code als iemand probeert een account aan te maken of in te loggen met het telefoonnummer van die gebruiker, zegt WhatsApp. De functie komt in de komende tijd geleidelijk aan beschikbaar voor alle 1,2 miljard gebruikers.

Om de passcode te kunnen resetten moeten gebruikers een e-mailadres opgeven; de dienst kan hier de resetcode naartoe sturen. Als de gebruiker de code is vergeten en geen e-mailadres heeft ingevoerd, kan hij een week lang niet meer inloggen bij WhatsApp. Daarna is dat wel mogelijk, maar maakt de dienst een nieuw account aan, zonder bijvoorbeeld toegang tot back-ups. De functie zit al sinds vorig jaar in testversies van de chatapp.

Reacties (97)

rxr1991 10 februari 2017 10:15

Noem mij paranoia maar is dit niet een prachtige situatie voor WhatsApp zelf? Veiligheid is natuurlijk belangrijk tegenwoordig. Helemaal nadat ongeveer een maand geleden boze tongen beweerde dat er een backdoor in WhatsApp zat

https://www.theguardian.c...ing-on-encrypted-messages

Na veel kritiek en drogredenen is het artikel met veel druk ingetrokken. Wat schets je verbazing, een maand later komen ze met nog steeds geen oplossing voor dat probleem maar met een stukje scheinveiligheid. WhatsApp creeerd een prachtige propositie door nu email adressen te lopen harken. Met deze gegevens kunnen ze profielen gecreeerd bij WhatsApp veel eenvoudiger koppelen aan de profielen van Facebook. Ondanks dat bericht data hoogstwaarschijnlijk veilig is, zijn de sociale structuren en groepsnamen dat waarschijnlijk niet. Ik vraag me af voor wie het een betere deal is. Voor ons of voor Facebook zelf.

WhatsappHack

Whatsapp
Smartphones

@rxr1991 • 10 februari 2017 14:46

1) Het is logisch dat the guardian veel kritiek kreeg, want de presentatie van het artikel sloeg nergens op, en in de uitleg van tobias bleek dat hij heel het Signal Protocol niet eens had bekeken; waardoor zaken als MAX_SKIP variabelen over het hoofd waren gezien.

2) Deze functie zit al minstens 3 maanden in de beta, dus is ver voor dat onzin artikel al in WhatsApp gestopt; het was alleen nog niet actief ivm beta testing. Dus deze functie heeft niets te maken met dat artikel, en stond allang gepland.

3) Je email adres opgeven is OPTIONEEL. Je bent het niet verplicht te doen, maar als je dan je code vergeet wordt wel heel je account naar nul gereset. Die keuze moet je zelf maken.

Mensen lijken zeer paranoide over WA, en gaan dan gebaseerd op geen of halve feiten en maar een deel van de info conclusies trekken; dat verbaast me steeds maar weer.

[Reactie gewijzigd door WhatsappHack op 22 juli 2024 22:06]

bed76 @WhatsappHack • 10 februari 2017 16:54

"Even though I'm paranoïde, doesn't mean I'm wrong..."

Maar ff serieus, paranoïde zijn t.o.v. gratis diensten is logisch. Jij hebt het over halve feiten en foute conclusies, ik noem het gewoon aannames. En aannames kunnen heel goed zijn, zeker in dit soort gevallen, waart je weinig kunt bewijzen, omdat je bijv. de sourcecode niet hebt. Maar o.b.v. van eerdere ervaringen en ontdekkingen op gebied van privacyschending van grote bedrijven, kun je rustig aannemen dat dit niet alleen bedoeld is als service naar de consument toe, maar ook naar zichzelf als bedrijf.

Het simpele concept blijft imo gewoon staan: "If you don't pay for the product, you are the product."

WhatsappHack

Whatsapp
Smartphones

@bed76 • 11 februari 2017 04:42

Oh dit vind ik een erg interessante post en een leuk discussievoer.

Ik hoop dat je het niet erg vindt als ik er uitgebreid op reageer, misschien zat je daar juist niet op te wachten - maar dat risico loop ik dan maar even.

Een milde vorm van paranoia is zeker goed om in acht te houden, niet alleen bij gratis producten; maar altijd. Dat een product betaald is, open, dicht, gratis: je moet altijd opletten. Al kost het een miljoen. Dat iets gratis is maakt het niet onveilig, dat iets betaald is maakt het niet veilig. Dat iets open is maakt het niet veilig, dat iets gesloten is maakt het niet onveilig. Altijd common sense in acht houden en goed kijken wat iets doet.

