Intervju av Cybernews med Sascha Pfeiffer
Å oppdage kompromitterte passord før det er for sent er en ganske tøff oppgave, det er bare noen vage og åpenbare ting å se etter.
Usikrede, gjenbrukte og svake passord er en av de største truslene innen cybersikkerhet som påvirker ikke bare sosiale mediebrukere, men også store selskaper og offentlige institusjoner. Eksponerte passord er lik identitetstyveri, økonomiske tap og mange flere langsiktige konsekvenser.
Nå er samfunnet klar over viktigheten av passordbehandlere. Likevel er det ganske vanskelig å finne de viktigste funksjonene å se etter, og det er viktig å vite hvilke tilleggstiltak som forbedrer nettdatasikkerheten. Daglig leder for Psono passordbehandler, Sascha Pfeiffer, gikk med på å dele sine synspunkter om cybersikkerhet med Cybernews-teamet.
La oss gå tilbake til helt fra starten. Hvordan så utviklingen av Psono ut?
Det var i 2015 at jeg bestemte meg for å programmere Psono. Ingen løsning eksisterte på den tiden som tillot et selskap å være vert for en tjeneste på deres servere for å administrere passord med klient-side kryptering av alle de lagrede hemmelighetene. Jeg snakket mye med vennene mine om hvordan det skulle fungere eller hvordan min kryptografiske tilnærming så ut, og til en viss grad kjedet jeg dem sikkert ihjel. Den første offentlige versjonen ble utgitt i 2017 og ble deretter utvidet over tid. Først med utvidelser, filer, apper for iOS og Android. Alt dette som et sideprosjekt, basically hele fritiden min, helger og ferier gikk inn i produktet. I 2020 bestemte jeg meg for at jeg ville forfølge dette og grunnla esaqa GmbH, som var et tøft valg å ta på den tiden. COVID var på topp og toalettpapir var sjeldent... Men valget lønte seg, og vi fikk ganske mange kunder, selv uten noen reell markedsføring, bare folk som brukte vår community-utgave før kjøpte produktet vårt for bedrifter. Valget av den nye tyske regjeringen med forpliktelsen til brukere som har rett til kryptering var en stor lettelse. Før så det ut som den tyske staten kunne kreve at programvareleverandører implementere bakdører, noe som nå er fullstendig av bordet.
Kan du introdusere oss for din passordbehandler? Hva er dens nøkkelfunksjoner?
Psono lar deg lagre og dele passord sikkert med kolleger og familiemedlemmer. Det er flere punkter som gjør Psono spesielt. For det første kan du være vert for ting på dine servere. Denne desentraliserte tilnærmingen gjør det ekstremt motstandsdyktig mot angrep i forhold til leverandører som er vert for ting sentralt for sine kunder der en enkelt sårbarhet vil eksponere alle passordene til alle kundene. Psono’s stack er open source og slik kan den granskes for sårbarheter og bakdører. Som en tysk leverandør tilbyr vi personvernforpliktede alternativer til andre løsninger. Alle passord og andre hemmeligheter krypteres før de noen gang forlater brukerens enhet og kan bare dekrypteres av brukeren. Alle oppføringer kan deles med andre brukere, og et omfattende tillatelseskonsept med grupper tillater svært fleksible konfigurasjoner, noe som gjør det til et perfekt valg for selskaper.
Hva var visjonen bak å gjøre Psono open source? Kan du fortelle oss mer om innsiden og utsiden av open source sikkerhetsprogramvare?
Å være open source er en del av vår sikkerhetsmodell. Du bør ikke stole på noen programvare som du ikke kan granske. Dette er spesielt sant for en av dine mest avgjørende programvarer, en passordbehandler. Det er selvfølgelig en indre kjærlighet for open source programvare. Når jeg tenker tilbake på hvordan jeg følte meg da min første Ubuntu startet på min Laptop, blir jeg ganske nostalgisk. Så vi står alle på skulderen av giganter, og uten open source programvare ville vi alle leve i IT-steinalderen. Å være open source har også andre fordeler, da det gir tilgang til noen markedsføringskanaler som er eksklusivt tilgjengelig for open source leverandører.
Noen eksperter sier at vi for øyeblikket beveger oss mot en passordløs fremtid. Hva er dine tanker om denne tilnærmingen?
