Jump to navigation

Logo RUB
  • Energie
  • Studium
  • Forschung
  • Transfer
  • News
  • Über uns
  • Einrichtungen
 
MENÜ
  • RUB-STARTSEITE
  • News
  • Wissenschaft
  • Studium
  • Transfer
  • Leute
  • Hochschulpolitik
  • Kultur und Freizeit
  • Vermischtes
  • Servicemeldungen
  • Serien
  • Dossiers
  • Bildergalerien
  • Presseinformationen
    • Abonnieren
  • RUB in den Medien
    • Abonnieren
  • Rubens
  • Rubin
    • Abonnieren
    • Printarchiv
  • Archiv
  • English
  • Redaktion

Newsportal - Ruhr-Universität Bochum

Presseinformation
  • Die Messaging-App Signal erfreut sich zunehmender Beliebtheit.
    © RUB, Marquard
  • Philipp Markert forscht in der Ar­beits­grup­pe Mo­bi­le Se­cu­ri­ty am Bochumer Horst-Görtz-Institut für IT-Sicherheit.
    © RUB, Marquard
  /  
IT-Sicherheit

Was User über die PIN-Funktion der Messaging-App Signal denken

Aus Datenschutzgründen ist die Messaging-App Signal immer beliebter geworden. Anders als WhatsApp fragt die App nach einer PIN bei der Einrichtung. Aber warum eigentlich?

Für die Messaging-App Signal können Nutzerinnen und Nutzer eine PIN einrichten. Wozu diese gut ist, ist vielen Usern jedoch nicht klar. Das zeigt eine Befragung vom Horst-Görtz-Institut für IT-Sicherheit (HGI) der Ruhr-Universität Bochum und von The George Washington University. Signal nutzt die PIN für ein verschlüsseltes Cloud-Backup von Kontaktdaten, Einstellungen und Profilinformationen sowie – auf Wunsch – zur Authentifizierung der User bei der Erstanmeldung. Fast die Hälfte der Befragten ging jedoch von einem anderen Zweck aus, etwa dass die PIN zum Entsperren der App verwendet würde.

Die Forscher erhoben von Anfang September bis Anfang November 2020 Daten von 235 Signal-Nutzerinnen und -Nutzern, hauptsächlich aus Deutschland, den USA und Großbritannien. Die Ergebnisse der Online-Befragung stellen Daniel Bailey und Philipp Markert vom HGI zusammen mit dem US-Forscher Adam Aviv auf dem USENIX Symposium on Usable Privacy and Security vor. Es findet vom 8. bis 10. August als virtuelle Tagung statt. Die Daten sind vorab als frei zugänglicher Preprint verfügbar.

Viele kennen den Sinn der PIN nicht

14 Prozent der Befragten hatten keine PIN in Signal gesetzt. Als Hauptgrund nannten die meisten, dass dies zu umständlich sei. Unter den übrigen Befragten konnten 43 Prozent nicht richtig angeben, wozu Signal die PIN verwendet. Häufig vergaben sie zudem kurze PINs, die nur aus Ziffern bestanden. Die 57 Prozent der Befragten, die den Zweck der PIN hingegen kannten, nutzten oft komplexe alpha-numerische Passwörter, die sie in einem Passwort-Manager speicherten.

Kommunikation nicht für neue Zielgruppen geeignet

„Die Kommunikation von Signal scheint hauptsächlich bei den Nutzerinnen und Nutzern zu funktionieren, die sich in Foren und Blogs über die Funktionsweise der App informieren“, sagt Philipp Markert von der Arbeitsgruppe Mobile Security am HGI. „Viele der User, die Anfang 2021 aufgrund einer Änderung in den Nutzungsbedingungen von WhatsApp zu Signal wechselten, gehören vermutlich nicht zu dieser Gruppe.“

Von einer optimierten User-Kommunikation könnte die Sicherheit profitieren: Hilfreich könne es etwa sein, nicht von einer PIN zu sprechen, da das User dazu verleite, eine kurze Ziffernfolge einzugeben. Die Autoren der Studie schlagen eine Bezeichnung wie „Account Recovery Password“ vor, die den Zweck mit beschreiben würde und außerdem Nutzern verständlich macht, dass sie bei der Wahl der Zeichen nicht eingeschränkt sind.

Eine klarere Kommunikation mit den Userinnen und Usern könnte außerdem helfen, unliebsame Überraschungen zu vermeiden. Anders als etwa WhatsApp erstellt Signal beispielsweise kein automatisches Backup aller Nachrichten. Dieses Feature muss erst in den Einstellungen aktiviert werden.

Erweiterte Sperrliste würde mehr Sicherheit bringen

Auch eine erweiterte Sperrliste, die User davon abhält, besonders beliebte PINs zu vergeben, würde mehr Sicherheit bringen. „Signal hat bereits eine kurze Sperrliste implementiert, die besonders schwache PINs aus Ziffern unterbindet, etwa solche, die aus mehrmals derselben Ziffer bestehen, oder aufsteigende Ziffernabfolgen wie 1234“, erklärt Philipp Markert. Möglich seien aber beispielsweise beliebte Kombinationen wie Jahreszahlen. Eine erweiterte Sperrliste hielten die Forscher daher für sinnvoll. Diese sollte auch häufig genutzte Passwörter ausschließen, etwas das Wort „password“.