Aannames kunnen zeker goed zijn, mee eens... Mits je je baseert op het volledige verhaal en alle informatie die beschikbaar is voordat je die aannames gaat maken. Als je maar de helft weet, er totaal geen onderzoek naar doet en vervolgens een aanname maakt en op basis daarvan je conclusie trekt - dan moet je imho goed oppassen en er bij vermelden dat je het niet zeker weet maar dat je DENKT dat het de situatie is.
Je ziet ook de hele dag op internet aannames voorbij komen waarbij je een enorme facepalm maakt en denkt "hoe komen ze er in godsnaam bij, en waarom geven ze dit advies?". Het is vaak goed bedoeld, maar dat maakt het er niet beter op. (Soms is het ook gewoon grappig. User1: "Hoe kan ik Snapchat krijgen?" Beppie42: "Ja dat is op je ifoon die knop naast Safari"

)

Terugkomend op de post waar ik op reageerde vind ik dus dat het aannames en claims zijn die voor een groot deel bestaan uit misinformatie en gebaseerd lijken te zijn op slechts zeer summier onderzoek, en dat moet je dan juist weer niet doen naar mijn mening. "Je hebt de sourcecode niet" is hier dus ook geen argument, omdat er zoveel informatie beschikbaar is over deze onderwerpen dat voor het grootste deel die hele source niet boeit. (O.a. de opmerkingen over The Guardian - daar heb je de bron niet voor nodig om een oordeel te vellen.

)
Mijn voorgaande post was redelijk beknopt en zonder al te uitgebreide argumentatie, laat ik het wat uitgebreider toelichten; dan snap je misschien beter waarom ik het poste - en dat was dus absoluut niet om "aannames" in het algemeen af te zeiken.

Na veel kritiek en drogredenen is het artikel met veel druk ingetrokken.

Na veel kritiek, zeker - en volkomen terecht ook, het was een extreem ongenuanceerd en overdreven artikel; daarom hebben ze ook hun excuses aangeboden en schoorvoetend een rectificatie geplaatst met wat stiekem natrappen om toch te proberen gezichtsverlies te voorkomen. Maar waar zijn precies drogredenen gebruikt, welke zouden dit dan zijn - en wie heeft dat gedaan? Er is namelijk een zeer gegronde reden dat vooraanstaande onderzoekers en professoren als dhr. Green een brandbrief hebben geschreven aan The Guardian. (Hier op Tweakers in het nieuws geweest: nieuws: Beveiligingsexperts kritiseren The Guardian-artikel over WhatsApp-'ba...) Die hebben het dus allemaal mis en gebruiken drogredenaties?

Die brief is hier dus zelfs nog voorbij gekomen, dus daar niet van op de hoogte zijn getuigt van nul tot zeer weinig onderzoek. Waarom dan toch een aanname maken en de suggestie wekken dat het artikel onder druk van drogredenaties teruggetrokken zou zijn - terwijl het overduidelijk is dat het (deels) is teruggetrokken omdat het gewoon bullshit was? Dat snap ik dan dus niet.

Zeker niet omdat er is vermeld wat er dan precies een drogredenatie was, het is een aanname zonder enige onderbouwing - dat maakt het lastig te begrijpen waar de poster het eigenlijk over heeft.

En als dan trouwens naast dit alles ook nog eens blijkt uit het follow-up artikel van "the man himself" waar zoveel fouten inzitten dat het heel pijnlijk duidelijk wordt dat de beste jongen geen flauw idee heeft hoe het protocol functioneert (o.a. vergeten dat er een MAX_SKIP variable is waardoor je niet oneindig de self-healing van Signal kan gebruiken, en o.a. over het hoofd zien wat een probleem het is als een client selectieve blocking toepast en dan een methode voorstellen hoe het "wel zou moeten" die echt volslagen gestoord is) en wat de veiligheid-implicaties zijn: waarom zou je dan blijven suggereren dat het een goed en gegrond artikel was en er nog bij opmerken dat het enkel onder druk/drogredenaties is aangepast?

Sorry hoor, maar daar kan ik met m'n gedachten dus niet bij.
En dit is uitgebreid op meerdere plekken op the internets besproken.

Voorts:

Wat schets je verbazing, een maand later komen ze met nog steeds geen oplossing voor dat probleem maar met een stukje scheinveiligheid.

