Intervju Cybernewsa sa Saschom Pfeifferom
Uočiti kompromitirane lozinke prije nego što je prekasno prilično je težak zadatak; postoje samo neki općeniti i očiti znakovi na koje treba paziti.
Nezaštićene, ponovno korištene i slabe lozinke jedan su od glavnih sigurnosnih prijetnji koji utječu ne samo na korisnike društvenih mreža, već i na velike tvrtke i državne institucije. Izložene lozinke znače krađu identiteta, financijske gubitke i još mnogo dugoročnih posljedica.
Društvo je danas svjesno važnosti upravitelja lozinki. Ipak, prilično je teško pronaći najvažnije značajke na koje treba obratiti pozornost, a ključno je znati koje dodatne mjere unapređuju sigurnost na internetu. Direktor tvrtke za upravljanje lozinkama Psono, Sascha Pfeiffer, pristao je podijeliti svoja razmišljanja o kibernetičkoj sigurnosti s Cybernews timom.
Vratimo se na sam početak. Kako je izgledao razvoj Psona?
Godine 2015. odlučio sam programirati Psono. Tada nije postojalo rješenje koje bi omogućilo tvrtkama da hostaju uslugu na svojim serverima za upravljanje lozinkama s enkripcijom svih spremljenih tajni na strani klijenta. Puno sam razgovarao sa svojim prijateljima o tome kako bi to trebalo raditi ili kako izgleda moj kriptografski pristup, i vjerovatno sam ih time prilično umorio. Prva javna verzija objavljena je 2017. i kasnije je sustavno nadograđivana. Prvo su dodane ekstenzije, datoteke, aplikacije za iOS i Android. Sve to bio je moj sporedni projekt – praktički cijelo slobodno vrijeme, vikende i praznike ulagao sam u razvoj proizvoda. Godine 2020. odlučio sam da se želim posvetiti ovom poslu i osnovao sam tvrtku esaqa GmbH, što je tada bila teška odluka. COVID je bio na vrhuncu, a toalet paper nestašan... No, odluka se isplatila i dobili smo dosta novih kupaca čak i bez stvarnog marketinga; jednostavno su ljudi koji su prije koristili našu besplatnu zajedničku verziju sada kupovali naše enterprise rješenje. Izbor nove njemačke vlade s obvezom osiguravanja prava korisnika na enkripciju bio je veliko olakšanje. Prije toga postojala je mogućnost da njemačka država zahtijeva od softverskih proizvođača da ugrađuju backdoorove u softver, što je sada potpuno isključeno.
Možete li nam predstaviti vaš upravitelj lozinki? Koje su njegove ključne značajke?
Psono vam omogućuje sigurno pohranjivanje i dijeljenje lozinki s kolegama i članovima obitelji. Postoji nekoliko karakteristika koje Psono izdvajaju. Prvo, možete sve hostati na vlastitim serverima. Ovaj decentralizirani pristup čini ga iznimno otpornim na napade u usporedbi s ponuđačima koji sve hostaju centralizirano kod sebe, gdje jedna ranjivost može izložiti lozinke svih klijenata. Psonova tehnologija je open source i stoga se može auditirati na ranjivosti i backdoorove. Kao njemački ponuđač, nudimo alternative posvećene zaštiti privatnosti korisnika u odnosu na ostala rješenja. Sve lozinke i druge tajne enkriptirane su prije nego što napuste uređaj korisnika i može ih dekodirati samo korisnik. Sve unose moguće je dijeliti s drugim korisnicima, a opsežan sustav dozvola s grupama omogućuje iznimno fleksibilne konfiguracije, što ga čini savršenim izborom za tvrtke.
Što je bila vizija iza otvaranja Psona kao open source rješenja? Možete li nam reći više o prednostima i nedostacima open source sigurnosnog softvera?
Biti open source dio je našeg sigurnosnog modela. Ne biste trebali vjerovati softveru koji ne možete provjeriti. To posebno vrijedi za jedan od najvažnijih komada softvera koji koristite – upravitelj lozinki. Naravno, postoji i intrinzična ljubav prema open source softveru. Kad se sjetim kako sam se osjećao kad mi je prvi Ubuntu podignut na laptopu, postajem pomalo nostalgičan. Svi mi stojimo na ramenima divova i bez open source softvera još bismo živjeli u IT kamenom dobu. Open source donosi i druge prednosti, poput pristupa nekim marketinškim kanalima koji su isključivo dostupni open source dobavljačima.
