Rozhovor Cybernews se Saschou Pfeifferem
Odhalit kompromitovaná hesla, dokud není příliš pozdě, je poměrně obtížný úkol, existují pouze některé vágní a zřejmé věci, na které je třeba si dát pozor.
Nezabezpečená, znovu použitá a slabá hesla představují jednu z hlavních kybernetických hrozeb, které ovlivňují nejen uživatele sociálních médií, ale také velké firmy a vládní instituce. Odhalená hesla jsou rovnocenná krádeži identity, finančním ztrátám a mnoha dalším dlouhodobým důsledkům.
Dnes si společnost uvědomuje důležitost správců hesel. Přesto může být obtížné najít nejdůležitější funkce, na které se zaměřit, a je nezbytné vědět, jaká další opatření zlepšují online bezpečnost. Ředitel správce hesel Psono, Sascha Pfeiffer, se dohodl, že se podělí o své názory ohledně kybernetické bezpečnosti s týmem Cybernews.
Vraťme se zcela na začátek. Jak vypadalo vývojové období Psono?
V roce 2015 jsem se rozhodl naprogramovat Psono. V té době neexistovalo žádné řešení, které by společnosti umožnilo hostovat službu na jejich serverech pro správu hesel s klientskou šifrováním všech uložených tajemství. Hodně jsem mluvil s přáteli o tom, jak by to mělo fungovat, nebo jak tehdy vypadala moje kryptografická metoda, a možná jsem je v některých ohledech nudil k smrti. První veřejná verze byla vydána v roce 2017 a pak byla postupně rozšiřována. Nejdříve rozšířeními, soubory, aplikacemi pro iOS a Android. Všechno to bylo jako vedlejší projekt, v podstatě moje veškerý volný čas, víkendy a dovolené šly do produktu. V roce 2020 jsem se rozhodl, že se tomu chci věnovat více, a založil jsem esaqa GmbH, což bylo v té době těžké rozhodnutí. COVID byl na svém vrcholu a toaletní papír byl vzácný... Ale rozhodnutí se vyplatilo a získali jsme řadu zákazníků i bez skutečného marketingu, jen lidé, kteří používali naši komunitní edici, kupovali náš podnikový produkt. Zvolení nové německé vlády s odhodláním, že uživatelé mají právo na šifrování, bylo obrovskou úlevou. Předtím to vypadalo, že by německý stát mohl vyžadovat, aby softwaroví dodavatelé implementovali zadní vrátka, což je nyní zcela mimo stůl.
Můžete nás seznámit se svým správcem hesel? Jaké jsou jeho klíčové vlastnosti?
Psono vám umožňuje bezpečně ukládat a sdílet hesla s kolegy a rodinnými příslušníky. Je tu několik bodů, které Psono odlišují. Za prvé, můžete hostovat věci na svých serverech. Tento decentralizovaný přístup je extrémně odolný vůči útokům ve srovnání s dodavateli, kteří hostují věci centrálně pro své klienty, kde jediná zranitelnost vystaví všechna hesla všech klientů. Stack Psono je open-source, a jako takový může být auditován pro zranitelnosti a zadní vrátka. Jako německý dodavatel poskytujeme alternativy respektující soukromí uživatelů k jiným řešením. Všechna hesla a další tajemství jsou šifrována ještě před tím, než opustí uživatelské zařízení, a mohou být dešifrována pouze uživatelem. Všechny záznamy mohou být sdíleny s jinými uživateli a obsáhlý systém oprávnění se skupinami umožňuje extrémně flexibilní konfigurace, což z něj činí ideální volbu pro společnosti.
Jaká byla vize při vytváření Psono jako open source? Můžete nám říci více o pro a proti open source bezpečnostního softwaru?
Být open source je součástí našeho bezpečnostního modelu. Neměli byste důvěřovat žádnému softwaru, který nemůžete zkontrolovat. Toto platí zejména pro jeden z vašich nejdůležitějších kusů softwaru, správce hesel. Samozřejmě je zde i vnitřní láska k open-source softwaru. Když si vzpomenu, jak jsem se cítil, když se mi poprvé spustil Ubuntu na mém laptopu, mám nostalgický pocit. Všichni stojíme na ramenou obrů a bez open-source softwaru bychom všichni žili v IT doby kamenné. Být open-source má také další výhody, protože to poskytuje přístup k některým marketingovým kanálům, které jsou výhradně dostupné pro open-source dodavatele.