Nee, daar kwamen ze 3 maanden geleden al mee. Het zit sinds 10 November 2016 in de beta voor iOS en Android. Hier is uitgebreid over geschreven, en er is ook hier op Tweakers aandacht aan besteed:
nieuws: WhatsApp schakelt tweetrapsauthenticatie in bij bèta's
De aanname "die functie hebben ze in reactie op dat artikel gemaakt" is dus incorrect, en dat had de poster met een kleine controle heel makkelijk kunnen weten.

Schijnveiligheid? Het maakt retransmit een blocker, houdt group rejoin tegen, et cetera. Het voegt wel degelijk een extra laag beveiliging toe, die in mijn ogen ook belangrijk is om te activeren. Wat is er precies nep aan dat het geen extra veiligheid zou bieden?
Als je dit activeert kan retransmission niet plaatsvinden zonder eerst de code in te voeren, dat blocked dus wel degelijk de trade-off met automagische retransmission.
Het ligt er ook maar net aan wie je als adversary beschouwt in deze opzet, encryptie zoals dit en dit soort functies vereisen net als bijv. het CA model een vertrouwen. Daar kom je onmogelijk omheen.

En ga zo maar door en door.

Ik vind het niet erg als mensen aannames maken, maar is het nou echt teveel moeite om echt alleen maar even in Google en de Tweakers nieuwsberichten te kijken voordat er aannames worden gemaakt?

De enige aanname die MOGELIJK klopt (en dat is ook het enige waar, naar mijn mening, jou verhaal over "privacy schendingen in het verleden van grote bedrijven" van toepassing kan zijn is) is:

WhatsApp creeerd een prachtige propositie door nu email adressen te lopen harken

Ware het niet dat je e-mail ingeven volledig optioneel is en er op dit moment geen sharing van die data plaatsvindt. Dat wil natuurlijk, zoals ik hier elders in een andere reactie ook al vermelde, niet zeggen dat het nooit zal of kan gebeuren. Maar het ZOU kunnen, dus ale: ze zitten als ze dat willen in een goede positie ALS iedereen z'n mailadres invult.

TL;DR
Ik ben het dus volkomen met je eens: een lichte vorm van paranoia is helemaal goed. Aannames maken is belangrijk, en soms kan je zeker niet anders. Maar in dit geval is er zoveel informatie over beschikbaar, dat ik het gewoon luiheid vindt om niet eens even de artikelen hier te lezen en op Google te kijken; en het derhalve absoluut niet als terecht gemaakte aannames beschouw. En daarom reageer ik er op met een correctie.
Trek gewoon geen conclusies als je niet eens hebt gekeken of maar een heel klein beetje weet, dat is het enige dat ik zeg. En dat lijkt me geen onredelijk standpunt, toch?

Ik hoop dat ik zo wat duidelijker heb gemaakt hoe ik er in sta.

Ben het niet oneens met wat je zegt en wilde zeker absoluut niet zeggen dat je nooit aannames moet maken, maar vind alleen dat in dit geval de aannames die gedaan zijn absoluut niet "heel goed" zijn en louter getuigen van een gebrek aan onderzoek. (Ik zeg niet dat alles in die post perse fout is trouwens, ik reageerde op de punten die gegarandeerd niet kloppen.)

[Reactie gewijzigd door WhatsappHack op 22 juli 2024 22:06]

bed76 @WhatsappHack • 11 februari 2017 11:08

Wow wat een reactie! $_/-\o_$

Goed uitgelegd en onderbouwd, alleen dat stukje over MAX_SKIP and self heal kan ik niet helemaal volgen. Maar ik ben ook ICT generalist geen specialist

.

Dus ja ik begrijp je stelling hiervoor zeker beter en ben het ook met je eens. En inderdaad drogredenaties zijn ook de minst overtuigende argumenten in een discussie

Andy Wachelder @WhatsappHack • 10 februari 2017 17:38

Wat jij en WA "optioneel" noemen is volgens mij gewoon chantage want wie wil nou z'n back-ups kwijt raken...? Je wordt dus feitelijk gedwongen met een e-mailadres over de brug te komen.

WhatsappHack

Whatsapp
Smartphones

@Andy Wachelder • 10 februari 2017 22:24

Je raakt je back-ups vziw niet kwijt, je account wordt gewoon gereset - maar de cloud backup wil ie wel pakken. Het kán zijn dat dat een beta ding was, immers is t redelijk logisch dat de backup niet hersteld zou worden; maar als iemand al toegang heeft tot je iCloud/GDrive zijn er extractors.

