Cybernews とサシャ・プファイファーのインタビュー

強奪されたパスワードを見分けるのはかなり難しい作業であり、曖昧で明白な点しか目に見えないことがほとんどです。

未保護のパスワード、再利用されたパスワード、弱いパスワードは、ソーシャルメディアユーザーだけでなく、大企業や政府機関にも影響を与える主なサイバーセキュリティの脅威の一つです。露出したパスワードは、身元盗難、金銭的損失、その他多くの長期的な結果に等しいです。

今や社会はパスワードマネージャーの重要性を認識しています。しかし、最も重要な機能を見つけるのは難しく、またオンラインセキュリティを向上させる追加の手段を知ることが重要です。Psono パスワードマネージャーのマネージングディレクターであるサシャ・プファイファーが、Cybernews チームとサイバーセキュリティに関する見解を共有することに同意しました。

最初に戻って、Psono の開発はどのように始まりましたか？

2015 年に、私は Psono をプログラムすることを決めました。当時、すべての秘密をクライアント側で暗号化するサービスを企業が自分のサーバーにホストできるようなソリューションは存在しませんでした。私は友人たちとたくさん話し合い、それがどう機能すべきか、私の暗号化アプローチがどのようなものかを説明しましたが、おそらく彼らを退屈させてしまった面もありました。 2017 年に最初の公開バージョンをリリースし、時間とともに拡張されました。最初は拡張機能、ファイル、iOS や Android 用のアプリを追加しました。すべてがサイドプロジェクトとして行われ、基本的に私の完全な自由時間、週末、休日がこの製品に費やされました。2020 年、これを追求することに決め、同時に非常に困難な選択をしました。当時は COVID のピーク時でトイレットペーパーも不足していました。しかし、その選択は功を奏し、実際のマーケティングなしで多くの顧客を獲得しました。新しいドイツ政府がユーザーの暗号化の権利を保障するという公約を掲げた選挙は、大きな安心感をもたらしました。それまでは、ドイツ政府がソフトウェアベンダーにバックドアの実装を要求する可能性がありましたが、今それは完全に考えられなくなりました。

あなたのパスワードマネージャーについて紹介してください。主要な機能は何ですか？

Psono はあなたが仕事仲間や家族とパスワードを安全に保管し共有することを可能にします。いくつかの点で Psono は他と一線を画しています。まず、あなたのサーバーにホストすることができます。この分散型アプローチは、クライアント用に中央でホストし、1 つの脆弱性がすべてのクライアントのパスワードを露出させるリスクがあるベンダーに比べて非常に攻撃に対して強靭です。Psono のスタックはオープンソースであり、そのため脆弱性やバックドアがあるかどうか監査が可能です。ドイツのベンダーとして、他のソリューションに対するユーザープライバシーを守る代替案を提供しています。すべてのパスワードとその他の秘密はユーザーのデバイスを離れる前に暗号化され、ユーザーのみが復号化できます。すべてのエントリは他のユーザーと共有でき、グループを使った広範な権限コンセプトにより非常に柔軟な構成が可能で、企業には最適な選択となります。

Psono をオープンソースにした背後にあるビジョンは何ですか？オープンソースのセキュリティソフトウェアの内実について教えてください。

オープンソースであることは私たちのセキュリティモデルの一部です。監査できないソフトウェアを信用するべきではありません。特に、あなたの最も重要なソフトウェアの一つであるパスワードマネージャーについてはなおさらです。もちろん、オープンソースソフトウェアに対する内在的な愛もあります。初めて Ubuntu が私のラップトップで起動したときの気持ちを思い出すと、非常に懐かしいです。私たちは皆、巨人の肩に立っており、オープンソースソフトウェアがなければ、私たちの IT 生活は石器時代のままでしょう。オープンソースであることには他の利点もあります。オープンソースベンダーにのみ利用可能なマーケティングチャネルへのアクセスを提供するためです。

