Signal: PIN-Feature ist offiziell

Der Messenger Signal hat eine neue Funktion bekommen, die auf den Namen „PIN“ hört. Bei PINs handelt es sich um die Möglichkeit, dass Nutzer ihr Signalprofil, Kontakte und Einstellungen wiederherstellen können – das könnte beispielsweise bei einem Verlust des Smartphones nötig sein. Benutzer, die ihre Telefonnummer bei Signal registrieren, werden seit kurzem nach einer PIN gefragt, die aus mindestens vier Ziffern (alphanumerisch geht auch) bestehen muss. Dieser Schlüssel generiert zwei Variablen, einen Authentifizierungstoken und in Kombination mit einer zufällig generierten Eingabe einen Hauptschlüssel. Wenn ein Benutzer sein Smartphone verliert und dann Signal mit derselben Telefonnummer auf einem neuen Gerät registriert und dann seine PIN eingibt, bekommt er seien Einstellungen zurück. Signal-PINs basieren auf der „Secure Value Recovery“, die bereits im Dezember in einer Vorschau vorgestellt wurden. PINs werden laut der Entwickler auch dazu beitragen, neue Funktionen wie die Adressierung zu erleichtern, die nicht ausschließlich auf Telefonnummern basiert, da das Systemadressbuch nicht länger eine praktikable Möglichkeit sein wird, das Kontaktnetzwerk aufrechtzuerhalten. Wichtig: Die PIN ist nicht wiederherstellbar, aber änderbar, solange ein Gerät noch im Netzwerk angemeldet ist.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Seit 2008 ist es Beruf(ung). Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei LinkedIn, Twitter, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

23 Kommentare

  1. Schade dass die Devs für solche Spielereien Zeit haben, aber unter iOS immer noch keinerlei Backup möglich ist.
    Dass man im Fall eines Gerätewechsels/verlusts alle Nachrichten weg sind ist für mich ein Deal Breaker.
    Ansonsten Messenger mit der vertrauenswürdigsten Verschlüsselung.

    • @Tobias, was die reine verschluesselung angeht koennt ich mich ja noch durchaus zu einem zustimmen hinreissen lassen. nur, signal ist komplett us-amerikanisch, die server laufen dort, alles wesentliche passiert dort und moxie marlinspike betreibt seine aktivitaeten dort.

      jetzt kann man ihm und signal beste absichten unterstellen. das aendert aber nichts an der tatsache, dass die umstaende rund um PRISM bekannt sind und auch ausm patriot act bekannt ist, dass us-amerikanische unternehmen kaum eine alternative zur „kooperation“ haben. von daher stell ich dann mal die frage: wie sicher und vertrauenswuerdig ist der us-amerikansiche messenger signal unter diesen umstaenden und vor allem auch mit einem praesidenten wie trump, den die belange von nicht-amerikanern aber mal sowas von gar nicht interessieren.

      wer garantiert also nun, dass moxie marlinspikes verschluesselung im falle von signal (und nautuerlich auch im falle von whatsapp) auf den servern der betreiber keine „mithoer-buchse“ fuer die us-amerikanische administration hat?!

      technisch mag signal bzw dessen verschluesselung schon sicher sein, die gesamten umstaende sind meinem dafuerhalten nach aber genau dieses nicht – zumindest nicht unter den aktuellen umstaenden.

      es ist vor dem hintergrund von PRISM oder auch von projekten wie ECHELON wirklich nur unter sehr naiven voraussetzungen vorstellbar, dass die us-administration nich tmit im boot ist, wenn der zugriff auf einenem terain so leicht moeglich ist. von daher wuerd ich signal nicht ueber den gruenen klee loben ;-)!

      • Was für ein Geschwirbel! Wenn die Verschlüsselung passt, könnten die Daten auch für alle zugänglich sein.