Neki stručnjaci tvrde da idemo prema budućnosti bez lozinki. Što mislite o tom pristupu?
Takav trend uglavnom ponavljaju dobavljači rješenja koja pokušavaju prodati svoj softver kao univerzalno rješenje problema. Vjerujem da lozinke neće nestati u sljedećih 30 godina. Problem je što još uvijek nije razvijeno stvarno rješenje. Najčešće postoje razni nedostaci: zastarjeli alati obično se ne mogu povezati, implementacija sustava na svim uređajima, softverima i platformama jako je teška. Javne opcije poput raznih OAuth servisa nose rizik da vam davatelj usluge zatvori račun ili vam iz nekog razloga uskrati pristup, zbog čega možete izgubiti sve povezane račune. Lozinke imaju mnogo problema, ali sva danas poznata alternativna rješenja također imaju svojih mana.
Jeste li primijetili pojavu novih prijetnji kao rezultat aktualnih globalnih zbivanja?
Želim biti oprezan, ali iskreno ne mislim da se pojavljaju nove prijetnje kao posljedica trenutačnih globalnih događaja. Svakako postoji veća želja za sigurnošću i zaštitom, ali IT sigurnost od toga zasad ima umjerenu korist. Naravno, to se može brzo promijeniti ako u budućnosti neka velika hakiranja postanu javna.
U slučaju sigurnosnog incidenta, koji su prvi koraci koje kompanija treba poduzeti kako bi zaštitila svoj rad i podatke korisnika?
Prvi korak je ublažavanje štete. Pokušajte isključiti internet, mrežu, ugasiti servere i servise kako biste spriječili daljnju štetu. Drugi korak je ponovno pokretanje servisa u izoliranom okruženju i pokušajte utvrditi što se dogodilo, kako je došlo do incidenta – po mogućnosti uz pomoć stručnjaka koji vam mogu pomoći u traženju odgovora. Treći korak je informirati pogođene korisnike – objasnite detalje i moguće rizike. Kada ponovno pokrećete svoje servise, zamijenite pristupne podatke i pobrinite se da napadač nije ostavio nikakav backdoor kojim bi mogao ponovno dobiti pristup. Istražite kako u budućnosti spriječiti slične probleme i implementirajte te mjere. Najčešće je tu potreban upravitelj lozinki ako ga tvrtka već nema.
Kako osoba može saznati je li joj lozinka kompromitirana? Postoje li rani znakovi na koje se često ne obraća pozornost?
Komprimitirane lozinke obično je teško prepoznati – postoji samo nekoliko općih i očitih znakova na koje treba paziti, poput sumnjivih aktivnosti, email obavijesti o promijenjenim lozinkama ili prijavama s nepoznatih lokacija, ili bankovnih transfera koje niste ovlastili. Psono ima praktičnu funkciju koja provjerava javne servise poput haveibeenpwned.com za poznate sigurnosne incidente, pa ćete znati ako je vaša lozinka već negdje kompromitirana. Najbolje je razmišljati unaprijed – što možete učiniti da lozinka ne bude kompromitirana, to je koristiti zaista nasumične lozinke i nikada ih ne ponavljati; tada je upravitelj lozinki jedino rješenje.
Osim snažne autentikacije, koje sigurnosne alate smatrate da bi svi trebali uključiti u svakodnevicu?
Postoji mnogo alata, no budući da većina napada dolazi putem emaila, rekao bih da je kvalitetan email servis prva linija obrane. Gmail i Outlook jako dobro filtriraju spam, phishing i sumnjive sadržaje. Drugi najvažniji alat koji možete koristiti je dvofaktorska autentikacija – koristite je gdje god možete. Udružili smo se s Yubicom za implementaciju podrške za Yubikey ključeve u Psono (uz alternative poput Google Authenticatora i drugih). Dodatni faktori sprječavaju većinu problema zbog kojih se lozinke najviše kritiziraju.
Podijelite s nama što je sljedeće za Psono?
Ne znam ni odakle bih počeo. Što se tiče proizvoda, upravo radimo na novoj verziji našeg web klijenta koji je potpuno iznova izrađen. Mobilna aplikacija nam je druga velika stavka jer želimo napraviti najbolju aplikaciju za lozinke na tržištu. Što se poslovnog dijela tiče, zasad ništa ne smijem otkriti, ali na vidiku su velike tvrtke koje će korisnicima omogućiti širok pristup upraviteljima lozinki.
