Σύνοψη
- Η Meta ενσωματώνει στην έκδοση Beta 2.26.7.8 του WhatsApp για Android την επιλογή αλφαριθμητικού κωδικού (Password).
- Ο κωδικός είναι απολύτως προαιρετικός και απαιτεί μήκος 6 έως 20 χαρακτήρων, συμπεριλαμβανομένου τουλάχιστον ενός γράμματος και ενός αριθμού.
- Το νέο μέτρο ασφαλείας λειτουργεί συμπληρωματικά με τον κωδικό SMS (OTP) και το PIN της επαλήθευσης δύο βημάτων (2FA).
- Ο πρωταρχικός στόχος είναι η αντιμετώπιση επιθέσεων όπως το SIM swapping και η υποκλοπή συνεδριών.
- Η δυνατότητα βρίσκεται στο στάδιο της ανάπτυξης και αναμένεται να διατεθεί σταδιακά στο ευρύ κοινό μέσω μελλοντικής αναβάθμισης.
Η προστασία των προσωπικών δεδομένων και της ιδιωτικής επικοινωνίας αποτελεί τη βασική προτεραιότητα για τις πλατφόρμες ανταλλαγής μηνυμάτων. Η Meta προχωρά στην υλοποίηση μιας δομικής αναβάθμισης για το WhatsApp, εισάγοντας τη χρήση παραδοσιακών, αλφαριθμητικών κωδικών πρόσβασης (passwords) για την προστασία των λογαριασμών.
Η συγκεκριμένη λειτουργία εντοπίστηκε στην έκδοση Beta 2.26.7.8 για το λειτουργικό σύστημα Android, επιβεβαιώνοντας την πρόθεση της εταιρείας να προσθέσει ένα επιπλέον, ισχυρό στρώμα ασφαλείας πέραν των υφιστάμενων μεθόδων ταυτοποίησης.
Η αρχιτεκτονική του νέου συστήματος ασφαλείας
Μέχρι σήμερα, η πρόσβαση σε έναν λογαριασμό WhatsApp βασίζεται πρωτίστως στην επαλήθευση του αριθμού τηλεφώνου μέσω ενός κωδικού μιας χρήσης (OTP) που αποστέλλεται με SMS. Παράλληλα, οι χρήστες έχουν τη δυνατότητα να ενεργοποιήσουν την επαλήθευση δύο βημάτων (Two-Step Verification - 2FA), η οποία απαιτεί την εισαγωγή ενός εξαψήφιου PIN κατά την εγγραφή του αριθμού σε μια νέα συσκευή.
Με βάση τα δεδομένα που αντλήθηκαν από τον κώδικα της δοκιμαστικής έκδοσης στο Google Play Beta Program, η νέα λειτουργία επιτρέπει τη δημιουργία ενός κλασικού κωδικού πρόσβασης. Οι τεχνικές προδιαγραφές που επιβάλλει το σύστημα απαιτούν ο κωδικός να έχει μήκος από 6 έως 20 χαρακτήρες. Για τη διασφάλιση της πολυπλοκότητας, είναι υποχρεωτική η χρήση τουλάχιστον ενός γράμματος και ενός αριθμού.
Κατά τη διαδικασία ρύθμισης, η εφαρμογή θα παρέχει οπτική ανατροφοδότηση (feedback) σχετικά με την ισχύ του επιλεγμένου κωδικού, προτρέποντας τον χρήστη να αποφύγει προβλέψιμους συνδυασμούς. Η ενεργοποίηση του password παραμένει αυστηρά προαιρετική, διατηρώντας τη φιλοσοφία της πλατφόρμας που επιτρέπει στον χρήστη να ορίζει το επίπεδο ασφαλείας που επιθυμεί. Επιπλέον, προσφέρεται η δυνατότητα τροποποίησης ή πλήρους αφαίρεσης του κωδικού οποιαδήποτε στιγμή μέσα από το κεντρικό μενού των ρυθμίσεων της εφαρμογής (Settings > Account).