Wozu PINs in Signal nützlich sind

Signal verspricht im Gegensatz zu anderen Messaging-Diensten mehr Privatsphäre, etwa dadurch, dass es Nachrichten und Kontakte nicht zentral unverschlüsselt speichert. Früher wurden solche Daten gar nicht zentral gespeichert, sondern nur auf den Telefonen der User. Das führte dazu, dass alle Daten verloren waren, wenn jemand ein neues Gerät in Betrieb nahm. Um einen Wiederherstellungsservice anzubieten, führte Signal Ende 2019 die Secure Value Recovery ein. Über dieses Feature können die in der Cloud gespeicherten Daten bei einem Handywechsel wiederhergestellt werden. Sie werden verschlüsselt gespeichert – entschlüsseln kann man sie nur mit seiner PIN.

Die gleiche PIN nutzt Signal seit März 2018 auch für das sogenannte Registration Lock. Meldet sich ein Nutzer oder eine Nutzerin erstmalig bei dem Dienst an, bekommt er oder sie eine SMS zugeschickt, um zu bestätigen, dass er Zugriff auf die registrierte Handynummer besitzt. Dieser Prozess kann mit der PIN abgesichert werden, damit niemand, der die SMS abfängt, sich mit einer fremden Nummer registrieren kann.

Die Forscher informierten Signal über ihre Ergebnisse vor der Veröffentlichung.

Förderung

Die Arbeiten wurden unterstützt von der National Science Foundation (Grantnummer 184530), dem Land NRW im Rahmen der Forschungsgruppe „Human Centered Systems Security“ und der Deutschen Forschungsgemeinschaft im Rahmen des Exzellenzclusters Cyber Security in the Age of Large-Scale Adversaries, CASA (EXC 2092 – 390781972).

Originalveröffentlichung

Daniel V. Bailey, Philipp Markert, Adam J. Aviv: “I have no idea what they’re trying to accomplish:” Enthusiastic and casual Signal users’ understanding of signal PINs, USENIX Symposium on Usable Privacy and Security (SOUPS), 2021, Virtual Conference, Download Preprint

Pressekontakt

Philipp Markert
Arbeitsgruppe Mobile Security
Horst-Görtz-Institut für IT-Sicherheit
Ruhr-Universität Bochum
Tel.: +49 234 32 28669
E-Mail: philipp.markert@rub.de

Download hochauflösender Bilder
Der Download der gewählten Bilder erfolgt als ZIP-Datei.
Bildzeilen und Bildnachweise finden Sie nach dem Entpacken in der enthaltenen HTML-Datei.
Nutzungsbedingungen
Die Verwendung der Bilder ist unter Angabe des entsprechenden Copyrights für die Presse honorarfrei. Die Bilder dürfen ausschließlich für eine Berichterstattung mit Bezug zur Ruhr-Universität Bochum verwendet werden, die sich auf die Inhalte des Artikels bezieht, der den Link zum Bilderdownload enthält.
Ich akzeptiere die Nutzungsbedingungen.
Veröffentlicht
Mittwoch
14. Juli 2021
09.17 Uhr
Von
Julia Weiler (jwe)
Share
Teilen

IT-Sicherheit

Die digitale Vernetzung durchdringt inzwischen fast alle Bereiche des Lebens. Schutzmechanismen zu entwickeln ist eine vordringliche Aufgabe.

Mehr aus dem Dossier
Das könnte Sie auch interessieren
<div>
	Lea Schönherr ist Expertin für die Analyse von Audiodateien. Joel Frank ist spezialisiert auf KI-Algorithmen.</div>
IT-Sicherheit

Gefälschte Sprachdateien erkennen

IT-Sicherheitsforscher Thorsten Holz mit einem Comic-Heft in der Hand
Exzellenzcluster CASA

Ein Comic über IT-Sicherheit

Kita-App auf Smartphone
IT-Sicherheit

Wie Kita-Apps Eltern und Kinder ausspionieren können

Derzeit beliebt
KI: Das Bochumer Team mit Projektleiter Peter Salden, Nadine Lordick, Jonas Loschke und Maike Wiethoff (von links)
Künstliche Intelligenz

Bochumer Projekt schafft Klarheit zu KI-Tools für NRW-Hochschulen

Viktoria Däschlein-Gessner
Chemie

ERC Consolidator Grant für Viktoria Däschlein-Gessner

Ein junger Mann mit schwarzem Kapuzenpulli sitzt in einer Hörsaalreihe und lächelt.
Politik und Studium

Dienstag Bachelorarbeit abgeben, Sonntag Bundestagsmandat gewinnen

 
Mehr Wissenschaft
Ressort
 
Zur Startseite
News
  • A-Z
  • N
  • K
Logo RUB
Impressum | Kontakt
Ruhr-Universität Bochum
Universitätsstraße 150
44801 Bochum

Datenschutz
Barrierefreiheit
Impressum
Schnellzugriff
Service und Themen
Anreise und Lagepläne
Hilfe im Notfall
Stellenangebote
Social Media
Facebook
Twitter
YouTube
Instagram
Seitenanfang y Kontrast N
Impressum | Kontakt