Alternative zum SMS-Code
WhatsApp unterstützt die Anmeldung mit Passkeys
Ein halbes Jahr nach der Bereitstellung auf der Android-Plattform unterstützt WhatsApp jetzt auch auf iOS-Geräten die Authentifizierung mithilfe von Passkeys. Die Funktion soll über die kommenden Wochen hinweg für alle Nutzer bereitgestellt werden.
Die Verwendung von Passkeys kommt bei WhatsApp immer dann zum Tragen, wenn man sich erneut bei seinem Konto anmelden muss. Anstelle des hier sonst üblichen, per SMS zugestellten Zahlencodes kann man sich dann mithilfe der biometrischen Merkmale seines iPhones identifizieren, also Face ID oder Touch ID verwenden, oder alternativ dazu auch seinen iPhone-Passcode eingeben.
Bei iPhone-Besitzern, die anstelle von Apples iCloud-Schlüsselbund den Passwort-Manager eines Drittanbieters verwenden, wird der Passkey für WhatsApp in diesem gespeichert – vorausgesetzt natürlich, Passkeys werden von der genutzten Lösung unterstützt.
Mehr Sicherheit und Flexibilität
Im Rahmen der Ankündigung sehen die WhatsApp-Betreiber die mit der Lösung verbundenen Vorteile zum einen im Bereich der Sicherheit, klassische SMS-Codes können zum Beispiel abgefangen werden oder auf andere Weise in falsche Hände geraten. Passkeys können dagegen nicht weitergegeben werden, sondern sind fest an das vertrauenswürdige Gerät eines Nutzers gebunden. Zudem sind WhatsApp-Nutzer beispielsweise auf Reisen dank der Passkeys auch von Netzwerk-Verbindungen unabhängig.
Die Passkeys-Option von WhatsApp lässt sich über die Einstellungen der Anwendung aktivieren. Ihr findet den zugehörigen Menüpunkt im Einstellungsbereich „Konto“. Dort kann man die neue Anmeldeoption aktivieren und im Anschluss daran auch verwalten. Falls diese Option bei euch noch nicht angezeigt wird, sollte dies in Form eines „stillen Updates“ in den nächsten Tagen oder Wochen im Hintergrund ergänzt werden.
Der klassische Weg in Form eines SMS-Codes wird als alternative Variante der Anmeldung bei einem durch Passkeys geschützten Konto auch weiterhin angeboten und möglich sein.
Wer hat sich dieses hässliche grün ausgedacht. Vor dem letzten Update war das doch immer blau in der App. :)
Es war schonmal vor paar Monaten grün. Sind dann wieder auf blau und jetzt (leider) wieder auf grün.
Scheint noch ein A/B Test zu sein. Bei mir sind alle GUI Elemente auch nach dem update blau.
Ein ewiges hin und her, aber dass man es hinterher wirklich einstellen kann, fehlt immer noch. Ist aber angeblich angekündigt.
Die Testen das seit Ewigkeiten im Betatest.
Dann groß ankündigen und dann in Wellen ausrollen, das geht mir sowas von auf dem Senkel. (Schön bei Gockel abgeschaut)
Solange sms immer noch möglich ist gibt es also 0 Sicherheits Vorteile
SMS werden bereits seit langem kompromittiert, indem man sich neue SIMs an eine andere Adresse schicken lässt. Natürlich wollen die damit aber nicht die 2FA für WhatsApp umgehen, sondern an SMS TAN für das Online Banking kommen.
Ich denke da größer. Auf meinen Passwort-Tresor (inkl. OTP und Passkeys) komme ich weltweit ohne Probleme dran. Bei Verlust meines Telefons wäre ich mit SMS aufgeschmissen, da sich eSIM im Ausland nicht aktivieren lässt. Ich habe SMS 2FA überall wo möglich ausgetauscht.
Ergeben sich da irgendwie Probleme, wenn man mal sein Handy wechselt?
Das vetrauenswürdige Gerät gibt es dann von jetzt auf gleich ja nicht mehr, wenn ich ein Backup mache und das auf dem anderen einspiele, oder?
