Wawancara Cybernews dengan Sascha Pfeiffer
Mendeteksi password yang sudah dikompromikan hingga terlambat adalah tugas yang cukup sulit, hanya ada beberapa hal samar dan jelas yang perlu diwaspadai.
Password yang tidak aman, digunakan ulang, dan lemah adalah salah satu ancaman keamanan siber utama yang mempengaruhi tidak hanya pengguna media sosial tapi juga perusahaan besar dan lembaga pemerintah. Password yang terekspos setara dengan pencurian identitas, kerugian finansial, dan banyak lagi konsekuensi jangka panjang lainnya.
Sekarang, masyarakat sudah menyadari pentingnya pengelola password. Namun, cukup sulit menemukan fitur terpenting yang perlu dicari, dan sangat penting untuk mengetahui langkah tambahan apa yang dapat meningkatkan keamanan online. Direktur Pelaksana pengelola password Psono, Sascha Pfeiffer, setuju untuk berbagi pandangannya tentang keamanan siber dengan tim Cybernews.
Mari kembali ke awal mula. Bagaimana perkembangan Psono?
Pada tahun 2015, saya memutuskan untuk memprogram Psono. Tidak ada solusi pada waktu itu yang memungkinkan perusahaan untuk meng-host layanan di server mereka guna mengelola password dengan enkripsi klien di semua rahasia yang disimpan. Saya banyak berbicara dengan teman-teman saya tentang bagaimana seharusnya ini bekerja atau seperti apa pendekatan kriptografi saya dan mungkin sampai membuat mereka bosan sampai mati. Versi publik pertama dirilis pada 2017 dan kemudian diperluas seiring waktu. Pertama dengan ekstensi, file, aplikasi untuk iOS dan Android. Semua itu hanya sebagai proyek sampingan, pada dasarnya waktu luang saya sepenuhnya, akhir pekan, dan liburan saya habiskan untuk produk ini. Pada tahun 2020, saya memutuskan bahwa saya ingin mengejar ini dan mendirikan esaqa GmbH yang merupakan pilihan yang sulit untuk dibuat pada waktu itu. COVID sedang dalam puncaknya dan kertas toilet langka… Namun, pilihan tersebut membuahkan hasil dan kami mendapatkan cukup banyak pelanggan bahkan tanpa pemasaran yang nyata, hanya orang-orang yang menggunakan edisi komunitas kami sebelumnya yang membeli produk perusahaan kami. Pemilihan pemerintahan baru Jerman dengan komitmen agar pengguna memiliki hak atas enkripsi adalah suatu kelegaan besar. Sebelumnya terlihat bahwa negara Jerman bisa saja mewajibkan vendor perangkat lunak untuk menerapkan backdoor yang sekarang sepenuhnya tidak ada dalam rencana.
Bisakah Anda memperkenalkan kami pada pengelola password Anda? Apa fitur utamanya?
Psono memungkinkan Anda menyimpan dan berbagi password dengan aman dengan rekan kerja dan anggota keluarga. Ada beberapa poin yang membuat Psono menonjol. Pertama, Anda bisa meng-host semuanya di server Anda. Pendekatan terdesentralisasi ini membuatnya sangat tangguh terhadap serangan dibandingkan dengan vendor yang meng-host semuanya secara terpusat untuk klien mereka di mana satu kerentanan akan mengekspos semua password dari semua klien. Stack Psono bersifat open source dan karenanya dapat diaudit untuk kerentanan dan backdoor. Sebagai vendor Jerman, kami menyediakan alternatif yang berkomitmen pada privasi pengguna dibandingkan solusi lainnya. Semua password dan rahasia lainnya dienkripsi sebelum meninggalkan perangkat pengguna dan hanya dapat didekripsi oleh pengguna. Semua entri dapat dibagikan dengan pengguna lain dan konsep izin yang luas dengan grup memungkinkan konfigurasi yang sangat fleksibel sehingga menjadi pilihan sempurna untuk perusahaan.
Apa visi di balik menjadikan Psono open source? Dapatkah Anda memberi tahu kami lebih banyak tentang seluk beluk perangkat lunak keamanan open source?
Menjadi open source adalah bagian dari model keamanan kami. Anda seharusnya tidak mempercayai perangkat lunak apa pun yang tidak dapat Anda audit. Ini terutama berlaku untuk salah satu bagian perangkat lunak terpenting Anda, yaitu pengelola password. Tentu saja, ada cinta intrinsik untuk perangkat lunak open source. Ketika saya mengingat kembali perasaan saya ketika Ubuntu pertama saya booting di Laptop saya, saya menjadi cukup nostalgik. Jadi, kami semua berpijak di atas bahu para raksasa dan tanpa perangkat lunak open source, kita semua akan hidup di zaman batu IT. Menjadi open source juga memiliki keuntungan lain karena memberikan akses ke beberapa saluran pemasaran yang hanya tersedia untuk vendor open source.
Beberapa ahli mengatakan bahwa kita saat ini sedang bergerak menuju masa depan tanpa password. Apa pendapat Anda tentang pendekatan ini?
