Wie funktioniert Whatsapp-Authentifizierung arbeiten?
Möchte ich die Entwicklung einer mobilen app und verwenden Sie eine whatsapp-wie die Registrierung des Benutzers. Jetzt erinnere ich mich, die Sicherheit Probleme, die hier diskutiert wurden vor einigen Jahren. Whatsapp verwendet zur Authentifizierung der Benutzer einfach, indem Sie Ihre Handy-Nummer und IMEI. Nun, das ist natürlich nicht wirklich sicher, aber ich weiß wirklich nicht, wie man es sicherer.
Nun hörte ich nicht etwas über Whatsapp Probleme bei der Authentifizierung nicht mehr für eine lange Zeit, so dass ich denke, Sie haben sichere Methode nun. Wissen Sie, wie Whatsapp funktioniert es heute?
Du musst angemeldet sein, um einen Kommentar abzugeben.
Ich nehme einen stab an dieser Frage.
Meines Wissens nach, ist Whatsapp immer noch verwendet Ihre Telefonnummer als primäre eindeutigen Bezeichner. Das erste mal, wenn Sie den log-in zu Whatsapp überprüfen Sie die Telefonnummer auf Ihre eigenen.
Jedoch das zweite mal Whatsapp bietet ein geheimer Schlüssel, der beim log-in. Dies hilft zu vermeiden, dass einige der Angriffe Dienste wie Telegramm gesehen haben, wo eine SMS kann auch aufgerufen werden, abgefangen und an jeder Stelle Zugriff auf das Konto (nehmen Sie einen Blick an, wie Ihre web-log-in funktioniert).
In der Tat, dieser geheime Schlüssel, die Sie bieten, ist Ihre Kennung, die sicher gespeichert lokal verwendet werden müssen alle weiteren Anforderungen. Natürlich, Benutzer wechseln-Handys. In einem solchen Fall muss das Konto wieder aktiviert werden per SMS, wo Sie ein neues Geheimnis-id hergestellt werden, entkräften die Vorherige.
Daher, ein Angreifer könnte versuchen, die SMS-intercept-Protokoll, ich Sprach von durch re-Aktivierung. Das problem mit diesem ist, würden Sie erkennen, jemand abfangen, Ihren traffic sofort, weil Whatsapp deaktiviert auf Ihrem eigenen Gerät. Also, dieser konnte nur erfolgreich sein, wenn Sie kein Häkchen bei Whatsapp für eine Weile oder waren in der Mitte eines internet-Ausfalls. Insgesamt macht diese Methode sicher.
@Srinivas, Was Sie beobachtet haben, ist nichts anderes als Whatsapp zu speichern, dass eine bestimmte Telefonnummer nicht verifiziert werden kann für die nächsten zwei Stunden, unabhängig von der Herkunft der Anfrage, auf deren überprüfung-server.
EDIT: In der Antwort auf @Srinivas Kommentar:
Ich entschuldige mich für die nicht gründlich. Ich werde versuchen, neu zu erklären.
Meinte ich mit zum ersten mal anmelden, ist der gesamte SMS-Verifizierung. Daher werde ich unterteilen sich in zwei Segmente:
Erstmalige Anmeldung: Der Benutzer fordert ein SMS-Bestätigungs-code. Sie sind erforderlich, um geben Sie den code korrekt, wenn von einem anderen Gerät, oder alternativ Whatsapp erkennt die SIM-Karte und die vollständige Verifizierung automatisch. Sie sind dann angemeldet und haben Zugriff auf Ihre nicht zugestellte oder backed-up-Nachrichten, wenn es einen früher bestehenden account.
Zweiten mal anmelden: Unmittelbar nach dieser überprüfung Whatsapp erzielt einen geheimen Zugangs-token, die lokal auf dem Gerät gespeichert. So, jedes mal Sie die app öffnen und versuchen, eine Verbindung zu dem server, Sie sind erforderlich, um diese Schlüssel zugreifen. Als ich erklärte, wenn Sie möchten, um zu re-aktivieren Sie Ihr Konto auf einem anderen Gerät, müssen Sie zu Schritt 1 wieder von dem neuen Gerät, die dann generieren Sie einen neuen geheimen Schlüssel--ungültig die vorherigen, und machen es nur möglich, sich mit dem neuen Gerät.
Ich überprüfte die Dokumentation und Folgen dem gleichen Muster genau. Was vielleicht verwirrt Sie ist die erste "code-Anfrage-token". Das ist einfach ein Schlüssel, prüft die Gültigkeit der Gerät, das eine Anforderung zum ausführen von Schritt 1. Dies gewährleistet die Legitimität der Herkunft des Benutzers beim registrieren Ihr Gerät.
Hier ist, wie das funktioniert:
Möchte der Benutzer ist Schritt eins. Daher schicken Sie ein Anfrage-token an den server, zusammen mit Ihrer Identität (Telefonnummer). Dies ist ein code, der geliefert wurde, beim laden der Anwendung.
Dies noch nicht ausreichend, um das stoppen einer SMS-fangt bei Schritt 1. Gegeben, dass der Ursprung der Anforderung ist eine legitime Whatsapp installation der SMS-Bestätigungs-code kann ein Angreifer Zugang zum Konto des Benutzers. Allerdings, wie ich zuvor bemerkt, dadurch erlischt die zuvor erzeugten geheimen Schlüssel aus Schritt 2. Daher, der Benutzer wird bemerken, dass Sie schon ausgeloggt lokal, solange Sie aktiv mit Whatsapp und mit dem Internet verbunden.
Lassen Sie mich wissen, wenn es keine Verwirrung mehr.
Heute Whatsapp berechtigt Sie zur Nutzung der app ganz einfach, indem Sie Ihr Telefon eine SMS-Nachricht. Wenn Ihr Telefon die SIM-Karte hat die gleiche Nummer, wie Sie eingegeben, Whatsapp nimmt automatisch den code aus dem text-Nachricht, und ermächtigt Sie Ihr Telefon. Wenn nicht, haben Sie immer noch um das Telefon zu bekommen, verwendet das Telefon Nummer und geben Sie den Bestätigungs-code.