Cybernewsin haastattelu Sascha Pfeifferin kanssa
Vaarantuneiden salasanojen tunnistaminen ennen kuin on liian myöhäistä on varsin haastavaa – on vain joitakin epämääräisiä ja ilmeisiä asioita, joihin kiinnittää huomiota.
Turvattomat, uudelleenkäytetyt ja heikot salasanat ovat yksi tärkeimmistä kyberturvallisuusuhista, jotka vaikuttavat paitsi sosiaalisen median käyttäjiin myös suuriin yrityksiin ja valtion organisaatioihin. Paljastuneet salasanat merkitsevät henkilöllisyysvarkauksia, taloudellisia tappioita ja monia muita pitkäkestoisia seurauksia.
Nyt yhteiskunta tiedostaa salasanojen hallintaohjelmien tärkeyden. Silti on melko vaikeaa löytää ne tärkeimmät ominaisuudet, joita tulisi huomioida, ja on olennaista tietää, mitkä lisätoimenpiteet parantavat verkkoturvallisuutta. Psono-salasanamanagerin toimitusjohtaja Sascha Pfeiffer suostui jakamaan näkemyksiään kyberturvallisuudesta Cybernewsin tiimin kanssa.
Palataan aivan alkuun. Miltä Psono-ohjelmiston kehitys näytti?
Vuonna 2015 päätin ohjelmoida Psono:n. Tuohon aikaan ei ollut mitään ratkaisua, joka mahdollistaisi yrityksen isännöidä palvelua omilla palvelimillaan sekä hallita salasanoja niin, että kaikki tallennetut salaisuudet salataan asiakkaan puolella. Keskustelin paljon ystävieni kanssa siitä, miten järjestelmän tulisi toimia tai miltä oma kryptografinen lähestymistapani näytti, ja taisin jossain määrin tylsistyttää heidät hengiltä.
Ensimmäinen julkinen versio julkaistiin vuonna 2017 ja sitä laajennettiin ajan myötä – ensin selainlaajennuksilla, tiedostotuella sekä iOS- ja Android-sovelluksilla. Kaikki tämä sivuprojektina; käytännössä kaikki vapaa-aikani, viikonloput ja lomat menivät tuotteen kehitykseen. Vuonna 2020 päätin omistautua tälle projektille ja perustin esaqa GmbH:n, mikä oli tuohon aikaan vaikea päätös. Koronapandemia oli huipussaan ja vessapaperikin oli harvinaista… Mutta päätös kannatti ja saimme melko paljon asiakkaita ilman oikeastaan minkäänlaista markkinointia – vain ihmiset, jotka olivat käyttäneet yhteisöversiotamme aiemmin, ostivat myös yritystuotettamme.
Uuden Saksan hallituksen valinta ja sen sitoutuminen käyttäjien oikeuteen salaukseen oli suuri helpotus. Aiemmin näytti siltä, että Saksan valtio voisi vaatia ohjelmistotoimittajia lisäämään takaportteja ohjelmistoihin, mikä on nyt täysin poissuljettua.
Voisitko esitellä salasanan hallintaohjelmanne? Mitkä ovat sen tärkeimmät ominaisuudet?
Psono mahdollistaa salasanojen turvallisen tallentamisen ja jakamisen työtovereiden ja perheenjäsenten kesken. Psonossa on muutama seikka, jotka erottavat sen muista. Ensinnäkin voit isännöidä kaiken omilla palvelimillasi. Tämä hajautettu lähestymistapa tekee järjestelmästä todella vastustuskykyisen hyökkäyksiä vastaan verrattuna toimittajiin, jotka tarjoavat keskitetyn palvelun – tällöin yksikin haavoittuvuus voi paljastaa kaikkien asiakkaiden salasanat.
Psonon ratkaisu on avoimen lähdekoodin ja siten se voidaan tarkastaa haavoittuvuuksien ja takaporttien varalta. Saksalaisena palveluntarjoajana tarjoamme käyttäjän yksityisyyttä kunnioittavia vaihtoehtoja muihin ratkaisuihin verrattuna. Kaikki salasanat ja muut salaisuudet salataan jo käyttäjän laitteella, eikä niitä voi purkaa kuin käyttäjä itse. Kaikki merkinnät voidaan jakaa muiden käyttäjien kanssa ja kattava käyttöoikeuskonsepti ryhmineen mahdollistaa erittäin joustavat määritykset – tämä tekee Psonosta täydellisen vaihtoehdon yrityksille.
Mikä oli visio tehdä Psonosta avoimen lähdekoodin ohjelmisto? Voisitko kertoa lisää avoimen lähdekoodin tietoturvaohjelmistojen yksityiskohdista?
Avoin lähdekoodi on osa tietoturvamalliamme. Sinun ei tulisi luottaa ohjelmistoon, jota et voi tarkastaa. Tämä on erityisen tärkeää yhden kaikkein kriittisimmän ohjelmistosi – salasanamanagerin – kohdalla.
On myös sisäsyntyistä rakkautta avointa lähdekoodia kohtaan. Kun ajattelen, miltä minusta tuntui, kun ensimmäinen Ubuntu käynnistyi kannettavallani, iskee nostalgia. Me kaikki seisomme jättiläisten hartioilla – ilman avointa lähdekoodia asuisimme IT:n kivikaudella.
Avoimena lähdekoodina on muitakin etuja; se on pääsy markkinointikanaviin, jotka ovat saatavilla vain avoimen lähdekoodin toimittajille.