Nein, denn die Passkeys werden ja über das Backup auf alle Geräte kopiert. Und auch die üblichen Passwort-Manager (1Password & Co) haben entsprechende Sync-Lösungen.
Beim Gerätewechsel wartet man also die Synchronisation von iCloud oder ähnlichem ab und kann dann den Passkey zur Authentifizierung nutzen.
„Passkeys können dagegen nicht weitergegeben werden, sondern sind fest an das vertrauenswürdige Gerät eines Nutzers gebunden.“
Natürlich geht das – durch die iCloud oder z. B. 1Password – sogar mit anderen Personen. Wäre ja auch schlimm, wenn nicht.
Um sich mit einem Passkey bei einem Anbieter einzuloggen, wird der private Schlüssel nicht herausgegeben und damit verlässt das Geheimnis nicht den Passwortmanager des Anwenders. Stattdessen wird vom Anbieter mit dem öffentlichen Schlüssel des Anwenders, eine Challenge beim Loginprozess gestellt, die nur der Passwortmanager mit dem privaten Schlüssel lösen kann. Anschließend verlässt lediglich das Ergebis der Challenge, denn Passwortmanger und man wird eingeloggt – ohne den privaten Schlüssel (Geheimnis) preis zu geben. Zusätzlich schützen Passkeys auch vor Phishing, da diese nur bei korrekt hintegte Domains funktionieren und eben nicht auf gefälschten Webseiten.
Das Zitat von Jo geht am Thema etwas vorbei.
Bei der Entschlüsselung wird der private Key nicht an den Anbieter übertragen.
Trotzdem hat Heiko recht: der Passkey ist NICHT an ein Gerät gebunden, sondern kann zB über Passwortmanager mit anderen Geräten synchronisiert und auch auf anderen Geräten verwendet werden.
Insofern ist der zitierte Text im Artikel ungenau.
auf jeden Fall sollte man das mit den Passkeys (aber generell mit 2FA) einmal durchspielen. kommt man mit einem dritten Gerät, an dem man nie eingeloggt war, in seinen Schlüsselbund oder seinen Passwort-Manager? kommt man zur Not an seine E-Mails?
ein bekannter hatte sich kürzlich ausgesperrt, weil er sein iPhone verloren hatte. der Versuch, sich auf der Webseite einzuloggen scheiterte, weil eine 2. Authentifizierung über das iPhone (welches ja weg war) nicht möglich war. in die Email kam er ohne Passwort-Manager ebenfalls nicht rein. blieb nur das telefonieren mit der Taxizentrale und mit glu k wurde es dann dort gefunden…
Jeder Apple Nutzer sollte mindestens einen Wiederherstellungskontakt festlegen. Dann kommt man auch beim Verlust aller eigenen Geräte entweder mit dem Apple-ID-Passwort oder mit Zugang zum Mail-Postfach an seinen Apple Account, indem der Wiederherstellungskontakt einen Zwei-Faktor-Code generiert. So muss man sich beim Verlust des iPhone nicht erstmal eine Ersatz-Simkarte besorgen, um an die im Apple Account hinterlegte Mobilnummer einen Zwei-Faktor-Code zugesandt bekommen zu können.
Eine Backup-Zugangsstrategie für den Passwortmanager bei Verlust aller eigenen Geräte, wenn man nicht den Apple Schlüsselbund nutzt, ist sinnvoll.
Die sollen mal lieber multi sim ausrollen
ich nutze über den Tag etwa 5-6 verschiedene Geräte und Systeme um mich irgendwo einzuloggen. Passkey finde ich dazu eher unpraktisch, gerade wenn man zwischen verschiedenen OS herumspringen muss.
Da nutze ich lieber einen ordentlichen Passwortmanager mit eigenständigem Backup und 2FA fernab der grossen gängigen Anbietern. Über oder bei Apple als Applenutzer bspw speichere ich überhaupt nichts.
Was nutzt du denn ?