Η απάντηση στο SIM Swapping και τις υποκλοπές
Η εισαγωγή του password δεν αποτελεί απλώς μια προσθήκη στο μενού των ρυθμίσεων, αλλά μια στοχευμένη τεχνική απάντηση σε συγκεκριμένες μεθόδους κυβερνοεπιθέσεων. Η πρακτική του SIM swapping –όπου ένας επιτιθέμενος πείθει τον πάροχο τηλεπικοινωνιών να μεταφέρει τον αριθμό του θύματος σε μια νέα κάρτα SIM χωρίς την έγκρισή του– έχει εξελιχθεί σε μείζον πρόβλημα παγκοσμίως.
Όταν ένας κακόβουλος χρήστης αποκτήσει τον έλεγχο του αριθμού, λαμβάνει άμεσα το SMS με τον κωδικό OTP του WhatsApp. Εάν το θύμα δεν έχει ενεργοποιήσει το εξαψήφιο PIN του 2FA, ο λογαριασμός παραβιάζεται αυτόματα και η πρόσβαση στο ιστορικό (εφόσον ανακτηθεί από το cloud) ή στις τρέχουσες συνομιλίες περνά σε ξένα χέρια. Ακόμη όμως και με την ύπαρξη του PIN, οι επιτιθέμενοι χρησιμοποιούν συχνά τεχνικές κοινωνικής μηχανικής (social engineering) –προσποιούμενοι υπαλλήλους υποστήριξης ή συγγενικά πρόσωπα– για να αποσπάσουν τον εξαψήφιο αριθμό.
Η προσθήκη του αλφαριθμητικού κωδικού δημιουργεί ένα τείχος προστασίας που δεν συνδέεται με τον πάροχο κινητής τηλεφωνίας ούτε περιορίζεται σε έξι ψηφία. Αν ο χρήστης επιλέξει να ενεργοποιήσει τόσο το 2FA όσο και το password, η ροή ταυτοποίησης κατά την εγκατάσταση της εφαρμογής σε νέα συσκευή θα περιλαμβάνει τρία διακριτά βήματα: αρχικά την επιβεβαίωση μέσω SMS ή Passkey, στη συνέχεια την εισαγωγή του εξαψήφιου PIN, και τελικά την πληκτρολόγηση του αλφαριθμητικού κωδικού. Εάν απουσιάζει το 2FA, το σύστημα θα ζητά απευθείας το password μετά την επαλήθευση του αριθμού. Αυτή η αυστηρή διαστρωμάτωση καθιστά πρακτικά αδύνατη την πρόσβαση από μη εξουσιοδοτημένα άτομα, εκμηδενίζοντας την αξία του υποκλαπέντος OTP.
Η εξέλιξη της ασφάλειας στο οικοσύστημα του WhatsApp
Το WhatsApp διαθέτει end-to-end κρυπτογράφηση (E2EE) από προεπιλογή. Αυτό σημαίνει ότι τα δεδομένα είναι ασφαλή κατά τη μεταφορά τους. Ωστόσο, η κρυπτογράφηση της μεταφοράς καθίσταται άχρηστη εάν παραβιαστεί το ίδιο το τελικό σημείο, δηλαδή ο λογαριασμός.
Τα τελευταία χρόνια, η εταιρεία εισήγαγε το Device Verification, το οποίο εμποδίζει κακόβουλα προγράμματα από το να υποκλέψουν τα κλειδιά ελέγχου ταυτοποίησης της συσκευής, καθώς και το Account Protect, το οποίο ειδοποιεί τη μεταφορά λογαριασμού ζητώντας επιβεβαίωση από την παλιά συσκευή. Ο νέος αλφαριθμητικός κωδικός έρχεται να συμπληρώσει αυτό το παζλ, διασφαλίζοντας τον πυρήνα της ταυτότητας του χρήστη.
Η σχέση με τα Passkeys και τη βιομετρική ταυτοποίηση
Είναι απαραίτητο να διαχωριστεί η νέα λειτουργία από τα Passkeys, τα οποία το WhatsApp ενσωμάτωσε το προηγούμενο διάστημα. Τα Passkeys χρησιμοποιούν το πρότυπο WebAuthn και τη βιομετρική υποδομή της συσκευής (δακτυλικό αποτύπωμα, αναγνώριση προσώπου) για να αντικαταστήσουν το SMS κατά την αρχική είσοδο. Αποτελούν ένα κρυπτογραφικό ζεύγος κλειδιών, αποθηκευμένο με ασφάλεια στον διαχειριστή κωδικών της συσκευής.