Het betekend dat je uit alle groepen wordt getrapt (mensen in die groepen kunnen je zo weer toevoegen.) en eventuele nog niet afgeleverde berichten nooit meer afgeleverd zullen worden tenzij de verzender ze opnieuw verstuurd.

That's it. Als je je code dus vergeet en je hebt geen e-mail ingesteld: dan is dat het resultaat. Hoe is dat precies chantage?
Gewoon je code onthouden en je hebt zelfs daar geen last van, dus de keuze is helemaal aan jezelf.

[Reactie gewijzigd door WhatsappHack op 22 juli 2024 22:06]

Andy Wachelder @WhatsappHack • 11 februari 2017 16:18

Cloud BU is net zo goed een back-up.

gladius1983 @rxr1991 • 10 februari 2017 11:28

Precies! Ik weiger mijn telefoonnummer op te geven bij facebook, ik weiger dus ook een emailadres op te geven aan whatsapp.

Aan de andere kant maakt het ook geen reet uit. Ze zien welke contacten ik heb op whatsapp en welke "vrienden" ik heb op facebook. Deze komen voor het grootste deel overeen. Dus als mijn whatsappcontacten hun telefoonnummer op facebook opgegeven hebben, is mijn profiel op facebook ook eenvoudig te koppelen aan mijn whatsappaccount.

tERRiON @gladius1983 • 10 februari 2017 13:18

... en wat te denken van de mensen die jouw telefoonnummer en emailadres samengevoegd hebben in één contact op hun telefoon. Die contactenlijst wordt weer gedeeld met zowel Facebook als Whatsapp, et voila, het circeltje is weer rond. Naar mate er meer mensen die combinatie hebben samengevoegd in hun contactenlijst, hoe waarschijnlijker het is dat beide gegevens ook daadwerkelijk naar jou wijzen.

Overigens is het nog maar de vraag of FB niet allang jouw nummer heeft. Ik kan me nog herinneren dat FB een tijd geleden eens vroeg of ik mijn nummer wilde bevestigen. Mijn nummer stond al ingevuld, ik hoefde alleen nog maar op OK te klikken. En dat terwijl ik toch zeer zeker weet dat ik mijn nummer niet aan FB overhandigd heb.

PdeBie @tERRiON • 10 februari 2017 14:08

Inderdaad, dat laatste had ik niet zo lang geleden ook. Ik twijfelde of het niet mijn browser was die het veld automatisch ingevuld had, omdat het een telefoonnummer veld is, maar ik denk dat Facebook het al voor mij gedaan had.

Heb het overigens niet bevestigd, dus officieel heb ik niets ingevuld bij Facebook.

WhatsappHack

Whatsapp
Smartphones

@tERRiON • 11 februari 2017 00:02

"Die contactenlijst wordt weer gedeeld met zowel Facebook als Whatsapp,"

Nope. WhatsApp importeert je contactenlijst niet, enkel de nummers en retourneert dan of het wel of geen account heeft. Er worden verder geen details meegestuurd. Geen naam, geen email adres, etc.

sugarlee89 @gladius1983 • 10 februari 2017 11:31

Dus via facebook geef je facebook je e-mail en via whatsapp geef je facebook je telefoonnummer. Wat zie ik nu over het hoofd, je geeft het beide.

Matthijs8 @sugarlee89 • 10 februari 2017 12:36

Bij WhatsApp is je telefoonnummer je account/identifier. Bij Facebook je email adres icm je naam. Als Facebook gegevens van WhatsApp aan je Facebook account wilt koppelen zullen ze dus naar overeenkomsten in de contactenlijst ofzo moeten gaan kijken en dan nog is de match niet helemaal zeker. Als je je WhatsApp koppelt aan hetzelfde emailadres koppelt als je Facebook account is dat voor hun dus een makkelijke en zekere match.

DigitalExorcist @Matthijs8 • 10 februari 2017 14:55

Precies wat @Matthijs8 zegt. De kóppeling tussen je telefoonnummer en mailadres klopt niet/is niet aanwezig.

Ook precies de reden dat ik FB geen telefoonnummers geef en Whatsapp dus óók geen mailadres geef.

Mocht Whatsapp ooit de brui aan geven, jammer dan, iMessage werkt ook perfect.

orange.x @DigitalExorcist • 10 februari 2017 15:22

Toen ik nog een facebookaccount had hebben ze mij daar ook al veelvuldig gevraagd om een telefoonnummer. Zelfs Google heeft dat al wel eens gevraagd geloof ik.

Als je dat allemaal niet wilt: moet je er gewoon mee kappen! Geen betere oplossing!