Tren ini biasanya diulang oleh vendor solusi yang mencoba menjual perangkat lunak mereka sebagai solusi untuk masalah ini. Saya percaya password tidak akan hilang dalam 30 tahun ke depan. Masalahnya adalah bahwa belum ada solusi yang tepat yang muncul sejauh ini. Biasanya, mereka memiliki beberapa kelemahan. Alat lama biasanya tidak dapat terhubung. Menerapkan solusi di semua perangkat, perangkat lunak, dan sistem itu sulit. Opsi publik seperti semua layanan OAuth tersebut memiliki risiko layanan menutup akun Anda atau menolak akses Anda untuk beberapa alasan yang menyebabkan Anda kehilangan semua akun yang terhubung. Password memiliki banyak masalah namun semua alternatif yang diketahui saat ini juga memiliki masalah mereka sendiri.
Apakah Anda melihat ada ancaman baru yang muncul akibat peristiwa global saat ini?
Saya ingin berhati-hati, namun saya dengan jujur tidak berpikir bahwa ada ancaman baru yang muncul sehubungan dengan peristiwa global saat ini. Pasti ada keinginan lebih untuk keamanan dan perlindungan, tetapi dari sisi keamanan IT hanya dapat memperoleh manfaat secara moderat. Ini pasti bisa berubah dengan cepat jika peretasan baru menjadi publik.
Apa langkah pertama yang harus dilakukan bisnis jika terjadi pelanggaran keamanan untuk melindungi beban kerja serta data pelanggan mereka?
Langkah pertama adalah mitigasi. Cobalah untuk melepaskan internet, jaringan, mematikan server dan layanan untuk mencegah kerusakan lebih lanjut. Langkah kedua adalah memulai layanan kembali dalam mode terisolasi dan mencoba mengidentifikasi apa yang terjadi, bagaimana hal itu terjadi, mungkin dengan beberapa bantuan eksternal dari profesional yang akan membantu Anda menjawab pertanyaan ini. Langkah ketiga adalah memberitahu pelanggan yang terdampak. Jelaskan detail dan risiko potensial. Ketika Anda menghidupkan layanan Anda lagi, ganti kredensial dan pastikan bahwa penyerang tidak meninggalkan backdoor yang dapat digunakannya untuk mendapatkan akses kembali ke sistem. Selidiki bagaimana mencegah masalah serupa di masa depan dan terapkan perlindungan tersebut. Biasanya, di sinilah pengelola password masuk jika perusahaan belum memilikinya.
Bagaimana seseorang bisa mengetahui apakah password mereka telah dikompromikan? Apakah ada tanda peringatan dini yang sering diabaikan?
Biasanya cukup sulit untuk mendeteksi password yang telah dikompromikan, hanya ada beberapa hal samar dan jelas yang perlu diperhatikan. Seperti aktivitas mencurigakan, notifikasi email tentang perubahan password atau login dari lokasi yang tidak dikenal, atau transfer bank yang tidak Anda izinkan. Psono memiliki fitur bagus yang memeriksa layanan publik seperti haveibeenpwned.com untuk pelanggaran password yang diketahui, sehingga akan mendeteksi jika password Anda pernah dikompromikan. Biasanya, lebih baik berpikir secara preventif. Apa yang dapat Anda lakukan untuk mencegah password Anda dikompromikan adalah menggunakan password acak sepenuhnya dan tidak pernah menggunakan ulang password; di sinilah pengelola password adalah satu-satunya pilihan Anda.
Selain autentikasi yang kuat, alat keamanan apa lagi yang Anda percaya harus diterapkan oleh setiap orang ke dalam gaya hidup mereka?
Ada banyak alat, tetapi karena sebagian besar serangan masuk melalui email, saya akan mengatakan penyedia layanan email yang tepat adalah lini pertahanan pertama Anda. Gmail dan Outlook melakukan pekerjaan yang sangat baik dalam mencegah spam, phishing, dan memblokir konten yang mencurigakan. Alat kedua yang paling penting yang dapat Anda terapkan adalah autentikasi dua faktor. Gunakan di mana pun Anda bisa. Kami bekerja sama dengan Yubico untuk mengimplementasikan dukungan Yubikey ke dalam Psono (selain alternatif seperti Google Authenticator dan lainnya). Faktor kedua mencegah sebagian besar kelemahan yang dimiliki password.
Berbagi dengan kami, apa yang selanjutnya untuk Psono?
Saya tidak tahu harus mulai dari mana. Dari sisi produk, kita saat ini sedang mengerjakan versi baru klien web kita yang sepenuhnya ditulis ulang. Aplikasi adalah proyek konstruksi besar lainnya karena kami ingin menjadikannya aplikasi terbaik di kelasnya untuk password. Dari sisi bisnis, saya belum diizinkan mengatakan apapun, namun ada beberapa perusahaan besar dalam perjalanan yang akan memberikan akses luas kepada pelanggan ke pengelola password.
