Versleutelde chat-app Signal krijgt optie voor het uitschakelen van PINs
Versleutelde chat-app Signal krijgt een optie voor het uitschakelen van PINs waarmee gebruikers hun Signal-profiel, contacten en instellingen kunnen herstellen als ze hun telefoon zijn verloren of op een nieuw toestel overstappen. Dat heeft ontwikkelaar Moxie Marlinspike bekendgemaakt, nadat verschillende beveiligingsexperts kritiek op de functie hadden geuit.
In tegenstelling tot verschillende andere apps probeert Signal zo min mogelijk informatie van en over gebruikers te verzamelen. Een probleem is echter dat wanneer gebruikers hun telefoon verliezen ook alle Signal-informatie verloren gaat. Om te voorkomen dat gebruikers hun profiel, instellingen en contacten verliezen hebben de Signal-ontwikkelaars "PINs" bedacht, waarbij deze gegevens versleuteld op de servers van Signal worden opgeslagen.
De PIN bestaat uit minimaal vier cijfers, maar kan ook een alfanumerieke passphrase zijn. Aan de hand van de PIN wordt een 32 byte key afgeleid. Met deze key worden twee variabelen gegenereerd, een authenticatietoken en, gecombineerd met willekeurig gegenereerde invoer, een master key. Deze master key is weer te gebruiken om aanvullende keys af te leiden waarmee andere bij Signal opgeslagen data is te beveiligen.
Wanneer een gebruiker zijn telefoon verliest en vervolgens Signal met hetzelfde telefoonnummer op een nieuw toestel registreert en daarna zijn PIN opgeeft, heeft hij zijn profiel, instellingen en contacten meteen terug. Om misbruik te voorkomen hebben de ontwikkelaars ook bescherming tegen bruteforce-aanvallen toegevoegd.
De PIN is letterlijk de sleutel tot de opgeslagen data. Om te voorkomen dat gebruikers die vergeten vraagt Signal gebruikers periodiek om hun PIN in te voeren. Op deze manier moet het eenvoudiger voor gebruikers worden om hun code te herinneren. Daarnaast maken PINs ook andere nieuwe features mogelijk die niet alleen op het telefoonnummer van de gebruiker zijn gebaseerd.
Op dit moment is het niet mogelijk om PINs uit te schakelen, iets wat sommige experts niet lekker zit. "Eerlijk gezegd kan mijn contactenlijst mij niet zoveel schelen. Maar ik vind het geen prettig idee dat ik wordt gedwongen om ze naar een server te uploaden, terwijl ik juist Signal gebruik omdat het ontworpen is om dit soort dingen niet te doen. Ook ben ik bang dat Moxie in de toekomst een feature ontwikkelt om de inhoud van berichten te uploaden en dat die ook niet opt-in zal zijn", stelt Matthew Green, cryptograaf en hoogleraar aan de Johns Hopkins University, tegenover Vice Magazine.
Green liet op Twitter weten dat hij vanwege PINs ging stoppen met het gebruik van Signal. Marlinspike gaf vervolgens een reactie terug op Twitter. Daarin liet hij onder andere weten dat hij het lastig vindt om ontwerpdiscussies met mensen in de it-security te hebben, omdat er een kloof is tussen wat als "praktisch" wordt beschouwd en wat Marlinspike in de praktijk tegenkomt. Daarbij wijst hij onder andere naar de verhalen van Signal-gebruikers.
Desondanks kondigt de Signal-ontwikkelaar aan dat er gebaseerd op de ontvangen feedback een optie voor "geavanceerde gebruikers" komt die het prima vinden om bij een herinstallatie hun contacten te verliezen om PINs uit te schakelen, aldus Marlinspike. Wanneer de optie aan de chat-app wordt toegevoegd is nog onbekend.
Volgens GDPR moet je dataportabiliteit hebben, is er niet. Overigens ook bij de meeste andere chat apps.
Plain text export is er ook al uitgehaald. Voorzover ik weet zijn WhatsApp en Pix-Art (een Conversations.im kloon) de enige 2 waar je nog wel je chats in plain text kan exporteren.
Secure apps zijn leuk, maar zolang je vast blijft zitten aan een app wordt het nuttig gebruik wat mij betreft een stuk minder.