Trenden gjentas vanligvis av leverandører av løsninger som prøver å selge sin programvare som løsningen på dette problemet. Jeg tror passord ikke vil forsvinne de neste 30 årene. Problemet er at ingen skikkelig løsning har dukket opp så langt. Vanligvis har de flere ulemper. Legacy-verktøy kan vanligvis ikke kobles til. Implementering av en løsning på tvers av alle enheter, programvare og systemer er vanskelig. Offentlige alternativer som alle disse OAuth-tjenestene medfører risikoen for at tjenesten stenger kontoen din eller nekter deg tilgang av en eller annen grunn, noe som får deg til å miste alle dine tilkoblede kontoer. Passord har mange problemer, men alle de nåværende kjente alternativene har sine problemer.
Har du lagt merke til noen nye trusler som har oppstått som følge av de aktuelle globale hendelsene?
Jeg vil være forsiktig, men jeg tror ærlig talt ikke at det er nye trusler som oppstår angående de nåværende globale hendelsene. Det er sikkert mer ønske om sikkerhet og beskyttelse, men IT-sikkerhetssiden kan bare dra moderat nytte. Dette kan helt sikkert endre seg ganske raskt hvis nye hack blir offentlig kjent.
I tilfelle av et sikkerhetsbrudd, hva bør være de første trinnene for en bedrift for å beskytte sitt arbeidsbelastning samt kundedata?
Det første trinnet vil være å begrense skaden. Prøv å koble fra internett, nettverk, slå av servere og tjenester for å forhindre ytterligere skade. Det andre trinnet vil være å starte tjenester igjen på en isolert måte og prøve å identifisere hva som skjedde, hvordan det skjedde, eventuelt med ekstern hjelp fra fagfolk som vil hjelpe deg med å svare på disse spørsmålene. Det tredje trinnet vil være å informere berørte kunder. Forklar detaljene og potensielle risikoer. Når du starter opp tjenestene dine igjen, roterer du legitimasjon og sørger for at angriperen ikke la igjen noen bakdør som han kunne bruke til å gjenvinne tilgang til systemene. Undersøk hvordan du kan forhindre problemer av lignende art i fremtiden og implementer dem. Vanligvis er det der passordbehandlere kommer inn hvis selskapet ikke allerede har en.
Hvordan kan man finne ut om passordet deres har blitt kompromittert? Er det noen tidlige varselsignaler som ofte kan overses?
Det er vanligvis ganske vanskelig å oppdage kompromitterte passord, det er bare noen vage og åpenbare ting å se etter. Som mistenkelig aktivitet, e-postvarsler om endrede passord eller pålogginger fra ukjente steder, eller bankoverføringer som du ikke har autorisert. Psono har en fin funksjon inkludert som sjekker offentlige tjenester som haveibeenpwned.com for kjente passordbrudd, så det vil oppdage om passordet ditt noen gang har blitt kompromittert. Vanligvis er det bedre å tenke forebyggende. Hva du kan gjøre for å forhindre at passordet ditt blir kompromittert er å bruke virkelig tilfeldige passord og aldri gjenbruke passord; det er der en passordbehandler er ditt eneste valg.
Foruten sterk autentisering, hvilke andre sikkerhetsverktøy mener du alle bør inkorporere i sin livsstil?
Det er mange verktøy, men siden de fleste angrep skjer via e-post, vil jeg si at en skikkelig e-posttjenesteleverandør er din første forsvarslinje. Gmail og Outlook gjør en veldig god jobb med å forhindre spam, phishing og blokkering av mistenkelig innhold. Det nest viktigste verktøyet du kan implementere er to-faktor autentisering. Bruk det hvor du kan. Vi samarbeidet med Yubico for å implementere støtte for Yubikeys i Psono (ved siden av alternativer som Google Authenticator og andre). De andre faktorene forhindrer de fleste av ulempene som passord kritiseres for.
Del med oss, hva er det neste for Psono?
Jeg vet ikke hvor jeg skal begynne. Produktmessig jobber vi for tiden med en ny versjon av vår nettklient som er fullstendig omarbeidet. Appen er et annet stort prosjekt, ettersom vi ønsker å gjøre den til den beste i klassen appen for passord. Forretningsmessig har jeg ikke lov til å si noe ennå, men det er noen store samarbeid på vei som vil gi kunder bred tilgang til passordbehandlere.