Το νέο Password δεν αντικαθιστά τα Passkeys ούτε την τοπική βιομετρική ασφάλιση της εφαρμογής (App Lock). Λειτουργεί αυστηρά ως το απόλυτο "κλειδί" του λογαριασμού στο επίπεδο του server (Account Password). Εξασφαλίζει ότι αν κάποιος τρίτος αποκτήσει φυσική πρόσβαση σε μια ξεκλείδωτη συσκευή και προσπαθήσει να συνδέσει τον λογαριασμό σε δικό του εξοπλισμό, το αίτημα θα απορριφθεί από τους διακομιστές του WhatsApp χωρίς την εισαγωγή του κωδικού.
Χρονοδιάγραμμα διάθεσης
Προς το παρόν, η λειτουργία παραμένει στο στάδιο της εσωτερικής ανάπτυξης και δοκιμής εντός του κώδικα της Beta έκδοσης 2.26.7.8 για Android, όπως ανέδειξε το WABetaInfo. Η Meta δεν έχει ανακοινώσει επίσημη ημερομηνία διάθεσης για το ευρύ κοινό. Η τυπική διαδικασία της εταιρείας περιλαμβάνει αρχικά την ενεργοποίηση του χαρακτηριστικού για έναν περιορισμένο αριθμό beta testers, τη συλλογή τηλεμετρίας και αναφορών για τυχόν σφάλματα, και τελικά την ενσωμάτωσή του στη σταθερή (stable) έκδοση της εφαρμογής, αρχικά στο Android και έπειτα στο iOS.
Η άποψη του Techgear
Η απόφαση του WhatsApp να προσθέσει παραδοσιακούς αλφαριθμητικούς κωδικούς το 2026 αποδεικνύει ότι η θεωρητική ασφάλεια των συστημάτων OTP έχει ξεπεραστεί οριστικά από τις σύγχρονες μεθόδους κυβερνοεπιθέσεων. Στην ελληνική αγορά, όπου οι απάτες μέσω SMS (smishing) και η υποκλοπή τηλεπικοινωνιακών στοιχείων διατηρούν σταθερά υψηλά ποσοστά, η διασφάλιση των λογαριασμών στα δίκτυα επικοινωνίας κρίνεται επιβεβλημένη.
Παρότι στην Ελλάδα το Viber διατηρεί τεράστιο μερίδιο αγοράς, το WhatsApp αποτελεί το κατεξοχήν επαγγελματικό εργαλείο για εταιρικές επικοινωνίες, freelancers και διεθνείς επαφές. Η απώλεια πρόσβασης σε έναν τέτοιο λογαριασμό δεν ισοδυναμεί απλώς με απώλεια προσωπικών μηνυμάτων, αλλά ενέχει άμεσο κίνδυνο διαρροής εταιρικών δεδομένων και καθιστά τις επαφές του θύματος στόχο οικονομικής απάτης.
Η επιλογή της Meta να διατηρήσει το χαρακτηριστικό προαιρετικό είναι σχεδιαστικά ορθή, καθώς αποφεύγει τον αποκλεισμό (lockout) λιγότερο εξοικειωμένων χρηστών που τείνουν να ξεχνούν τους κωδικούς τους. Ωστόσο, η ενεργοποίησή του, σε συνδυασμό με την επαλήθευση δύο βημάτων, πρέπει να αξιολογηθεί ως ο νέος βασικός κανόνας ψηφιακής «υγιεινής». Η απόλυτη προστασία στο διαδίκτυο είναι ουτοπική, αλλά η προσθήκη τριών διαφορετικών φραγμών (SMS/Passkey, 2FA PIN, Alphanumeric Password) μετατρέπει τον λογαριασμό σε έναν στόχο που απαιτεί δυσανάλογο χρόνο και προσπάθεια για να παραβιαστεί, αποθαρρύνοντας πρακτικά την πλειοψηφία των κακόβουλων ενεργειών