Volgens GDPR moet je dataportabiliteit hebben, is er niet. Overigens ook bij de meeste andere chat apps.
Plain text export is er ook al uitgehaald. Voorzover ik weet zijn WhatsApp en Pix-Art (een Conversations.im kloon) de enige 2 waar je nog wel je chats in plain text kan exporteren.
Secure apps zijn leuk, maar zolang je vast blijft zitten aan een app wordt het nuttig gebruik wat mij betreft een stuk minder.
Hoe doe jij dat met een IRL gesprek met iemand?
Volgens GDPR moet je dataportabiliteit hebben, is er niet. Overigens ook bij de meeste andere chat apps.
Plain text export is er ook al uitgehaald. Voorzover ik weet zijn WhatsApp en Pix-Art (een Conversations.im kloon) de enige 2 waar je nog wel je chats in plain text kan exporteren.
Secure apps zijn leuk, maar zolang je vast blijft zitten aan een app wordt het nuttig gebruik wat mij betreft een stuk minder.
Het voordeel is nog steeds dat je niets met Facebook te maken hebt maar ik zie ook de eerste scheurtjes ontstaan qua privacy waar Signal zo prat op gaat. Ze gaan teveel hun principes laten varen om het zoveel mogelijk op WhatsApp te laten lijken. Heel jammer...
Volgens GDPR moet je dataportabiliteit hebben, is er niet. Overigens ook bij de meeste andere chat apps.
Plain text export is er ook al uitgehaald. Voorzover ik weet zijn WhatsApp en Pix-Art (een Conversations.im kloon) de enige 2 waar je nog wel je chats in plain text kan exporteren.
Secure apps zijn leuk, maar zolang je vast blijft zitten aan een app wordt het nuttig gebruik wat mij betreft een stuk minder.
Hoe doe jij dat met een IRL gesprek met iemand?
Wat is er mis met het backuppen van deze data op een eigen server of PC? Dat zou ik als standaard verwacht hebben.
Volgens GDPR moet je dataportabiliteit hebben, is er niet. Overigens ook bij de meeste andere chat apps.
Plain text export is er ook al uitgehaald. Voorzover ik weet zijn WhatsApp en Pix-Art (een Conversations.im kloon) de enige 2 waar je nog wel je chats in plain text kan exporteren.
Secure apps zijn leuk, maar zolang je vast blijft zitten aan een app wordt het nuttig gebruik wat mij betreft een stuk minder.
Hoe doe jij dat met een IRL gesprek met iemand?
Signal is een chat (gespreks) app, hoe exporteer jij een gesprek wat je in real life met iemand gevoerd hebt? Een chat is over het algemeen vluchtig en als je er iets van wilt bewaren kan je dat doen door een aantekening te maken.
M.a.w. ik kan gerust al mijn Signal gesprekken kwijt raken en dan is er niks aan de hand, sterker nog, ik wis zelf regelmatig de gespreksgeschiedenis. En als er iets komt wat beter is kan ik gewoon de overstap maken.
Heb zo'n vermoeden van niet. Daarnaast is het een compleet overbodige functie. Veel valt er niet in te stellen en wie geen offline back-upje heeft van zijn contacten is niet handig bezig. Sowieso een verstandig iemand slaat geen contacten op in zijn smartphone en gebruikt een chat-app waarbij dit niet nodig is.
Heb zo'n vermoeden van niet. Daarnaast is het een compleet overbodige functie. Veel valt er niet in te stellen en wie geen offline back-upje heeft van zijn contacten is niet handig bezig. Sowieso een verstandig iemand slaat geen contacten op in zijn smartphone en gebruikt een chat-app waarbij dit niet nodig is.
Oftewel ik moet iedere keer dat ik iemand een bericht wil sturen of wil bellen zijn of haar nummer uit mijn hoofd weten om in te voeren? Hoe zie je dat voor je? Waarom is het hebben van een contactenlijst zo gevaarlijk?
Eerst ellenlang zeuren dat je hem moet invullen en dan bijna iedere 2 dagen zeuren dat ik hem weer moet invullen en dat voor iets dat ik helemaal niet wil.
GElukkig kun je het laatste in advanced wat uitzetten.
Het zou heel wat fraaier zijn geweest als het een opt-in functie was geweest.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
