Wywiad Cybernews z Saschą Pfeifferem
Zauważenie skompromitowanych haseł, zanim będzie za późno, jest raczej trudnym zadaniem; istnieją tylko pewne ogólne i oczywiste rzeczy, na które należy zwracać uwagę.
Niezabezpieczone, ponownie używane i słabe hasła są jednym z głównych zagrożeń dla cyberbezpieczeństwa, które wpływają nie tylko na użytkowników mediów społecznościowych, ale także na duże firmy i instytucje rządowe. Ujawnione hasła są równoznaczne z kradzieżą tożsamości, stratami finansowymi i wieloma innymi długoterminowymi konsekwencjami.
Obecnie społeczeństwo jest świadome znaczenia menedżerów haseł. Jednak trudno jest znaleźć najważniejsze funkcje, na które należy zwrócić uwagę, i konieczne jest poznanie dodatkowych środków poprawiających bezpieczeństwo online. Dyrektor zarządzający menedżera haseł Psono, Sascha Pfeiffer, zgodził się podzielić swoimi poglądami na temat cyberbezpieczeństwa z zespołem Cybernews.
Wróćmy do samego początku. Jak wyglądał rozwój Psono?
W 2015 roku zdecydowałem się napisać program Psono. W tamtym czasie nie istniało żadne rozwiązanie, które pozwoliłoby firmie na hosting usługi na ich serwerach w celu zarządzania hasłami z szyfrowaniem po stronie klienta wszystkich przechowywanych tajemnic. Dużo rozmawiałem z przyjaciółmi o tym, jak to powinno działać lub jak wyglądało moje podejście kryptograficzne i do pewnego stopnia pewnie zanudziłem ich na śmierć. Pierwsza publiczna wersja została wydana w 2017 roku i następnie rozszerzana z czasem. Najpierw z rozszerzeniami, plikami, aplikacjami na iOS i Android. Wszystko to było projektem bocznym, w zasadzie cała wolna chwila, weekendy i wakacje poświęcone były produktowi. W 2020 roku zdecydowałem, że chcę się tym zajmować na pełny etat i założyłem esaqa GmbH, co było trudnym wyborem w tamtym czasie. COVID osiągnął szczyt, a papier toaletowy był rzadki... Ale decyzja się opłaciła i zdobyliśmy całkiem sporo klientów, nawet bez prawdziwego marketingu, tylko ludzie, którzy wcześniej używali naszej edycji społecznościowej, kupowali nasz produkt dla przedsiębiorstw. Wybór nowego rządu niemieckiego z zobowiązaniem do prawa użytkowników do szyfrowania był ogromną ulgą. Wcześniej wyglądało na to, że niemieckie państwo może wymagać od dostawców oprogramowania implementacji tylnego wejścia, co teraz całkowicie zniknęło ze stołu.
Czy możesz przedstawić nam swojego menedżera haseł? Jakie są jego kluczowe funkcje?
Psono pozwala bezpiecznie przechowywać i udostępniać hasła współpracownikom i członkom rodziny. Jest kilka punktów, które wyróżniają Psono. Po pierwsze, możesz hostować rzeczy na swoich serwerach. To zdecentralizowane podejście sprawia, że jest ono niezwykle odporne na ataki w porównaniu do dostawców, którzy centralnie hostują dane dla swoich klientów, gdzie jedno podatność narazi wszystkie hasła wszystkich klientów. Stos Psono jest open source, dzięki czemu można go audytować pod kątem podatności i tylnego wejścia. Jako niemiecki dostawca oferujemy alternatywy respektujące prywatność użytkowników w porównaniu do innych rozwiązań. Wszystkie hasła i inne tajemnice są szyfrowane, zanim kiedykolwiek opuszczą urządzenie użytkownika, i mogą być odszyfrowane wyłącznie przez użytkownika. Wszystkie wpisy można udostępniać innym użytkownikom, a rozbudowana koncepcja uprawnień z grupami pozwala na niezwykle elastyczne konfiguracje, co czyni go idealnym wyborem dla firm.
Jaka była wizja stojąca za uczynieniem Psono open source? Czy możesz nam powiedzieć więcej o tajnikach bezpieczeństwa oprogramowania open source?
Bycie open source jest częścią naszego modelu bezpieczeństwa. Nie powinno się ufać żadnemu oprogramowaniu, którego nie można audytować. To szczególnie prawda w przypadku jednego z najważniejszych elementów oprogramowania, menedżera haseł. Oczywiście istnieje też wrodzona miłość do oprogramowania open source. Kiedy myślę o tym, jak się czułem, gdy mój pierwszy Ubuntu uruchomił się na moim laptopie, staję się dosyć nostalgiczny. Więc wszyscy stoimy na ramionach gigantów i bez oprogramowania open source wszyscy żylibyśmy w epoce kamienia IT. Bycie open source ma również inne zalety, ponieważ daje dostęp do pewnych kanałów marketingowych, które są dostępne wyłącznie dla dostawców open source.
