Interview van Cybernews met Sascha Pfeiffer
Het is vrij lastig om gecompromitteerde wachtwoorden op te merken voordat het te laat is; er zijn slechts enkele vage en voor de hand liggende signalen om op te letten.
Onbeveiligde, hergebruikte en zwakke wachtwoorden zijn een van de belangrijkste cyberbeveiligingsbedreigingen die niet alleen sociale mediagebruikers treffen, maar ook grote bedrijven en overheidsinstellingen. Blootgestelde wachtwoorden staan gelijk aan identiteitsdiefstal, financiële verliezen en vele andere langdurige gevolgen.
Tegenwoordig is de samenleving zich bewust van het belang van wachtwoordbeheerders. Toch is het vrij moeilijk om de belangrijkste kenmerken te vinden waar je op moet letten, en het is cruciaal om te weten welke aanvullende maatregelen de online beveiliging verbeteren. De Managing Director van de Psono-wachtwoordbeheerder, Sascha Pfeiffer, stemde ermee in zijn visie op cyberbeveiliging te delen met het Cybernews-team.
Laten we teruggaan naar het allereerste begin. Hoe zag de ontwikkeling van Psono eruit?
In 2015 besloot ik om Psono te programmeren. Er bestond toen geen oplossing die een bedrijf in staat zou stellen om een dienst op hun servers te hosten om wachtwoorden te beheren met client-side encryptie van alle opgeslagen geheimen. Ik heb veel gepraat met mijn vrienden over hoe het zou moeten werken of hoe mijn cryptografische aanpak eruit zag, en tot op zekere hoogte heb ik ze waarschijnlijk dood verveeld. De eerste openbare versie werd uitgebracht in 2017 en vervolgens in de loop van de tijd uitgebreid. Eerst met extensies, bestanden, apps voor iOS en Android. Dat alles gewoon als een zijproject, eigenlijk ging mijn volledige vrije tijd, weekenden en vakanties in het product zitten. In 2020 besloot ik dat ik hiermee verder wilde en richtte esaqa GmbH op, wat op dat moment een moeilijke keuze was. COVID was op zijn hoogtepunt en toiletpapier was schaars... Maar de keuze betaalde zich uit en we kregen behoorlijk wat klanten, zelfs zonder echte marketing, alleen mensen die onze community-editie eerder hadden gebruikt, kochten nu ons enterprise-product. De verkiezing van de nieuwe Duitse regering met de toezegging dat gebruikers recht hebben op encryptie was een grote opluchting. Voorheen leek het erop dat de Duitse staat softwareleveranciers kon verplichten om achterdeurtjes te implementeren, wat nu volledig van tafel is.
Kun je ons voorstellen aan jouw wachtwoordbeheerder? Wat zijn de belangrijkste kenmerken?
Psono stelt je in staat om wachtwoorden veilig op te slaan en te delen met collega's en familieleden. Er zijn een paar punten die Psono doen opvallen. Ten eerste kun je dingen op je eigen servers hosten. Deze decentrale aanpak maakt het extreem bestand tegen aanvallen in vergelijking met leveranciers die dingen centraal hosten voor hun klanten, waar een enkele kwetsbaarheid alle wachtwoorden van alle klanten blootstelt. Psono's stack is open source en kan als zodanig worden geaudit op kwetsbaarheden en achterdeurtjes. Als Duitse leverancier bieden wij gebruikersprivacygerichte alternatieven voor andere oplossingen. Alle wachtwoorden en andere geheimen worden versleuteld voordat ze het apparaat van de gebruiker verlaten en kunnen alleen door de gebruiker worden ontsleuteld. Alle invoergegevens kunnen worden gedeeld met andere gebruikers en een uitgebreid toestemmingsconcept met groepen maakt extreem flexibele configuraties mogelijk, waardoor het een perfecte keuze is voor bedrijven.
Wat was de visie achter het open source maken van Psono? Kun je ons meer vertellen over de ins en outs van open source beveiligingssoftware?
Open source zijn maakt deel uit van ons beveiligingsmodel. Je moet geen software vertrouwen die je niet kunt controleren. Dit geldt vooral voor een van je meest cruciale stukken software, een wachtwoordbeheerder. Er is natuurlijk een intrinsieke liefde voor open-source software. Als ik terugdenk aan hoe ik me voelde toen mijn eerste Ubuntu op mijn laptop opstartte, word ik best nostalgisch. Dus, we staan allemaal op de schouders van giganten en zonder open-source software zouden we allemaal in het IT-steentijdperk leven. Open-source zijn heeft ook andere voordelen omdat het toegang biedt tot bepaalde marketingkanalen die exclusief beschikbaar zijn voor open-source leveranciers.
Sommige experts zeggen dat we op dit moment op weg zijn naar een wachtwoordloze toekomst. Wat zijn jouw gedachten over deze aanpak?