Franckey @Matthijs8 • 11 februari 2017 18:47

Als je beide apps op je smartphone hebt staan, kunnen je Facebook en WhatsApp accounts gekoppeld worden op basis van je device id.

Anonymoussaurus

Whatsapp
Smartphones

@gladius1983 • 10 februari 2017 12:26

Je bent ook niet verplicht om je e-mailadres in te voeren hoor

. Het is optioneel, zodat wanneer jij jouw code niet meer weet, er een recovery code wordt verzonden naar je e-mail adres. Dat is dus gewoon opt-in.

Wim-Bart @rxr1991 • 10 februari 2017 11:57

Op Windows Phone is e-mail adres optioneel in WhatsApp bij 2FA. Andere OSen weet ik het niet want die gebruik ik niet.

MiesvanderLippe @rxr1991 • 10 februari 2017 12:00

Wees gerust hoor, jouw nummer hebben je vrienden al met Facebook gedeeld. Ze weten allang wie je bent in je netwerk.

NSG @rxr1991 • 10 februari 2017 13:38

En jij denkt werkelijk dat Facebook de koppeling tussen jou 06 en e-mail nog niet gemaakt heeft?

Anonymoussaurus

Whatsapp
Smartphones

10 februari 2017 11:46

Je kunt op de volgende manier de tweetrapsauthenticatie inschakelen:

Settings > Account > Two-step verification > Enable.

Ik ben benieuwd hoe het zit met dat e-mailadres. Wordt dat encrypted/hashed opgeslagen? Mag WhatsApp dat e-mailadres delen met Facebook? Dat kan ik nergens terugvinden.

[Reactie gewijzigd door Anonymoussaurus op 22 juli 2024 22:06]

T-MOB @Anonymoussaurus • 10 februari 2017 13:38

Natuurlijk wordt dat niet gehashed opgeslagen. Ze moeten het immers kunnen gebruiken om een e-mail te kunnen sturen. Encrypted zou kunnen, maar ook hier geldt dat de sleutel ook bij whatsapp zelf moet liggen, omdat ze er zelf bij moeten kunnen. Iemand die toegang heeft tot de servers van whatsapp kan er in principe "gewoon" bij.

Probook8979 @T-MOB • 10 februari 2017 14:49

Kun je mij uitleggen hoe dat Encrypted werkt van Whatsapp? Zodra je je gesprekken backupt in Icloud?

Geldt 't dan nog van whatsapp of van Icloud?
Wordt de encrypted van whatsapp in de icloud bewaard?

WhatsappHack

Whatsapp
Smartphones

@Probook8979 • 10 februari 2017 14:56

De backups in iCloud zijn versleuteld met één sleutel, en ja dat encrypt WhatsApp. Je media is niet encrypted. Verder wordt uiteraard ook de encryptie van iCloud toegepast.

WhatsappHack

Whatsapp
Smartphones

@Anonymoussaurus • 10 februari 2017 14:59

Er zijn vooralsnog geen plannen voor om het te delen, maar de voorwaarden staan het in principe wel toe. Je moet er dus vanuit gaan dat het gedeeld kan worden als ze dat in de (nabije) toekomst zouden willen doen.

Als je dat geheel wil voorkomen kan je kiezen om geen e-mailadres op te geven of een wegwerp mailaccount/forwarder te gebruiken.

goedt 10 februari 2017 09:02

leuke optie maar denk dat niet veel mensen hem gaan gebruiken en van de mensen die hem gaan gebruiken gaan al veel mensen snel afvallen.

ik persoonlijk zie het nut er op zich wel van in (veel mensen niet dus daar gaat het al fout) maar ik heb geen zin om elke week weer die code moeten in te vullen dus ik denk dat ik hem niet ga gebruiken.

als whatsapp het echt veiliger wil maken denk ik dat ze dit moeten verplichten.

Anonymoussaurus

Whatsapp
Smartphones

@goedt • 10 februari 2017 09:36

Heel veel tweakers zijn argwanend over WhatsApp wat betreft security. Met deze functie, geeft dat denk ik toch wat meer zekerheid.

[Reactie gewijzigd door Anonymoussaurus op 22 juli 2024 22:06]

MiesvanderLippe @Anonymoussaurus • 10 februari 2017 12:04

Whatsapp blijft hetzelfde bedrijf dat whatsapp altijd al was hoor. Deze functie is er voor mensen die niet zeker kunnen zijn van de veiligheid van SMS of SIM. Zie incidenten in Amerika met grote YouTubers.