Jotkut asiantuntijat sanovat, että olemme matkalla kohti salasanojen jälkeistä tulevaisuutta. Mitä ajatuksia tämä lähestymistapa herättää sinussa?
Tämä trendi tulee yleensä palveluntarjoajilta, jotka yrittävät myydä ohjelmistoaan ratkaisuksi kyseiseen ongelmaan. Uskon, että salasanat eivät katoa seuraavien 30 vuoden aikana. Ongelma on, että sopivaa ratkaisua ei ole vielä syntynyt.
Yleensä vaihtoehdoilla on useita haittoja. Vanhoja työkaluja ei voida yhdistää. Ratkaisun toteuttaminen kaikille laitteille, ohjelmistoille ja järjestelmille on hankalaa. Julkisissa vaihtoehdoissa, kuten OAuth-palveluissa, on riski, että palveluntarjoaja sulkee tilisi tai estää pääsysi syystä tai toisesta – tällöin voit menettää kaikki liitetyt tilisi.
Salasanoissa on paljon ongelmia, mutta kaikilla nykyisillä tunnetuilla vaihtoehdoilla on omat haasteensa.
Oletko havainnut uusia uhkia syntyneen nykyisten globaalien tapahtumien seurauksena?
Haluan olla varovainen, mutta rehellisesti sanottuna en usko, että nykyisten globaalien tapahtumien seurauksena olisi syntynyt uusia uhkia. Turvallisuuden ja suojan tarve on varmasti kasvanut, mutta IT-turvallisuuspuoli on hyötynyt tästä vain maltillisesti. Tämä voi kuitenkin muuttua nopeasti, jos uusia murtoja tulee julki.
Jos yrityksen tietoturva vaarantuu, mitkä pitäisi olla ensimmäiset toimenpiteet työkuorman ja asiakasdatan suojaamiseksi?
Ensimmäinen askel on vahinkojen torjuminen. Yritä katkaista internet-yhteys, verkot, sammuta palvelimet ja palvelut, jotta lisävahingot estetään.
Toinen vaihe on käynnistää palvelut uudelleen eristetysti ja yrittää selvittää, mitä tapahtui ja miten – mahdollisesti ulkopuolisilta ammattilaisilta apua pyytäen.
Kolmannessa vaiheessa tiedotetaan asianomaisille asiakkaille. Kerro yksityiskohdat ja mahdolliset riskit.
Kun palvelut käynnistetään uudelleen, vaihda käyttöoikeustiedot ja varmista, ettei hyökkääjä ole jättänyt takaporttia, jonka avulla hän voisi palata järjestelmiin.
Tutki, miten vastaavat ongelmat voitaisiin estää jatkossa, ja toteuta nämä suojat. Tässä kohtaa salasanamanagerit tulevat yleensä käyttöön, jos yrityksellä ei vielä sellaista ole.
Mistä voi tunnistaa, että oma salasana on vaarantunut? Onko aikaisia varoitusmerkkejä, jotka usein ohitetaan?
Yleensä vaarantuneen salasanan havaitseminen on vaikeaa – vain joitakin epämääräisiä ja selviä merkkejä kannattaa tarkkailla. Esimerkiksi epäilyttävä toiminta, sähköposti-ilmoitukset salasanan muutoksista tai kirjautumisista tuntemattomista paikoista, tai pankkinsiirrot, joita et ole itse tehnyt.
Psonossa on hyödyllinen ominaisuus, joka tarkistaa julkisia palveluja, kuten haveibeenpwned.com, tunnetuista salasanatietomurroista, joten ohjelmisto tunnistaa, jos salasanasi on joskus vuotanut. Usein on parempi miettiä ennaltaehkäisevästi. Voit ehkäistä salasanasi vaarantumisen käyttämällä oikeasti satunnaisia salasanoja ja älä koskaan käytä samaa salasanaa uudelleen; tällöin salasanamanageri on ainoa järkevä ratkaisu.
Vahvan tunnistautumisen lisäksi, mitkä muut tietoturvavälineet jokaisen tulisi ottaa osaksi elämäntyyliään?
Turvavälineitä on paljon, mutta koska suurin osa hyökkäyksistä tapahtuu sähköpostin kautta, sanoisin, että hyvä sähköpostipalvelun tarjoaja on tärkein puolustuslinjasi. Gmail ja Outlook osaavat hyvin torjua roskapostia, tietojenkalastelua ja estää epäilyttävää sisältöä.
Toiseksi tärkein työkalu on kaksivaiheinen tunnistautuminen – ota tämä käyttöön kaikkialla, missä mahdollista. Olemme tehneet yhteistyötä Yubicon kanssa Yubikey-tuotteiden tukemiseksi Psonossa (samoin kuin muiden vaihtoehtojen, esimerkiksi Google Authenticatorin, kanssa). Toiset tunnisteet ehkäisevät suurimman osan salasanoihin liittyvistä ongelmista.
Voisitko kertoa, mitä tulevaisuus tuo Psonolle tullessaan?
En tiedä oikein, mistä aloittaisin. Tuotekehityksen osalta työskentelemme parhaillaan täysin uudelleen kirjoitetun verkkosovelluksen kanssa. Sovellus on toinen suuri kehityskohde – haluamme tehdä siitä luokkansa parhaan salasanasovelluksen.
Liiketoimintapuolella en saa vielä paljastaa mitään, mutta on tulossa yhteistyötä suurten yritysten kanssa, mikä mahdollistaa asiakkaille laajan pääsyn salasanamanagereihin.
