Entrevista do Cybernews com Sascha Pfeiffer
Detectar senhas comprometidas até que seja tarde demais é uma tarefa bastante difícil, há apenas algumas coisas vagas e óbvias a serem observadas.
Senhas não seguras, reutilizadas e fracas são uma das principais ameaças à cibersegurança que afetam não só os usuários de redes sociais, mas também grandes empresas e instituições governamentais. Senhas expostas equivalem a roubo de identidade, perdas financeiras e muitas mais consequências a longo prazo.
Atualmente, a sociedade está ciente da importância dos gerenciadores de senhas. No entanto, é bastante difícil encontrar os recursos mais importantes a serem procurados, e é crucial saber quais medidas adicionais melhoram a segurança online. O Diretor Executivo do gerenciador de senhas Psono, Sascha Pfeiffer, concordou em compartilhar suas opiniões sobre cibersegurança com a equipe do Cybernews.
Vamos voltar ao início. Como foi o desenvolvimento do Psono?
Foi em 2015 que decidi programar o Psono. Não existia uma solução naquela época que permitisse a uma empresa hospedar um serviço em seus servidores para gerenciar senhas com criptografia do lado do cliente de todos os segredos armazenados. Conversei muito com meus amigos sobre como isso deveria funcionar ou como era minha abordagem criptográfica e, em alguns aspectos, provavelmente os entediei até a morte. A primeira versão pública foi lançada em 2017 e depois ampliada ao longo do tempo. Primeiro com extensões, arquivos, aplicativos para iOS e Android. Tudo isso apenas como um projeto paralelo, basicamente todo o meu tempo livre, fins de semana e feriados foram dedicados ao produto. Em 2020, decidi que queria seguir em frente com isso e fundei a esaqa GmbH, o que foi uma escolha difícil de se fazer naquela época. A COVID estava em seu pico e papel higiênico era raro... Mas a escolha valeu a pena e ganhamos alguns clientes, mesmo sem qualquer marketing real, apenas pessoas que usavam nossa edição comunitária antes estavam comprando nosso produto empresarial. A eleição do novo governo alemão com o compromisso de que os usuários têm o direito à criptografia foi um grande alívio. Antes, parecia que o estado alemão poderia exigir que os fornecedores de software implementassem backdoors, o que agora está completamente fora de questão.
Pode nos apresentar seu gerenciador de senhas? Quais são seus principais recursos?
O Psono permite armazenar e compartilhar senhas com segurança com colegas de trabalho e membros da família. Há alguns pontos que fazem o Psono se destacar. Primeiro, você pode hospedar coisas em seus servidores. Essa abordagem descentralizada o torna extremamente resiliente contra ataques em comparação com fornecedores que hospedam coisas centralmente para seus clientes, onde uma única vulnerabilidade exporia todas as senhas de todos os clientes. A stack do Psono é open source e, como tal, pode ser auditada para verificar vulnerabilidades e backdoors. Como um fornecedor alemão, fornecemos alternativas comprometidas com a privacidade do usuário em relação a outras soluções. Todas as senhas e outros segredos são criptografados antes de saírem do dispositivo do usuário e só podem ser descriptografados pelo usuário. Todas as entradas podem ser compartilhadas com outros usuários e um extenso conceito de permissões com grupos permite configurações extremamente flexíveis, tornando-o uma escolha perfeita para empresas.
Qual foi a visão por trás de tornar o Psono open source? Pode nos contar mais sobre os prós e contras do software de segurança open source?
Ser open source é parte do nosso modelo de segurança. Você não deve confiar em nenhum software que não possa auditar. Isso é especialmente verdadeiro para uma das suas peças de software mais cruciais, um gerenciador de senhas. Há, é claro, um amor intrínseco pelo software de código aberto. Quando eu penso em como eu me sentia quando meu primeiro Ubuntu iniciou no meu Laptop, fico bastante nostálgico. Então, todos estamos nos ombros de gigantes e sem software de código aberto todos viveríamos na idade da pedra da TI. Ser open source também tem outras vantagens, pois fornece acesso a alguns canais de marketing que estão exclusivamente disponíveis para fornecedores de código aberto.