        • Christian says:

          Hast du konkrete Gegenargumente oder nur Beleidigungen parat? Die Logik von goodoo ist meiner Meinung nach nicht von der Hand zu weisen. Hat Snowden alles dokumentiert. Wir müssen uns aber auch dafür interessieren…

          • FriedeFreudeEierkuchen says:

            Nein, so pauschal stimmt das nicht. Das bekannteste Beispiel ist Apple, die sich auch gegen Offenlegungen wehren können. Nebenbei wäre nach eurer Logik gar kein Messenger sicher. Auch in Russland und anderen Staaten haben die Geheimdienste Begehrlichkeiten. Aber genau darum geht es ja bei der Architektur eines sicheren Messengers: Möglichst Zero-Knowledge herstellen, so wenig Verkehrsdaten wie möglich zu speichern, die Inhalte so zu verschlüsseln, dass man nicht zur Freigabe gezwungen werden kann etc.
            Schaut euch die Leute die hinter Signal stehen an, schaut euch an was echte Fachleute dazu sagen (also nicht Leute wie Kuketz) und dann bewertet nochmals neu.

          • @Christian, das ist das grosse Problem: Es interessiert kaum einen. Die haben ja alle nichts zu verbergen ;-)!

        • @Henry, ich glaube, ein grosses Problem im Thema (Kommunikations-) Sicherheit sind Menschen wie du. Und die, die ja bekanntermassen nichts zu verbergen haben ;-).

          Ich war vor zig Jahren in den damaligen Taetigkeiten mit Echelon konfrontiert. Damals haben alle schon mehr als gestaunt, was im Thema Echelon so ging. Gegen alles was da heute so geht ist Echelon nur ein laues Lueftchen und Sowden hat nur an der Oberflaeche gekratzt – wobei das fuer die breite Masse mehr als genug waere.

          Vor dem Hintergrund glauben nur Naivlinge den Aussagen der beteiligten us-amerikanischen Firmen. Wer die tatsaechlichen Gegebenheiten sehen will, der hat laengst die Moeglichkeiten dazu.

      • Wird ja keiner gezwungen, Signal zu nutzen. Am Ende muss man immer jemandem vertrauen. Meiner Meinung nach einer der besten Alternativen zu Whatsapp.

      • > wer garantiert also nun, dass moxie marlinspikes verschluesselung im falle von signal (und nautuerlich auch im falle von whatsapp) auf den servern der betreiber keine „mithoer-buchse“ fuer die us-amerikanische administration hat?!

        Wie soll diese den bitte aussehen? Die Kommunikation ist verschlüsselt, und nach aktuellem Wissensstand ohne Schwachstelle. Eine „Mithör-Buchse“, selbst wenn sie denn existieren sollte, bringt bis auf Metadaten also gar nichts. Und auch die sind bei Signal im Vergleich äußerst gering, und werden auch immer noch weiter reduziert.

      • Onkel Wanja says:

        Wer Geräte von Huawei oder Xiaomi nutzt, die fleissig nach Rotchina funken, muss sich um seine Daten und Nachrichten keine sorgen. Was soll dieses USA bashing? Die Gnossen sind doch viel schlimmer.

  2. Was mir im Moment gar nicht gefällt, ist die Vorgehensweise von Signal. Die Funktion ist durchaus sinvoll, aber nicht für jeden Nutzer nötig. Daher hätte ich gerne die Möglichkeit, die Funktion nicht zu nutzen, ohne ständig im Hauptfenster dazu gedrängt zu werden, doch endlich einen PIN zu erstellen. Ich hoffe daher sehr, dass Signal diesen Unsinn bald wieder abstellt.

    • Secure Value Recovery wird in Zukunft für weitere Funktionen benutzt werden, sodass eine Benutzung von Signal ohne PIN praktisch nicht mehr möglich sein wird. Zum Beispiel wird für die Verbindung zur Desktop-Version ebenfalls auf SVR zurückgegriffen werden. Es macht also wenig Sinn, dies aktuell optional anzubieten, wenn absehbar eh alle eine PIN brauchen werden für Grundfunktionen des Messengers.

      • Niemand braucht einen wiederkehrenden Passwort-Vokabeltrainer. Das erscheint mir albern.

        Man trägt das doch eh in den Passwort-Manager ein und fertig. Sich Passwörter merken zu wollen ist im 21. Jahrhundert ganz generell eine dumme Idee.