Als je als belangrijk persoon nu je simkaart verliest die vaak geen goede pin heeft loop je ook al risico, dat risico word deels weggenomen door de whatsapp pin.

Anonymoussaurus

Whatsapp
Smartphones

@MiesvanderLippe • 10 februari 2017 12:12

Dat weet ik. Waar zeg ik het tegendeel dan? Dat mensen WhatsApp niet vertrouwen, komt omdat het is overgenomen door Facebook. Nu heeft deze functie weinig met Facebook te maken (los van dat je je e-mail in moet voeren), maar het zorgt wel voor een betere beveiliging.

MiesvanderLippe @Anonymoussaurus • 10 februari 2017 16:39

Nou je claimt dat de argwaan richting whatsapp vermindert zal worden. De argwaan komt echter niet voort uit de activatie methode, die is bij elke messenger hetzelfde.

Anonymoussaurus

Whatsapp
Smartphones

@MiesvanderLippe • 10 februari 2017 16:46

Klopt, maar het verbetert wel de beveiliging van WhatsApp, en de veiligheid van accounts.

Donstil

Smartphones

@Anonymoussaurus • 10 februari 2017 13:12

"Heel veel"? Naar mijn mening valt dat allemaal wel mee. Je leest het online veel maar ik spreek vrijwel nooit iemand in real life die er ook zo over denkt.

Ik denk dat we wel kunnen stellen dat het overgrote gedeelte van de gebruikers geen zak geeft en het gewoon gebruikt.

Anonymoussaurus

Whatsapp
Smartphones

@Donstil • 10 februari 2017 13:13

In real life. Maar zijn dat ook mensen die zich in technologie verdiepen? Bij bijna elk artikel lees ik negatieve dingen over privacy-gerelateerde dingen over WhatsApp. Dat bedoelde ik meer. Sorry, met "heel veel" bedoelde ik "heel veel tweakers". Zal het aanpassen.

Donstil

Smartphones

@Anonymoussaurus • 10 februari 2017 13:18

Ja "wij" hebben idd bezwaren (maar gebruiken het doorgaans toch) alleen "wij" zijn voor Whatsapp helemaal niet belangrijk helaas. Het is de normale gebruiker waar ze op doelen en die zijn allemaal gewoon gebleven of terug gekomen na de overgang.

Hydranet @goedt • 10 februari 2017 10:12

Het idee is leuk maar beetje onhandig dat je steeds met dezelfde code je whatsapp dan moet unlocken. Ik heb nog wel een code die ik zo nu en dan voor iets anders gebruik maar die is langer als 6 cijfers. Ik had liever gezien dat ik mijn google authenticator voor 2FA aan mijn whatsapp kon koppelen zodat ik niet nog een code hoeft te onthouden, ook de reden dat ik lastpass gebruik om niet 100 verschillende wachtwoorden te hoeven onthouden.

WhatsappHack

Whatsapp
Smartphones

@goedt • 10 februari 2017 14:40

Het hoeft niet elke week. Het is nogal random, heb er geen patroon in kunnen vinden. Soms vraagt ie het twee keer in een week, soms zie ik rustig 3 a 4 weken geen enkele prompt. En de prompt kost je 1sec om de code in te tikken.

Het lijkt wel veel sneller gevraagd te worden als je vaak je toestel reboot.

[Reactie gewijzigd door WhatsappHack op 22 juli 2024 22:06]

Q-collective

10 februari 2017 09:38

Ligt het nu aan mij of is dit helemaal geen 2FA? Je kiest immers zelf een wachtwoord inlogcode. Dit is gewoon inloggen met een vrij beperkt aantal mogelijke wachtwoorden inlogcodes, of begrijp ik het verkeerd?

P1nGu1n

@Q-collective • 10 februari 2017 09:45

2FA = Two-factor authentication, oftewel 2 factoren om in te loggen.

typically at least two of the following categories: knowledge (something they know), possession (something they have), and inherence (something they are)

De eerste factor is een code per SMS (fysiek, SIM/telefoon), de tweede factor een pin die je zelf in stelt (kennis). Voldoet prima aan de definitie van 2FA?