Niektórzy eksperci twierdzą, że obecnie zmierzamy w kierunku przyszłości bez haseł. Jakie jest Twoje zdanie na ten temat?
Ten trend jest zazwyczaj powtarzany przez dostawców rozwiązań, którzy próbują sprzedać swoje oprogramowanie jako rozwiązanie tego problemu. Uważam, że hasła nie znikną przez następne 30 lat. Problem polega na tym, że nie pojawiło się jeszcze właściwe rozwiązanie. Zazwyczaj mają one wiele wad. Starsze narzędzia zwykle nie mogą być podłączone. Implementacja rozwiązania na wszystkich urządzeniach, oprogramowaniu i systemach jest trudna. Publiczne opcje, takie jak wszystkie te usługi OAuth, niosą ryzyko zamknięcia konta przez usługę lub odmowy dostępu z jakiegoś powodu, co spowoduje utratę wszystkich podłączonych kont. Hasła mają wiele problemów, ale wszystkie znane alternatywy mają swoje wady.
Czy zauważyłeś pojawienie się nowych zagrożeń w wyniku obecnych wydarzeń na świecie?
Chcę być ostrożny, lecz szczerze nie sądzę, aby pojawiły się nowe zagrożenia w związku z obecnymi wydarzeniami na świecie. Z pewnością istnieje większe pragnienie bezpieczeństwa i ochrony, ale strona z bezpieczeństwem IT mogła skorzystać tylko umiarkowanie. To z pewnością może się szybko zmienić, jeśli nowe włamania staną się publiczne.
W przypadku naruszenia bezpieczeństwa, jakie powinny być pierwsze kroki firmy w celu ochrony swojej pracy oraz danych klientów?
Pierwszym krokiem byłoby złagodzenie skutków. Spróbuj odłączyć internet, sieć, wyłącz serwery i usługi, aby zapobiec dalszym szkodom. Drugim krokiem byłoby ponowne uruchomienie usług w izolowany sposób i próba zidentyfikowania, co się stało, jak to się stało, być może z pomocą zewnętrzną profesjonalistów, którzy pomogą odpowiedzieć na te pytania. Trzecim krokiem byłoby poinformowanie dotkniętych klientów. Wyjaśnij szczegóły i potencjalne ryzyka. Kiedy ponownie uruchomisz swoje usługi, zmień poświadczenia i upewnij się, że napastnik nie pozostawił żadnego tylnego wejścia, którego mógłby użyć do odzyskania dostępu do systemów. Badaj, jak zapobiec problemom podobnej natury w przyszłości i wdrażaj te zabezpieczenia. Zazwyczaj tutaj wkraczają menedżery haseł, jeśli firma jeszcze takiego nie ma.
Jak można dowiedzieć się, czy ich hasło zostało skompromitowane? Czy są jakieś wczesne znaki ostrzegawcze, które często można przeoczyć?
Zazwyczaj bardzo trudno jest zauważyć skompromitowane hasła, istnieją tylko pewne ogólne i oczywiste rzeczy, na które należy zwracać uwagę. Jak podejrzana aktywność, powiadomienia e-mail o zmienionych hasłach lub logowania z nieznanych lokalizacji, czy przelewy bankowe, których nie autoryzowałeś. Psono ma miłą funkcję, która sprawdza publiczne usługi, takie jak haveibeenpwned.com, pod kątem znanych naruszeń haseł, więc wykryje, czy twoje hasło kiedykolwiek zostało skompromitowane. Zazwyczaj lepiej jest myśleć prewencyjnie. Co możesz zrobić, aby zapobiec skompromitowaniu hasła? Używaj naprawdę losowych haseł i nigdy nie używaj tych samych haseł; w takim przypadku menedżer haseł jest jedynym wyborem.
Poza silnymi mechanizmami uwierzytelniania, jakie inne narzędzia bezpieczeństwa uważasz, że każdy powinien wdrożyć do swojego stylu życia?
Jest wiele narzędzi, ale ponieważ większość ataków odbywa się przez email, powiedziałbym, że odpowiedni dostawca usług email to twoja pierwsza linia obrony. Gmail i Outlook naprawdę dobrze blokują spam, phishing i podejrzane treści. Drugim najważniejszym narzędziem, które możesz wdrożyć, jest uwierzytelnianie dwuskładnikowe. Używaj go, gdzie tylko możesz. Współpracowaliśmy z Yubico, aby wdrożyć wsparcie dla Yubikeys w Psono (obok alternatyw jak Google Authenticator i innych). Drugi składnik eliminuje większość wad, za które krytykowane są hasła.
Podziel się z nami, co będzie dalej z Psono?
Nie wiem, od czego powinienem zacząć. Pod względem produktu, obecnie pracujemy nad nową wersją naszego klienta webowego, który został całkowicie przepisany. Aplikacja jest kolejnym dużym placem budowy, ponieważ chcemy, aby była najlepszą w swojej klasie aplikacją do haseł. Pod względem biznesowym, nie mogę jeszcze niczego powiedzieć, ale są na horyzoncie ogromne korporacje, które zapewnią klientom szeroki dostęp do menedżerów haseł.
