IT-Sicherheit Was User über die PIN-Funktion der Messaging-App Signal denken
Aus Datenschutzgründen ist die Messaging-App Signal immer beliebter geworden. Anders als WhatsApp fragt die App nach einer PIN bei der Einrichtung. Aber warum eigentlich?
Für die Messaging-App Signal können Nutzerinnen und Nutzer eine PIN einrichten. Wozu diese gut ist, ist vielen Usern jedoch nicht klar. Das zeigt eine Befragung vom Horst-Görtz-Institut für IT-Sicherheit (HGI) der RUB und von The George Washington University. Signal nutzt die PIN für ein verschlüsseltes Cloud-Backup von Kontaktdaten, Einstellungen und Profilinformationen sowie – auf Wunsch – zur Authentifizierung der User bei der Erstanmeldung. Fast die Hälfte der Befragten ging jedoch von einem anderen Zweck aus, etwa dass die PIN zum Entsperren der App verwendet würde.
Die Forscher erhoben von Anfang September bis Anfang November 2020 Daten von 235 Signal-Nutzerinnen und -Nutzern, hauptsächlich aus Deutschland, den USA und Großbritannien. Die Ergebnisse der Online-Befragung stellen Daniel Bailey und Philipp Markert vom HGI zusammen mit dem US-Forscher Adam Aviv auf dem USENIX Symposium on Usable Privacy and Security vor. Es findet vom 8. bis 10. August als virtuelle Tagung statt. Die Daten sind vorab als frei zugänglicher Preprint verfügbar.
Viele kennen den Sinn der PIN nicht
14 Prozent der Befragten hatten keine PIN in Signal gesetzt. Als Hauptgrund nannten die meisten, dass dies zu umständlich sei. Unter den übrigen Befragten konnten 43 Prozent nicht richtig angeben, wozu Signal die PIN verwendet. Häufig vergaben sie zudem kurze PINs, die nur aus Ziffern bestanden. Die 57 Prozent der Befragten, die den Zweck der PIN hingegen kannten, nutzten oft komplexe alpha-numerische Passwörter, die sie in einem Passwort-Manager speicherten.
Kommunikation nicht für neue Zielgruppen geeignet
„Die Kommunikation von Signal scheint hauptsächlich bei den Nutzerinnen und Nutzern zu funktionieren, die sich in Foren und Blogs über die Funktionsweise der App informieren“, sagt Philipp Markert von der Arbeitsgruppe Mobile Security am HGI. „Viele der User, die Anfang 2021 aufgrund einer Änderung in den Nutzungsbedingungen von WhatsApp zu Signal wechselten, gehören vermutlich nicht zu dieser Gruppe.“
Von einer optimierten User-Kommunikation könnte die Sicherheit profitieren: Hilfreich könne es etwa sein, nicht von einer PIN zu sprechen, da das User dazu verleite, eine kurze Ziffernfolge einzugeben. Die Autoren der Studie schlagen eine Bezeichnung wie „Account Recovery Password“ vor, die den Zweck mit beschreiben würde und außerdem Nutzern verständlich macht, dass sie bei der Wahl der Zeichen nicht eingeschränkt sind.