        • Frankie hat explizit vom PIN als solchen geredet. Dass die Abfrage des PINs alle zwei Wochen kommt (welche man nicht ausfüllen muss, dann kommt sie aber öfters), halte ich auch für unnötig.
          Allerdings verstehe ich auch, warum sich das Team dafür entschieden hat. Die wenigsten Menschen benutzen einen Passwort-Manager. Wenn man den PIN dann vergessen hat wenn man ihn braucht ist das Geschrei natürlich groß. Mal gucken ob da noch eine Option eingebaut wird. Die müsste natürlich so ausgestaltet werden, dass auch nur Benutzer sie benutzen, die ihren PIN definitiv nicht verlieren/vergessen werden.

          • Die Pin ist doch nur ein syntaxbeschränktes Passwort, oder?

            Selbst wenn man sie verliert ist afaik der worst Case, dass man mit der Nummer ein paar Wochen nicht Signal nutzen kann. Das ist weit weg vom Weltuntergang.

            Danach kann man es neu registrieren, und muss etwaigen Gruppen wieder beitreten.

            Also das ist ja kein Vergleich zu so etwas schwerwiegenden wie einer E-Mail Adresse. …und Gmail nervt einen auch nicht mit regelmäßigen Passwortabfragen.

            • Du kannst für die PIN alle Zeichen benutzen die du willst, es ist also ein herkömmliches Passwort.

              Demnächst werden Benutzernamen eingeführt, sodass du nicht deine Telefonnummer an jeden rausgeben musst. Diesen Social Graph (und vermutlich auch den Benutzernamen als solchen) würdest du komplett verlieren wenn du dich neu registrierst und deine PIN nicht mehr kennst.
              Hast du die Registrierungssperre an, kannst du deine Nummer ohne Kenntnis der PIN eine Zeit lang überhaupt nicht neu registrieren und bist ausgesperrt. WhatsApp zum Beispiel fragt übrigens bei dieser Funktion auch regelmäßig nach der PIN.

              Wenn du dein Passwort für Gmail z.b. verlierst, kannst du entweder dein Passwort zurücksetzen oder der Support kann dir weiter helfen wieder Zugang zu erlangen. Signal kann dies ganz explizit nicht, das ist der ganze Sinn hinter Secure Value Recovery.

        • Die wiederkehrende Abfrage lässt sich übrigens seit gestern in der Beta optional deaktivieren! 🙂

    • Jo, das sehe ich auch so. Alle nudges sollte man immer ausnahmslos abschalten können.

  3. Snowden hat danach gefragt, welche Konsequenzen
    der Umzug der Firma in die USA hat.

    Soweit ich mich erinnere, wurde als Antwort angegeben,
    dass die Server in der Schweiz stehen und nicht im Zugriff der
    US-Administration seien (was natuerlich nicht stimmen muss).

    Die Firma sei umgezogen, um bessere
    Finanzierungsmoeglichkeiten zu erhalten.

    Ich halte dies dennoch fuer problematisch:
    Signal: Verschlüsselter Messenger droht mit Rückzug aus den USA

    https://www.derstandard.de/story/2000116787868/signal-verschluesselter-messenger-droht-mit-rueckzug-aus-den-usa

    Uebrigens, was Apple da macht mit seiner „Weigerung“ …
    Ich denke, dies ist 99 % „Show für die, die es glauben wollen“.

    Angesichts der vielen „bekannten“ Lücken im IOS-System …

    • Ich glaube du verwechselst da ein paar Sachen. Signal war now in der Schweiz, das war vermutlich Wire.

    • @Joerg, Signal war und ist schon immer ausschliesslich us-amerikanisch, da stehen/standen Server noch nie in der Schweiz. Du meinst damit Wire. Der Hauptsitz von Wire wurde in die USA verlagert, die Server stehen angeblich weiterhin in der Schweiz. Ungeachtet von diesem Schachzug ist Wire damit tot. Im uebrigen halte ich Wire schon immer fuer ueberbewertet, weil die Muttergesellschaft und Mitgruenderin der Wire GmbH schon immer eine us-amerikanische Gesellschaft mit Sitz in Delaware war.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.