Intervista di Cybernews con Sascha Pfeiffer
Individuare password compromesse fino a che non è troppo tardi è un compito piuttosto difficile, ci sono solo alcune cose vaghe e ovvie a cui fare attenzione.
Password non sicure, riutilizzate e deboli sono una delle principali minacce alla cybersecurity che influenzano non solo gli utenti dei social media, ma anche grandi aziende e istituzioni governative. Password esposte sono equivalenti a furto d'identità, perdite finanziarie e molte altre conseguenze a lungo termine.
Ora, la società è consapevole dell'importanza dei gestori di password. Tuttavia, è piuttosto difficile trovare le caratteristiche più importanti da cercare, ed è cruciale sapere quali misure aggiuntive migliorano la sicurezza online. Il Direttore Generale del gestore di password Psono, Sascha Pfeiffer, ha accettato di condividere le sue opinioni riguardo alla cybersecurity con il team di Cybernews.
Torniamo all'inizio. Come è stato lo sviluppo di Psono?
Era il 2015 quando ho deciso di programmare Psono. A quel tempo non esisteva alcuna soluzione che permettesse a un'azienda di ospitare un servizio sui propri server per gestire le password con crittografia lato client di tutti i segreti memorizzati. Ho parlato molto con i miei amici di come dovrebbe funzionare o di quale fosse il mio approccio crittografico e probabilmente in qualche aspetto li ho annoiati a morte. La prima versione pubblica è stata rilasciata nel 2017 e poi estesa nel tempo. Prima con estensioni, file, app per iOS e Android. Tutto ciò come un progetto secondario, praticamente tutto il mio tempo libero, i weekend e le vacanze sono andati nel prodotto. Nel 2020 ho deciso che volevo perseguire questo obiettivo e ho fondato esaqa GmbH, che è stata una scelta difficile da fare in quel momento. Il COVID era al suo apice e la carta igienica era rara... Ma la scelta ha dato i suoi frutti e abbiamo guadagnato parecchi clienti anche senza un vero marketing, solo persone che usavano la nostra edizione comunitaria prima stavano acquistando il nostro prodotto aziendale. L'elezione del nuovo governo tedesco con l'impegno per gli utenti ad avere il diritto alla crittografia è stata un enorme sollievo. Prima sembrava che lo stato tedesco potesse richiedere ai fornitori di software di implementare backdoor, il che ora è completamente fuori discussione.
Puoi presentarci il tuo gestore di password? Quali sono le sue caratteristiche principali?
Psono ti permette di memorizzare e condividere le password in modo sicuro con colleghi e membri della famiglia. Ci sono alcuni punti che fanno risaltare Psono. Primo, puoi ospitare le cose sui tuoi server. Questo approccio decentralizzato lo rende estremamente resistente agli attacchi in confronto ai fornitori che ospitano cose centralmente per i loro clienti dove una singola vulnerabilità esporrà tutte le password di tutti i clienti. Lo stack di Psono è open source e come tale può essere esaminato per vulnerabilità e backdoor. Come fornitore tedesco, offriamo alternative impegnate per la privacy degli utenti rispetto ad altre soluzioni. Tutte le password e altri segreti sono crittografati prima di lasciare il dispositivo dell'utente e possono essere decifrati solo dall'utente. Tutte le voci possono essere condivise con altri utenti e un concetto di permessi esteso con gruppi permette configurazioni estremamente flessibili, rendendolo una scelta perfetta per le aziende.
Qual è stata la visione dietro la creazione di Psono open source? Puoi dirci di più sui dettagli del software di sicurezza open source?
Essere open source fa parte del nostro modello di sicurezza. Non dovresti fidarti di alcun software che non puoi esaminare. Questo è particolarmente vero per uno dei pezzi più cruciali del tuo software, un gestore di password. C'è ovviamente un amore intrinseco per il software open source. Quando penso a come mi sono sentito quando il mio primo Ubuntu si è avviato sul mio laptop, divento piuttosto nostalgico. Quindi, ci troviamo tutti sulle spalle dei giganti e senza il software open source vivremmo tutti nell'età della pietra dell'IT. Essere open source ha anche altri vantaggi in quanto fornisce accesso a canali di marketing che sono esclusivamente disponibili ai fornitori open source.
