A Cybernews interjúja Sascha Pfeifferrel
Az elárult jelszavak felismerése gyakran nehéz, többnyire csak néhány homályos és nyilvánvaló jel árulkodik.
A nem biztonságos, újrahasznált és gyenge jelszavak a kiberbiztonság egyik fő veszélyforrásai, amelyek nemcsak a közösségi médiafelhasználókat, hanem a nagyvállalatokat és kormányzati intézményeket is érintik. Az illetéktelen kezekbe kerülő jelszavak személyazonosság-lopáshoz, anyagi veszteségekhez, és számos hosszú távú következményhez vezethetnek.
Mára a társadalom számára ismertté vált a jelszókezelők fontossága. Ennek ellenére nehéz eldönteni, melyek a legfontosabb szempontok kiválasztásukkor, valamint fontos tisztában lenni azzal is, milyen további intézkedések fokozhatják az online biztonságot. A Psono jelszókezelő ügyvezető igazgatója, Sascha Pfeiffer megosztotta nézeteit a kiberbiztonságról a Cybernews csapatával.
Térjünk vissza a kezdetekhez. Hogyan indult a Psono fejlesztése?
2015-ben döntöttem el, hogy megírom a Psono-t. Akkoriban nem létezett olyan megoldás, amely lehetővé tette volna egy vállalat számára, hogy saját szerverein futtasson egy olyan szolgáltatást, amely kliensoldali titkosítással kezeli az összes tárolt titkot. Sokat beszélgettem a barátaimmal arról, hogyan kellene működnie, vagy hogyan néz ki a kriptográfiai megközelítésem, és bizonyos szempontból valószínűleg halálra untattam őket ezzel. Az első publikus verzió 2017-ben jelent meg, amelyet idővel továbbfejlesztettünk: előbb böngészőbővítményekkel, majd fájlokkal, iOS és Android alkalmazásokkal bővült. Mindez csak mellékprojektem volt, gyakorlatilag az összes szabadidőm, hétvégém és szabadságom ebbe a termékbe áramlott. 2020-ban határoztam el, hogy teljes erővel belevágok, és megalapítottam az esaqa GmbH-t, ami akkoriban nehéz döntés volt. A COVID-járvány csúcspontján jártunk, WC-papírból is alig volt... De végül megérte: marketing nélkül is sok ügyfelet szereztünk, hiszen a közösségi kiadásunkat használók később megvásárolták a vállalati termékünket is. Az új német kormány megválasztása és az a törekvés, hogy a felhasználóknak joguk legyen a titkosításhoz, óriási megkönnyebbülést hozott. Korábban úgy nézett ki, hogy a német állam kötelezheti a szoftvergyártókat hátsó ajtók telepítésére, ám ez most már teljesen lekerült a napirendről.
Bemutatná nekünk a jelszókezelőjét? Melyek a legfontosabb funkciói?
A Psono lehetővé teszi jelszavak biztonságos tárolását és megosztását kollégákkal vagy családtagokkal. Számos pontban emelkedik ki a mezőnyből. Először is: saját szerverein is futtatható, így decentralizált megközelítésével lényegesen ellenállóbb a támadásokkal szemben, mint azok a szolgáltatók, akik központilag, egy helyen hosztolják az ügyfelek adatait, hiszen így egyetlen sérülékenység nem veszélyeztet mindenkit. A Psono teljes forráskódja nyílt, így bárki auditálhatja sérülékenységeket vagy hátsó ajtókat keresve. Német szolgáltatóként alternatív, a felhasználói adatvédelemre elkötelezett megoldásokat kínálunk. Az összes jelszó és egyéb titok már azelőtt titkosításra kerül, hogy az eszközt elhagyná, és csak a felhasználó tudja visszafejteni. Minden bejegyzés megosztható más felhasználókkal, a kiterjedt jogosultsági rendszer pedig csoportokkal rugalmas beállításokat tesz lehetővé, így vállalatok számára is tökéletes választás.
Mi volt az a vízió, amiért a Psono nyílt forráskódú lett? Mesélne arról, milyen előnyei és sajátosságai vannak a nyílt forráskódú biztonsági szoftvernek?
A nyílt forráskód létfontosságú a biztonsági modellünkben. Ne bízzunk bármilyen szoftverben, amelyet nem tudunk auditálni! Ez különösen igaz az egyik legkritikusabb szoftverünknél, a jelszókezelőnél. Személy szerint is vonzódom a nyílt forráskódhoz – amikor visszagondolok, milyen érzés volt, amikor először töltött be az Ubuntu a laptopomon, elfog a nosztalgia. Mindannyian óriások vállán állunk, és nyílt forráskód nélkül az IT-kőkorszakban rekednénk. Emellett a nyílt forráskód további előnye, hogy olyan marketingcsatornákhoz is hozzáférünk általa, amelyek kizárólag nyílt forráskódú szolgáltatóknak elérhetőek.