Alguns especialistas dizem que estamos atualmente caminhando para um futuro sem senhas. O que você pensa sobre essa abordagem?
A tendência geralmente é repetida por fornecedores de soluções que tentam vender seu software como a solução para esse problema. Eu acredito que as senhas não vão desaparecer nos próximos 30 anos. O problema é que até agora nenhuma solução adequada surgiu. Normalmente, elas têm várias desvantagens. Ferramentas legadas geralmente não podem ser conectadas. Implementar uma solução em todos os dispositivos, softwares e sistemas é difícil. Opções públicas como todos esses serviços OAuth impõem o risco de o serviço fechar sua conta ou negar o acesso por algum motivo, fazendo você perder todas as suas contas conectadas. As senhas têm muitos problemas ainda que todas as alternativas conhecidas atualmente tenham seus problemas.
Você notou alguma nova ameaça surgindo como resultado dos eventos globais atuais?
Eu quero ser cuidadoso, mas, honestamente, não acho que existam novas ameaças surgindo em relação aos eventos globais atuais. Há, com certeza, mais desejo por segurança e proteção, mas o lado da segurança de TI poderia se beneficiar moderadamente. Isso com certeza pode mudar rapidamente se novos hacks se tornarem públicos.
Em caso de violação de segurança, quais devem ser os primeiros passos para uma empresa proteger sua carga de trabalho, bem como os dados dos clientes?
O primeiro passo seria a mitigação. Tente desconectar a internet, rede, desligar servidores e serviços para prevenir qualquer dano adicional. O segundo passo seria reiniciar os serviços de forma isolada e tentar identificar o que aconteceu, como aconteceu, potencialmente com alguma ajuda externa de profissionais que o ajudarão a responder essas perguntas. O terceiro passo seria informar os clientes afetados. Explique os detalhes e os riscos potenciais. Quando você reiniciar seus serviços, rotacione as credenciais e certifique-se de que o atacante não deixou nenhum backdoor que ele possa usar para recuperar o acesso aos sistemas. Investigue como prevenir problemas de natureza similar no futuro e implemente essas proteções. Normalmente, é aí que os gerenciadores de senhas entram se a empresa ainda não tiver um.
Como alguém pode descobrir se sua senha foi comprometida? Existem sinais de alerta precoce que podem ser ignorados?
Geralmente é bastante difícil detectar senhas comprometidas, há apenas algumas coisas vagas e óbvias a serem observadas. Como atividades suspeitas, notificações por email sobre mudanças de senha ou logins de locais desconhecidos, ou transferências bancárias que você não autorizou. O Psono tem um recurso interessante incluído que verifica serviços públicos como o haveibeenpwned.com para detectar brechas de senha conhecidas, então ele detectará se sua senha foi comprometida em algum momento. Normalmente, é melhor pensar de forma preventiva. O que você pode fazer para evitar que sua senha seja comprometida é usar senhas verdadeiramente aleatórias e nunca reutilizar senhas; é aí que um gerenciador de senhas é a sua única escolha.
Além de uma autenticação forte, quais outras ferramentas de segurança você acredita que todos deveriam incorporar em seu estilo de vida?
Existem muitas ferramentas, mas como a maioria dos ataques acontece por email, eu diria que um provedor de serviço de email adequado é sua primeira linha de defesa. Gmail e Outlook fazem um trabalho realmente bom de prevenção de spam, phishing e bloqueio de conteúdo suspeito. A segunda ferramenta mais importante que você pode implementar é a autenticação de dois fatores. Use-a onde quer que você possa. Fizemos parceria com a Yubico para implementar o suporte para Yubikeys no Psono (ao lado de alternativas como Google Authenticator e outros). Os segundos fatores previnem a maioria das desvantagens pelas quais as senhas são criticadas.
Compartilhe conosco, o que vem a seguir para o Psono?
Eu não sei por onde começar. Em termos de produto, estamos atualmente trabalhando em uma nova versão do nosso cliente web que foi completamente reescrita. O App é outro grande canteiro de obras, pois queremos torná-lo o melhor aplicativo de sua classe para senhas. Em termos de negócios, ainda não posso dizer nada, mas há algumas grandes corporações a caminho que fornecerão aos clientes amplo acesso a gerenciadores de senhas.