一部の専門家は、現在パスワード不要の未来に向かって進んでいると言います。このアプローチについてどう考えますか？

このトレンドは通常、問題の解決策として自身のソフトウェアを販売しようとするソリューションベンダーによって繰り返されます。私は、パスワードが次の 30 年間で消えることはないと考えます。問題は、これまでに適切な解決策が現れていないことです。通常、それらには多数の欠点があります。レガシーツールは通常接続できません。すべてのデバイス、ソフトウェア、およびシステムに渡ってソリューションを実装することは難しいです。OAuth サービスのような公共の選択肢は、サービスがアカウントを閉じたり何らかの理由でアクセスを拒否したりするリスクを負うため、すべての連携アカウントを失う可能性があります。パスワードには問題が多いですが、現在知られているすべての代替案にも問題があります。

現在の世界的な出来事の結果として、新たな脅威が生じていると感じたことはありますか？

慎重に答えるべきですが、正直なところ、現在の世界的な出来事に関連する新たな脅威が生じているとは思いません。確かに、セキュリティと保護に対する欲求が高まってきていますが、IT セキュリティ側が中程度の利益しか得られていないのが現状です。ただし、新しいハッキングが公になると、状況は急激に変わるかもしれません。

セキュリティ侵害が発生した場合、企業が業務を保護し顧客データを保護するために最初に取るべきステップは何ですか？

最初のステップは緩和策です。インターネットやネットワークの接続を切断し、サーバーやサービスをシャットダウンしてさらなる被害を防ぎます。 次のステップは、サービスを隔離された状態で再起動し、何が起こったのか、どうやって起こったのかを特定し始めることです。これは、外部の専門家の助けを借りて答えを見つけるのが一般的です。 次に、影響を受けた顧客に通知します。詳細と潜在的なリスクを説明します。 サービスを再度立ち上げる際には、資格情報を更新し、攻撃者が再びシステムにアクセスするために使うバックドアが残っていないことを確認します。 同様の問題を将来的に防ぐための対策を調査し、それらを実装します。通常、これがパスワードマネージャーが役立つ場面です。

自分のパスワードが強奪されたかどうかを知る方法はありますか？見過ごしがちな早期警告サインはありますか？

通常、強奪されたパスワードを見分けるのは難しいですが、注意すべきいくつかの曖昧で明白な兆候があります。例えば、疑わしい活動、パスワードの変更や未知の場所からのログインに関するメール通知、または承認していない銀行振込などです。Psono には、public services like haveibeenpwned.com などの公開サービスをチェックし、既知のパスワード漏洩を検出する機能がありますので、パスワードが強奪されたかどうかを知ることができます。通常、事前に考えて行動するのが最良です。あなたのパスワードが強奪されるのを防ぐためにできることは、完全にランダムなパスワードを使用し、同じパスワードを再利用しないことです。したがって、パスワードマネージャーが唯一の選択肢となります。

強力な認証以外に、全員が生活に取り入れるべきだと考えるセキュリティツールはありますか？

多くのツールがありますが、ほとんどの攻撃は電子メールを介して行われるため、適切な電子メールサービスプロバイダーがあなたの最初の防御線となるでしょう。Gmail や Outlook はスパムやフィッシング、不審なコンテンツのブロックについて非常に有効です。 次に重要なツールは、二要素認証です。可能な限り使用してください。私たちは Yubico と提携し、Psono に Yubikey のサポートを実装しました（Google Authenticator などの他の選択肢に加えて）。この二要素認証は、パスワードが批判される多くの欠点を防ぎます。

Psono の次のステップを教えてください。

どこから始めるべきか悩みます。製品的には、現在、完全に書き直された新しいバージョンの Web クライアントに取り組んでいます。アプリも重要な開発部分であり、パスワード用の最高のアプリにしたいと考えています。ビジネス的には、まだ具体的には言えませんが、大企業が進行中で、パスワードマネージャーへの広範なアクセスを顧客に提供する予定です。