Alcuni esperti dicono che stiamo andando verso un futuro senza password. Quali sono i tuoi pensieri su questo approccio?
La tendenza è solitamente ripetuta dai fornitori di soluzioni che cercano di vendere il loro software come la soluzione a questo problema. Credo che le password non scompariranno nei prossimi 30 anni. Il problema è che finora non è emersa una soluzione adeguata. Di solito hanno più inconvenienti. Gli strumenti legacy di solito non possono essere collegati. Implementare una soluzione su tutti i dispositivi, software e sistemi è difficile. Le opzioni pubbliche come tutti questi servizi OAuth comportano il rischio che il servizio chiuda il tuo account o ti neghi l'accesso per qualche motivo, facendoti perdere tutti i tuoi account collegati. Le password hanno molti problemi, ma tutte le alternative attualmente conosciute hanno i loro problemi.
Hai notato qualche nuova minaccia derivante dagli attuali eventi globali?
Voglio essere cauto, ma onestamente non penso che ci siano nuove minacce emergenti riguardo agli attuali eventi globali. Sicuramente c'è più desiderio di sicurezza e protezione, ma il lato della sicurezza informatica potrebbe beneficiarne solo moderatamente. Questo sicuramente può cambiare molto rapidamente se nuovi attacchi vengono resi pubblici.
In caso di violazione della sicurezza, quali dovrebbero essere i primi passi per un'azienda per proteggere il proprio carico di lavoro e i dati dei clienti?
Il primo passo sarebbe la mitigazione. Prova a scollegare internet, la rete, spegnere i server e i servizi per evitare ulteriori danni. Il secondo passo sarebbe riavviare i servizi in modo isolato e cercare di identificare cosa è successo, come è successo, possibilmente con qualche aiuto esterno da professionisti che ti aiuteranno a rispondere a queste domande. Il terzo passo sarebbe informare i clienti colpiti. Spiega i dettagli e i rischi potenziali. Quando riavvii i tuoi servizi, ruota le credenziali e assicurati che l'attaccante non abbia lasciato alcuna backdoor che potrebbe usare per riguadagnare l'accesso ai sistemi. Indaga su come prevenire problemi di natura simile in futuro e implementa quelle garanzie. Di solito, è qui che entrano in gioco i gestori di password se l'azienda non ne ha uno ancora.
Come si può scoprire se la propria password è stata compromessa? Ci sono segni di allarme precoce che spesso possono essere trascurati?
Di solito è piuttosto difficile rilevare password compromesse, ci sono solo alcune cose vaghe e ovvie a cui fare attenzione. Come attività sospette, notifiche email di password cambiate o accessi da posizioni sconosciute, o bonifici bancari che non hai autorizzato. Psono ha una bella funzione inclusa che controlla servizi pubblici come haveibeenpwned.com per violazioni di password conosciute, quindi rileverà se la tua password è mai stata compromessa. Di solito, è meglio pensare preventivamente. Ciò che puoi fare per evitare che la tua password venga compromessa è usare password veramente casuali e non riutilizzare mai le password; è qui che un gestore di password è la tua unica scelta.
Oltre all'autenticazione forte, quali altri strumenti di sicurezza ritieni che ognuno dovrebbe incorporare nel proprio stile di vita?
Ci sono molti strumenti, ma poiché la maggior parte degli attacchi avviene tramite email, direi che un servizio di posta elettronica adeguato è la tua prima linea di difesa. Gmail e Outlook fanno davvero un buon lavoro nel prevenire spam, phishing e bloccare contenuti sospetti. Il secondo strumento più importante che puoi implementare è l'autenticazione a due fattori. Usala ovunque tu possa. Abbiamo collaborato con Yubico per implementare il supporto di Yubikeys in Psono (accanto ad alternative come Google Authenticator e altri). I secondi fattori prevengono la maggior parte degli svantaggi per cui le password sono criticate.
Condividi con noi, qual è il prossimo passo per Psono?
Non so da dove iniziare. A livello di prodotto, stiamo attualmente lavorando su una nuova versione del nostro client web che è stata completamente riscritta. L'app è un altro grande cantiere poiché vogliamo renderla la migliore app per password della categoria. A livello aziendale, non sono ancora autorizzato a dire nulla, ma ci sono alcune grandi corporazioni in arrivo che forniranno ai clienti un ampio accesso ai gestori di password.