[Reactie gewijzigd door P1nGu1n op 22 juli 2024 22:06]

MiesvanderLippe @P1nGu1n • 10 februari 2017 12:01

Behalve dat SMS door bedrijven die zichzelf wel serieus nemen niet als valide factor word beschouwd ivm spoofing.

xFeverr @MiesvanderLippe • 10 februari 2017 14:57

Wat heb je aan spoofing? Het wordt naar jou telefoonnummer gestuurd, er wordt niks verzonden naar Whatsapp waarbij je het nummer inderdaad zou kunnen spoofen

MiesvanderLippe @xFeverr • 10 februari 2017 16:41

Gaat over het verkrijgen van iemands SIM of toegang tot SMS berichten. Hiermee verlies je tot voor kort je hele whatsapp account en binnenkort dus een factor in je 2 factor authentication.

VNA9216 10 februari 2017 09:59

Dus als je straks een nieuw nummer krijgt moet je je zorgen maken dat iemand anders er in het verleden al eens een code op gezet heeft en er een mailadres aan heeft gehangen? Klinkt handig. Misschien ook nog wel een mooie manier om centjes te verdienen aan het "losgeld" vragen voor whatsapp op nummers die je eerst massaal hebt geregistreerd..

FvdM @VNA9216 • 10 februari 2017 11:05

Dus als je straks een nieuw nummer krijgt moet je je zorgen maken dat iemand anders er in het verleden al eens een code op gezet heeft en er een mailadres aan heeft gehangen?

https://www.whatsapp.com/faq/nl/general/26000021

Zoals ik het begrijp:
- wel code, wel mail akkoord: volledig herstel
- geen code, wel mail akkoord: na 7 dagen inactiviteit mogelijk, herstel zonder chats en history
- geen code, geen mail akkoord: na 30 dagen inactiviteit mogelijk, heel nieuw account

Dan zou je uiteindelijk na een maand je account kunnen maken.

Edit: verduidelijking inactiviteit

[Reactie gewijzigd door FvdM op 22 juli 2024 22:06]

VNA9216 @FvdM • 10 februari 2017 11:14

Ah, ja vanmorgen met mn duffe kop het gelezen als 7 of 30 dagen vanaf je poging tot het verifieren van je account, maar het is sinds het laatste gebruik.
Ik hoop dat Whatsapp na zo'n wissel ook de mensen met wie je contact hebt gehad een melding geeft van de verandering (of zullen ze dat toch al krijgen nu encryptie is ingeschakeld?)
Als ik zie hoeveel troep ik nog via whatsapp krijg voor de vorige eigenaar van een van mn simkaarten zou dat dan ook wel een goed idee zijn..

WhatsappHack

Whatsapp
Smartphones

@VNA9216 • 10 februari 2017 14:43

Nee, dat krijgen ze niet. Hoogstens een notificatie dat de sleutel is gewijzigd.

Wel wordt je uit alle groepen getrapt, en als jij de verzenders niet in je contacten hebt dan komen broadcast lists waar de vorige eigenaar van t nummer in stond ook niet meer bij je aan.

nocalimero 10 februari 2017 10:11

Zit net even in mijn instellingen te zoeken, maar ik kan in WhatsApp nergens vinden waar ik mijn email adres kan invoeren. Ik zit overigens op Windows 10 Mobile.

Ik zie wel de optie om 2FA aan te zetten, maar nergens een optie om een email adres in te voeren. Dat lijkt me niet logisch?

Wim-Bart @nocalimero • 10 februari 2017 11:12

Onder Instellingen -> account -> verificatie in 2 stappen. 2GA inschakelen. 1e x code ingeven, code herhalen, e-mail ingeven, e-mail herhalen.

Althans dat is het bij mij onder WP10.

[Reactie gewijzigd door Wim-Bart op 22 juli 2024 22:06]

nocalimero @Wim-Bart • 10 februari 2017 11:24

Dus als ik het goed begrijp is de mogelijkheid om een email adres in te geven pas zichtbaar als je 2FA inschakelt?

Ik heb het gecheckt, en het werkt inderdaad zo.
Je kunt je email adres dus pas ingeven nadat je 2FA hebt ingeschakeld.

[Reactie gewijzigd door nocalimero op 22 juli 2024 22:06]

Wim-Bart @nocalimero • 10 februari 2017 11:53

Sterker nog, je kan 2FA inschakelen zonder e-mail.

Kpt. Sputnik @nocalimero • 10 februari 2017 11:23

Ik heb ook Win10 mobile. Vanochtend is de mijne geüpdatet naar versie 2.17.52

2FA kun je dan hier vinden:
instellingen > account > verificatie in twee stappen

Ik heb zojuist 2FA ingesteld. Eerst moet je de code tweemaal invoeren, vervolgens je emailadres. Dat laatste is dan wel weer optioneel want er zit ook nog de functie overslaan bij.

