Entrevista de Cybernews amb Sascha Pfeiffer
Detectar contrasenyes compromeses fins que ja és massa tard és una tasca força difícil; només hi ha alguns indicis vagues i evidents als quals cal estar atent.
Contrasenyes poc segures, reutilitzades i febles són una de les principals amenaces de ciberseguretat que afecten no només als usuaris de xarxes socials, sinó també a grans empreses i institucions governamentals. Les contrasenyes exposades equivalen a robatori d’identitat, pèrdues econòmiques i moltes més conseqüències a llarg termini.
Actualment, la societat és més conscient de la importància dels gestors de contrasenyes. Tot i així, és encara bastant difícil saber quines són les característiques més importants a buscar, i és crucial conèixer quines mesures addicionals milloren la seguretat en línia. El Director General del gestor de contrasenyes Psono, Sascha Pfeiffer, va acceptar compartir les seves opinions sobre la ciberseguretat amb l’equip de Cybernews.
Tornem als inicis. Com va ser el desenvolupament de Psono?
Va ser l’any 2015 quan vaig decidir programar Psono. No existia cap solució en aquell moment que permetés a una empresa allotjar un servei als seus propis servidors per gestionar contrasenyes amb xifratge al costat del client de tots els secrets desats. Vaig parlar molt amb amics sobre com havia de funcionar o quin era el meu enfocament criptogràfic i, en certa manera, segurament els vaig avorrir fins a l’esgotament. La primera versió pública va sortir el 2017 i es va anar ampliant amb el temps. Primer amb extensions, fitxers, aplicacions per a iOS i Android. Tot això com a projecte secundari; bàsicament hi vaig dedicar tot el meu temps lliure, caps de setmana i vacances. El 2020 vaig decidir que volia apostar seriosament per això i vaig fundar esaqa GmbH, que va ser una decisió difícil en aquell moment. La COVID estava en el seu punt àlgid i el paper de vàter era escàs... Però la decisió va ser encertada i vam guanyar força clients fins i tot sense un màrqueting real: simplement la gent que ja usava la nostra edició comunitària comprava el nostre producte empresarial. L’elecció del nou govern alemany, compromès amb el dret dels usuaris al xifratge, va ser un gran alleujament. Abans semblava que l’estat alemany podria exigir als proveïdors de programari implementar-hi portes del darrere, cosa que ara s’ha descartat completament.
Ens pots presentar el teu gestor de contrasenyes? Quines són les seves característiques clau?
Psono et permet desar i compartir contrasenyes de manera segura amb companys de feina i familiars. Hi ha diversos aspectes que fan que Psono destaqui. Primer, pots allotjar-ho tot als teus propis servidors. Aquest enfocament descentralitzat el fa extremadament resistent als atacs, en comparació amb proveïdors que allotgen tot centralitzadament pels seus clients, on una sola vulnerabilitat podria exposar totes les contrasenyes de tots els clients. L’stack de Psono és codi obert i, per tant, es pot auditar per vulnerabilitats i portes del darrere. Com a empresa alemanya, oferim alternatives compromeses amb la privadesa dels usuaris enfront d’altres solucions. Totes les contrasenyes i altres secrets s’encripten abans de sortir del dispositiu de l’usuari i només les pot desxifrar el mateix usuari. Totes les entrades es poden compartir amb altres usuaris i un concepte extens de permisos amb grups permet configuracions extremadament flexibles, cosa que el converteix en una opció perfecta per a empreses.
Quina va ser la visió darrere de fer Psono codi obert? Ens pots explicar més sobre les interioritats del programari de seguretat de codi obert?
Ser codi obert és part del nostre model de seguretat. No hauries de confiar en cap programari que no puguis auditar. Això és especialment cert per a una de les teves peces de programari més vitals: el gestor de contrasenyes. Per descomptat, hi ha també una estima intrínseca pel programari lliure. Quan recordo com em vaig sentir quan el meu primer Ubuntu es va iniciar al portàtil, em poso nostàlgic. Tots ens hem beneficiat dels gegants anteriors i sense codi obert viuríem encara a l’Edat de Pedra de la informàtica. Ser codi obert també té altres avantatges, com accedir a alguns canals de màrqueting reservats a proveïdors de codi lliure.
Alguns experts diuen que ens estem encaminant cap a un futur sense contrasenyes. Què penses sobre aquest enfocament?
Aquesta tendència sol ser repetida per venedors de solucions que volen vendre el seu programari com la solució definitiva a aquest problema. Crec que les contrasenyes no desapareixeran en els propers 30 anys. El problema és que encara no ha sorgit cap solució adequada. Sovint tenen múltiples inconvenients. Les eines antigues normalment no es poden connectar. Implantar una solució a tots els dispositius, programes i sistemes és difícil. Les opcions públiques, com ara tots aquests serveis OAuth, impliquen el risc que el servei et tanqui el compte o et denegui l'accés per algun motiu, i així perdis tots els comptes connectats. Les contrasenyes tenen molts problemes, però totes les alternatives conegudes actualment també en tenen.
Has detectat noves amenaces derivades dels esdeveniments globals actuals?
Vull ser prudent, però honestament no crec que hi hagi noves amenaces derivades dels esdeveniments globals actuals. Potser hi ha més demanda de seguretat i protecció, però la seguretat a TI només n’ha sortit moderadament beneficiada. Això, però, podria canviar ràpidament si es fessin públics nous atacs.
En cas d’una violació de seguretat, quins haurien de ser els primers passos perquè una empresa protegeixi tant el seu entorn de treball com les dades dels seus clients?
El primer pas seria mitigar. Intentar desconnectar d’Internet, de la xarxa, apagar servidors i serveis per evitar més danys. El segon pas seria posar en marxa de nou els serveis d’una manera aïllada i intentar identificar què ha passat, com ha passat, potser amb ajuda externa de professionals que t’ajudin a respondre aquestes preguntes. El tercer pas seria informar els clients afectats. Explicar-ne els detalls i els riscos potencials. Quan tornis a posar els serveis en funcionament, canvia les credencials i assegura’t que l’atacant no ha deixat cap porta del darrere per intentar recuperar l’accés als sistemes. Investiga com evitar problemes similars en el futur i implementa aquestes mesures. Normalment, aquí és on entren en joc els gestors de contrasenyes si l’empresa encara no en té.
Com pot saber algú si la seva contrasenya ha estat compromesa? Hi ha signes d'alerta primerencs que sovint passen desapercebuts?
Normalment és bastant difícil detectar contrasenyes compromeses, només hi ha alguns indicis vagues i evidents als quals cal estar atent. Com ara activitat sospitosa, notificacions d’email de canvi de contrasenya o d’inicis de sessió des d’ubicacions desconegudes, o transferències bancàries no autoritzades. Psono incorpora una funció útil que comprova serveis públics com haveibeenpwned.com per detectar filtracions de contrasenyes conegudes, de manera que detectarà si la teva contrasenya s’ha compromès mai. Normalment, és millor pensar de forma preventiva. El que pots fer per evitar que comprometin la teva contrasenya és usar contrasenyes realment aleatòries i no reutilitzar-les mai; per això, el gestor de contrasenyes és l’única opció fiable.
A banda d’una autenticació forta, quines altres eines de seguretat creus que tothom hauria d’incorporar al seu dia a dia?
Hi ha moltes eines, però com que la majoria d’atacs arriben per correu electrònic, diria que tenir un bon proveïdor de servei de correu és la primera línia de defensa. Gmail i Outlook fan molt bona feina pretenent el correu brossa, el phishing i bloquejant continguts sospitosos. La segona eina més important que pots implementar és l'autenticació en dos factors. Utilitza-la sempre que puguis. Hem col·laborat amb Yubico per implementar el suport per a Yubikeys a Psono (al costat d’altres alternatives com Google Authenticator i d’altres). Els segons factors eliminen la majoria dels riscos pels quals se solen criticar les contrasenyes.
Comparteix amb nosaltres, què és el següent per a Psono?
No sé per on començar. Pel que fa al producte, actualment estem treballant en una nova versió del nostre client web que ha estat totalment reescrita. L’App és un altre gran repte, ja que volem convertir-la en l’aplicació de referència per a contrasenyes. A nivell de negoci, encara no m’està permès dir res, però hi ha algunes corporacions molt grans a punt d’entrar que proporcionaran als clients un accés ampli als gestors de contrasenyes.