Někteří odborníci tvrdí, že se v současnosti blížíme k budoucnosti bez hesel. Jaký máte názor na tento přístup?
Tento trend je většinou opakován dodavateli řešení, kteří se snaží prodat svůj software jako řešení tohoto problému. Myslím, že hesla nezmizí během následujících 30 let. Problémem je, že zatím se neobjevilo žádné správné řešení. Obvykle mají několik nevýhod. Starší nástroje obvykle nelze připojit. Implementace řešení napříč všemi zařízeními, softwarem a systémy je obtížná. Veřejné možnosti, jako všechny tyto služby OAuth, znamenají riziko, že služba uzavře váš účet nebo vám z nějakého důvodu odepře přístup, což způsobí, že ztratíte všechny své připojené účty. Hesla mají spoustu problémů, přesto všechny současné známé alternativy mají své potíže.
Všimli jste si v těchto dnech některých nových hrozeb, které vznikají v důsledku současných světových událostí?
Chci být opatrný, přesto upřímně nevěřím, že se objevují nové hrozby ohledně současných světových událostí. Jistě existuje větší touha po bezpečnosti a ochraně, přesto může IT bezpečnostní stránka pouze mírně těžit. To se ovšem může velmi rychle změnit, pokud se objeví nové hacky na veřejnosti.
V případě narušení bezpečnosti, jaké by měly být první kroky, které by firma měla podniknout k ochraně svého objemu práce, stejně jako dat svých zákazníků?
Prvním krokem by bylo zmírnění škod. Zkuste odpojit internet, síť, vypnout servery a služby, aby se předešlo dalším škodám. Druhým krokem by bylo znovu spustit služby izolovaným způsobem a pokusit se identifikovat, co se stalo, jak se to stalo, možná s nějakou externí pomocí profesionálů, kteří vám pomohou na tyto otázky odpovědět. Třetím krokem by bylo informovat postižené zákazníky. Vysvětlete detaily a potenciální rizika. Když znovu zprovozníte své služby, otočte přihlašovací údaje a ujistěte se, že útočník nezanechal žádná zadní vrátka, která by mohl použít k opětovnému získání přístupu do systému. Zkoumejte, jak zabránit problémům podobné povahy v budoucnosti a implementujte tyto ochrany. Obvykle je to okamžik, kdy přicházejí správci hesel, pokud firma ještě žádného nemá.
Jak může člověk zjistit, zda bylo jeho heslo kompromitováno? Existují nějaké prvotní varovné signály, které mohou být často přehlédnuty?
Obvykle je poměrně těžké odhalit kompromitovaná hesla, existují pouze některé vágní a zřejmé věci, na které si dát pozor. Jako podezřelá aktivita, e-mailová upozornění o změně hesel nebo přihlášení z neznámých míst, nebo bankovní převody, které jste neautorizovali. Psono má zahrnutou skvělou funkci, která kontroluje veřejné služby jako haveibeenpwned.com pro známé úniky hesel, takže zjistí, zda bylo vaše heslo někdy kompromitováno. Obvykle je lepší myslet preventivně. Co můžete udělat pro zabránění kompromitaci svého hesla, je používat skutečně náhodná hesla a nikdy nepoužívat stejné heslo; v takovém případě je správce hesel vaší jedinou volbou.
Kromě silného ověřování, jaké další bezpečnostní nástroje by měli všichni začlenit do svého životního stylu?
Existuje spousta nástrojů, přestože většina útoků probíhá skrze e-mail, řekl bych, že správná e-mailová služba je vaší první obrannou linií. Gmail a Outlook odvádějí opravdu dobrou práci při prevenci spamu, phishingu a blokování podezřelého obsahu. Druhým nejdůležitějším nástrojem, který můžete zavést, je dvoufázové ověření. Používejte ho, kde jen můžete. Uzavřeli jsme partnerství s Yubico, abychom implementovali podporu Yubikeys do Psono (vedle alternativ jako Google Authenticator a dalších). Druhé faktory zamezují většině nevýhod, za které jsou hesla kritizována.
Podělte se s námi, co plánujete pro Psono dál?
Nevím, kde bych měl začít. Co se týká produktů, aktuálně pracujeme na nové verzi našeho webového klienta, který byl kompletně přepsán. Aplikace je dalším hlavním místem výstavby, protože ji chceme udělat nejlepší ve své třídě pro hesla. Co se týká byznysu, zatím nemohu nic říci, přesto jsou na cestě některé velké společnosti, které poskytnou zákazníkům široký přístup k správcům hesel.