Szakértők szerint a jövő jelszómentes lehet. Ön mit gondol erről?
Ez a trend főként olyan szolgáltatók által hangoztatott, akik saját terméküket akarják megoldásként eladni erre a problémára. Úgy látom, hogy a jelszavak a következő 30 évben sem tűnnek el. Az ok egyszerű: eddig nem született megfelelő alternatíva. Jellemzően az új megoldásoknak is vannak hátrányaik. A régi eszközök például nem kapcsolhatók össze velük. A megvalósítás minden eszköz, szoftver és rendszer között rendkívül összetett. A nyilvános lehetőségeknél - mint az OAuth-szolgáltatások - fennáll a veszély, hogy egy szolgáltató letiltja vagy törli a fiókodat, így elveszítheted az összes kapcsolódó fiókodat. A jelszavaknak sok a problémájuk, de a jelenlegi alternatívák sem tökéletesek.
Tapasztalt mostanában új fenyegetéseket a globális események hatására?
Óvatosan fogalmaznék; őszintén úgy gondolom, hogy a jelenlegi globális események kapcsán nem jelentek meg igazán új fenyegetések. Nyilvánvalóan nagyobb az igény a biztonságra és védelemre, de az IT-biztonság csak mérsékelten profitált ebből. Ez azonban gyorsan változhat, ha új támadások kerülnek nyilvánosságra.
Egy biztonsági incidens esetén mik lehetnek a legfontosabb első lépések egy cég számára a munkaterhelés és az ügyféladatok védelmében?
Az első lépés a kárenyhítés: próbáljuk megszakítani az internet és hálózat kapcsolatát, kapcsoljuk le a szervereket és szolgáltatásokat, hogy megelőzzük a további károkat. A második lépés: indítsuk újra a szolgáltatásokat elszigetelten, és kezdjük el kideríteni, mi történt, hogyan történt – ha szükséges, külső szakértői segítséggel, hogy választ kapjunk ezekre a kérdésekre. A harmadik lépés: tájékoztassuk az érintett ügyfeleket – magyarázzuk el a részleteket és a lehetséges kockázatokat. Amikor újra szolgáltatásba állunk, minden belépési adatot változtassunk meg, és győződjünk meg róla, hogy a támadónak nem maradt hátsó kapuja a rendszerben. Fontos vizsgálni és megvalósítani a hasonló problémák megelőzését is a jövőben. Itt kerülnek előtérbe a jelszókezelők, ha eddig nem volt ilyen a cégnél.
Hogyan lehet kideríteni, hogy a jelszavunk kompromittálódott? Van-e olyan intő jel, amit sokan figyelmen kívül hagynak?
Általában elég nehéz felismerni az elárult jelszavakat, csak néhány halvány, egyértelmű jelet kereshetünk. Ilyenek például a gyanús tevékenység, e-mail értesítések jelszóváltoztatásról vagy ismeretlen helyről történő belépésről, vagy olyan banki átutalások, melyeket nem engedélyeztünk. A Psono beépített funkciója ellenőrzi a haveibeenpwned.com-hoz hasonló nyilvános szolgáltatásokat ismert jelszó-kiszivárgások után kutatva, így értesít, ha jelszavunk valaha is veszélybe került. Ugyanakkor mindig jobb előrelátóan gondolkodni: a legjobb, amit tehetünk, hogy valóban véletlenszerű jelszavakat használunk, és soha nem használjuk újra ugyanazt a jelszót – ehhez pedig egy jelszókezelő elengedhetetlen.
Az erős hitelesítésen túl milyen további biztonsági eszközöket tart fontosnak, amelyeket mindenki érdemes lenne beépítsen a mindennapjaiba?
Számos eszköz létezik, de mivel a támadások többsége e-mailen keresztül érkezik, azt gondolom, egy megbízható e-mail szolgáltató az első védelmi vonal. A Gmail és az Outlook igazán jó munkát végeznek a spam és a phishing szűrésében, a gyanús tartalmak blokkolásában. A második legfontosabb eszköz, amit javaslok, a kétfaktoros hitelesítés – használjuk, ahol csak lehet. Együttműködtünk a Yubico-val is, hogy Yubikey támogatást építsünk a Psono-ba (a Google Authenticator és más alternatívák mellett). A második faktorral a jelszavak legtöbb hátrányát orvosolni lehet.
Ossza meg velünk, mi a következő lépés a Psono számára!
Nem is tudom, hol kezdjem. Termékfronton jelenleg teljesen újraírtuk a webes klienst, ezen dolgozunk. Az alkalmazás maga is nagy átalakuláson megy át – azt szeretnénk, hogy a lehető legjobb jelszóalkalmazás legyen a piacon. Üzleti oldalon még nem beszélhetek róla, de már néhány óriásvállalattal folynak együttműködések, amelyek által széles körben elérhetővé válhatnak a jelszókezelők az ügyfeleknek.