Verwijderd 10 februari 2017 12:54

lekker telegram gebruiken joh!

En nu ook is een theme engine beschikbaar voor telegram lekkkuurrrrrrr

https://www.tabletsmagazi...-ontvangt-themas-en-meer/

Anonymoussaurus

Whatsapp
Smartphones

@Verwijderd • 10 februari 2017 13:02

Waarom Telegram gebruiken dan? Daar ben ik wel benieuwd naar. Vanwege de 'privacy'? Vanwege de 'security'? Die zijn namelijk in stukken slechter dan die van WhatsApp. Waarom? Telegram maakt gebruik van een eigen ontwikkelde encryptie die bekend staat als lek. Schakel je geen end-to-end encryptie in bij Telegram? Dan worden je berichten gewoon in plain-text opgeslagen.

mrcage 10 februari 2017 13:31

Ik zou ook wel blij zijn met een authenticatie als ik de app wil starten. Mijn kinderen gebruiken mijn telefoon ook sporadisch en het lezen van enkele whatsapp groepen wil ik ze eigenlijk besparen

WhatsappHack

Whatsapp
Smartphones

@mrcage • 10 februari 2017 15:02

Er wordt nagedacht over het kunnen instellen van TouchID om WhatsApp in te komen. Dat werd een beetje als dubbel ervaren omdat "als men toegang heeft tot je telefoon, dan heb je sowieso al een probleem", maar na wat heen en weer gemail gaan ze er nog eens over denken.
Of het er gaat komen weet ik dus niet, maar de interesse is in ieder geval weer gewekt.

joldemans 10 februari 2017 14:31

Thats cute. Telegram heeft dit al ongeveer een jaar incl touchID en daar hoor je niemand over.

WhatsappHack

Whatsapp
Smartphones

@joldemans • 10 februari 2017 15:04

Is gewoon in het nieuws geweest hoor:
nieuws: WhatsApp-concurrent Telegram voegt tweestapsauthenticatie toe

Bij Telegram was de noodzaak hiervoor ook oneindig veel groter dan bij WhatsApp, gezien als je een Telegram account kraakt je meteen de volledige berichtgeschiedenis inclusief bijlagen kan downloaden, alle contacten krijgt, een transparante MitM kan uitvoeren, etc. etc.

[Reactie gewijzigd door WhatsappHack op 22 juli 2024 22:06]

joldemans @WhatsappHack • 10 februari 2017 16:05

Ik doelde meer op het feit dat 'nieuwe' / belangrijke functies bij whatsapp vaak al ergens anders lang geleden zijn geïmplementeerd maar dat het bij Whatsapp vaak ineens wereld nieuws is.

Maar ik snap het, grotere userbase, dus meer clicks wanneer het over whatsapp gaat... (niet perse tweakers, maar nieuwssites in het algemeen)

WhatsappHack

Whatsapp
Smartphones

@joldemans • 11 februari 2017 05:24

Zoals je kunt zien aan de link die ik je gaf, wordt er over zowel WhatsApp als Telegram (en ook andere messengers) gewoon netjes bericht. Dus het is niet enkel bij WhatsApp "wereldnieuws".

Overigens jatten ze over en weer functies van elkaar, en toch zijn het twee losstaande producten - daarom is het nieuws als ze iets veranderen, ongeacht of een andere messenger het misschien al eerder had: dat boeit niet.

jt81 10 februari 2017 10:58

Zie ik het verkeerd, of gaat dit fout zodra je telefoonnummer weer de roulatie in gaat? Dan weet de volgende eigenaar dus de code niet van het telefoonnummer.. ?

Wim-Bart @jt81 • 10 februari 2017 11:19

Zie ik het verkeerd, of gaat dit fout zodra je telefoonnummer weer de roulatie in gaat? Dan weet de volgende eigenaar dus de code niet van het telefoonnummer.. ?

Gaat het sowieso ala je je account niet migreert. En bovendien, hoe vaak wissel je van nummer. Heb mijn nummer al sinds 1997 dus wat is de kans op een ander nummer. En zakelijk schuiven nummers gewoon door naar je opvolger.

WhatsappHack

Whatsapp
Smartphones

@jt81 • 10 februari 2017 14:54

Dan kan je dus kiezen om het account te resetten

Dan wordt het account verwijderd en opnieuw aangemaakt; dus heb je een vers account. (Alle groepen weg, gesprekken retransmitten niet, etc.)

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (97)

Sorteer op:

Weergave: