At opdage kompromitterede adgangskoder, indtil det er for sent, er en temmelig svær opgave, der er kun nogle få vage og indlysende ting at være opmærksom på.
Usikrede, genbrugte og svage adgangskoder er en af de største cybersikkerhedstrusler, der påvirker ikke kun brugere af sociale medier, men også store virksomheder og offentlige institutioner. Udsatte adgangskoder er lig med identitetstyveri, økonomiske tab og mange flere langsigtede konsekvenser.
Nu er samfundet klar over vigtigheden af adgangskodeadministratorer. Det er dog ret svært at finde de vigtigste funktioner at kigge efter, og det er afgørende at vide, hvilke yderligere foranstaltninger der forbedrer online sikkerhed. Psonos Managing Director, Sascha Pfeiffer, gik med til at dele sine synspunkter vedrørende cybersikkerhed med Cybernews-teamet.
Lad os gå tilbage til begyndelsen. Hvordan så udviklingen af Psono ud?
Det var i 2015, at jeg besluttede mig for at programmere Psono. Ingen løsning eksisterede på det tidspunkt, der tillod en virksomhed at hoste en tjeneste på deres servere for at administrere adgangskoder med klientsidekryptering af alle de lagrede hemmeligheder. Jeg talte meget med mine venner om, hvordan det skulle fungere, eller hvordan min kryptografiske tilgang så ud, og til en vis grad kedede jeg dem til døde. Den første offentlige version blev udgivet i 2017 og blev derefter udvidet over tid. Først med udvidelser, filer, apps til iOS og Android. Alt dette som et sideprojekt, stort set hele min fritid, weekender og ferier gik ind i produktet. I 2020 besluttede jeg, at jeg ville forfølge dette og grundlagde esaqa GmbH, hvilket var et svært valg at træffe på det tidspunkt. COVID var på sit højeste, og toiletpapir var sjældent... Men valget betalte sig, og vi fik en del kunder, selv uden nogen reel markedsføring, bare folk, der brugte vores community-udgave før, købte vores virksomhedsprodukt. Valget af den nye tyske regering med forpligtelsen til, at brugere har ret til kryptering, var en stor lettelse. Før så det ud til, at den tyske stat kunne kræve, at softwareleverandører implementerede bagdøre, hvilket nu er helt ude af bordet.
Kan du introducere os for din adgangskodeadministrator? Hvad er dens nøglefunktioner?
Psono giver dig mulighed for at gemme og dele adgangskoder sikkert med kolleger og familiemedlemmer. Der er et par punkter, der gør Psono unik. For det første kan du hoste tingene på dine servere. Denne decentrale tilgang gør det ekstremt modstandsdygtigt mod angreb sammenlignet med leverandører, der hoster ting centralt for deres kunder, hvor en enkelt sårbarhed vil afsløre alle adgangskoder for alle kunder. Psonos stack er open source og kan derfor auditeres for sårbarheder og bagdøre. Som en tysk leverandør tilbyder vi brugerfortrolighedsforpligtede alternativer til andre løsninger. Alle adgangskoder og andre hemmeligheder er krypteret, før de nogensinde forlader brugerens enhed og kan kun dekrypteres af brugeren. Alle poster kan deles med andre brugere, og et omfattende tilladelseskoncept med grupper tillader ekstremt fleksible konfigurationer, hvilket gør det til et perfekt valg for virksomheder.
Hvad var visionen bag at gøre Psono open source? Kan du fortælle os mere om fordele og ulemper ved open source-sikkerhedssoftware?
At være open source er en del af vores sikkerhedsmodel. Du bør ikke stole på nogen software, som du ikke kan kontrollere. Dette er især sandt for en af dine mest kritiske softwarestykker, en adgangskodeadministrator. Der er selvfølgelig en iboende kærlighed til open source-software. Når jeg tænker tilbage på, hvordan jeg følte det, da min første Ubuntu bootede på min bærbare computer, bliver jeg ret nostalgisk. Så vi står alle på skuldrene af kæmper, og uden open source-software ville vi alle leve i IT-stenalderen. At være open source har også andre fordele, da det giver adgang til nogle markedsføringskanaler, der kun er tilgængelige for open source-leverandører.
Nogle eksperter siger, at vi i øjeblikket bevæger os mod en adgangskodefri fremtid. Hvad er dine tanker om denne tilgang?
Trenden gentages normalt af leverandører af løsninger, der forsøger at sælge deres software som løsningen på dette problem. Jeg tror, at adgangskoder ikke vil forsvinde i de næste 30 år. Problemet er, at der endnu ikke er opstået nogen ordentlig løsning. Normalt har de flere ulemper. Ældre værktøjer kan normalt ikke tilsluttes. Implementering af en løsning på tværs af alle enheder, software og systemer er vanskelig. Offentlige muligheder som alle disse OAuth-tjenester indebærer risikoen for, at tjenesten lukker din konto eller nægter dig adgang af en eller anden grund, hvilket forårsager, at du mister alle dine tilknyttede konti. Adgangskoder har mange problemer, men alle de kendte alternativer har deres problemer.
Har du bemærket nogen nye trusler opstå som følge af de nuværende globale begivenheder?
Jeg vil være forsigtig, men jeg tror ærligt talt ikke, at der opstår nye trusler med hensyn til de nuværende globale begivenheder. Der er helt sikkert mere ønske om sikkerhed og beskyttelse, men IT-sikkerhedssiden kunne kun drage fordel i begrænset omfang. Dette kan helt sikkert ændre sig ret hurtigt, hvis nye hacks bliver offentlige.
I tilfælde af et sikkerhedsbrud, hvad bør en virksomheds første skridt være for at beskytte sin arbejdsbyrde samt sine kundedata?
Det første skridt ville være at afbøde. Prøv at frakoble internettet, netværket, slukke for servere og tjenester for at forhindre yderligere skade. Det andet skridt ville være at starte tjenester igen i en isoleret tilstand og forsøge at identificere, hvad der skete, hvordan det skete, måske med nogen ekstern hjælp fra professionelle, der vil hjælpe dig med at besvare disse spørgsmål. Det tredje skridt ville være at informere berørte kunder. Forklar detaljerne og potentielle risici. Når du igen bringer dine tjenester op, skal du rotere legitimationsoplysninger og sørge for, at angriberen ikke har efterladt nogen bagdør, som han kunne bruge til at genvinde adgang til systemerne. Undersøg, hvordan du kan forhindre lignende problemer i fremtiden og implementer disse sikkerhedsforanstaltninger. Normalt er det her, adgangskodeadministratorer kommer ind i billedet, hvis virksomheden ikke har en endnu.
Hvordan kan man finde ud af, om deres adgangskode er blevet kompromitteret? Er der nogen tidlige advarselstegn, der ofte overses?
Det er normalt ret svært at opdage kompromitterede adgangskoder, der er kun nogle få vage og indlysende ting at være opmærksom på. Som mistænkelig aktivitet, e-mail-meddelelser om ændrede adgangskoder eller logins fra ukendte placeringer, eller bankoverførsler, som du ikke har autoriseret. Psono har en smart funktion inkluderet, der tjekker offentlige tjenester som haveibeenpwned.com for kendte adgangskodebrud, så det vil opdage, om din adgangskode nogensinde er blevet kompromitteret. Normalt er det bedre at tænke forebyggende. Hvad du kan gøre for at forhindre, at din adgangskode kompromitteres, er at bruge virkelig tilfældige adgangskoder og aldrig genbruge adgangskoder; det er her, en adgangskodeadministrator er dit eneste valg.
Udover stærk godkendelse, hvilke andre sikkerhedsværktøjer mener du, alle bør inkorporere i deres livsstil?
Der er mange værktøjer, men da de fleste angreb går gennem e-mail, vil jeg sige, at en ordentlig e-mailtjenesteudbyder er din første forsvarslinje. Gmail og Outlook gør et rigtig godt stykke arbejde med at forhindre spam, phishing og blokere mistænkeligt indhold. Det næstvigtigste værktøj, du kan implementere, er tofaktorgodkendelse. Brug det hvor du kan. Vi samarbejdede med Yubico for at implementere understøttelsen af Yubikeys i Psono (ved siden af alternativer som Google Authenticator og andre). De andre faktorer forhindrer de fleste af de ulemper, som adgangskoder kritiseres for.
Del med os, hvad er det næste for Psono?
Jeg ved ikke, hvor jeg skal starte. Produktmæssigt arbejder vi i øjeblikket på en ny version af vores webklient, der er blevet fuldstændig omskrevet. Appen er en anden stor byggeplads, da vi ønsker at gøre den til den bedste app i sin klasse til adgangskoder. Forretningmæssigt har jeg endnu ikke lov til at sige noget, men der er nogle store virksomheder på vej, der vil give kunderne bred adgang til adgangskodeadministratorer.