De trend wordt meestal herhaald door leveranciers van oplossingen die proberen hun software als de oplossing voor dit probleem te verkopen. Ik geloof dat wachtwoorden de komende 30 jaar niet zullen verdwijnen. Het probleem is dat er tot nu toe geen goede oplossing is verschenen. Meestal hebben ze meerdere nadelen. Legacy tools kunnen vaak niet worden aangesloten. Het implementeren van een oplossing op alle apparaten, software en systemen is lastig. Publieke opties zoals al deze OAuth-services brengen het risico met zich mee dat de dienst je account sluit of je om de een of andere reden de toegang ontzegt, waardoor je alle verbonden accounts verliest. Wachtwoorden hebben veel problemen, maar alle huidige bekende alternatieven hebben ook hun problemen.
Heb je gemerkt dat er als gevolg van de huidige wereldwijde gebeurtenissen nieuwe bedreigingen zijn ontstaan?
Ik wil voorzichtig zijn, maar ik denk eerlijk gezegd niet dat er nieuwe bedreigingen ontstaan in verband met de huidige wereldwijde gebeurtenissen. Er is zeker meer behoefte aan veiligheid en bescherming, maar aan de IT-beveiligingskant zou slechts matig kunnen profiteren. Dit kan zeker vrij snel veranderen als nieuwe hacks openbaar worden.
In geval van een beveiligingsinbreuk, wat zouden de eerste stappen moeten zijn voor een bedrijf om zijn werklast en klantgegevens te beschermen?
De eerste stap zou mitigatie zijn. Probeer het internet los te koppelen, netwerken, servers en diensten uit te schakelen om verdere schade te voorkomen. De tweede stap zou zijn om services opnieuw op te starten op een geïsoleerde manier en te proberen te achterhalen wat er is gebeurd, hoe het is gebeurd, mogelijk met wat externe hulp van professionals die je zullen helpen deze vragen te beantwoorden. De derde stap zou zijn om getroffen klanten te informeren. Leg de details en mogelijke risico's uit. Wanneer je jouw services opnieuw opstart, draai dan referenties om en zorg ervoor dat de aanvaller geen achterdeurtje heeft achtergelaten dat hij kan gebruiken om opnieuw toegang tot de systemen te krijgen. Onderzoek hoe je soortgelijke problemen in de toekomst kunt voorkomen en implementeer die maatregelen. Meestal is dat waar wachtwoordmanagers aan te pas komen als het bedrijf er nog geen heeft.
Hoe kan iemand ontdekken of zijn wachtwoord is gecompromitteerd? Zijn er vroege waarschuwingssignalen die vaak over het hoofd worden gezien?
Het is meestal vrij moeilijk om gecompromitteerde wachtwoorden op te merken; er zijn slechts enkele vage en voor de hand liggende signalen om op te letten. Zoals verdachte activiteit, e-mailmeldingen van gewijzigde wachtwoorden of aanmeldingen vanaf onbekende locaties, of bankoverschrijvingen die je niet hebt geautoriseerd. Psono heeft een leuke functie die openbare diensten zoals haveibeenpwned.com controleert op bekende wachtwoordlekken, zodat het detecteert of je wachtwoord ooit gecompromitteerd is. Meestal is het beter om preventief te denken. Wat je kunt doen om te voorkomen dat je wachtwoord wordt gecompromitteerd, is echt willekeurige wachtwoorden gebruiken en nooit wachtwoorden hergebruiken; daarvoor is een wachtwoordbeheerder je enige keuze.
Naast sterke authenticatie, welke andere beveiligingstools vind jij dat iedereen in zijn of haar leven zou moeten integreren?
Er zijn veel tools, maar omdat de meeste aanvallen via e-mail verlopen, zou ik zeggen dat een goede e-mailserviceprovider je eerste verdedigingslinie is. Gmail en Outlook doen echt goed werk in het voorkomen van spam, phishing en het blokkeren van verdachte inhoud. De tweede belangrijkste tool die je kunt implementeren is twee-factor authenticatie. Gebruik het waar je kunt. We hebben samengewerkt met Yubico om de ondersteuning van Yubikeys in Psono te implementeren (naast alternatieven zoals Google Authenticator en andere). De tweede factoren voorkomen de meeste nadelen waar wachtwoorden om bekritiseerd worden.
Deel met ons, wat is er daarna voor Psono?
Ik weet niet waar ik moet beginnen. Product-wise werken we momenteel aan een nieuwe versie van onze webclient die volledig opnieuw is geschreven. De app is een ander groot bouwproject omdat we het de beste in zijn klasse voor wachtwoorden willen maken. Business-wise mag ik nog niets zeggen, maar er zijn enkele grote bedrijven onderweg die klanten brede toegang tot wachtwoordbeheerders zullen bieden.
