Интервью Cybernews с Сашей Пфайффером

Выявить скомпрометированные пароли, пока не стало слишком поздно, довольно сложно, есть лишь несколько расплывчатых и очевидных признаков, на которые стоит обратить внимание.

Необезопасенные, повторно используемые и слабые пароли — одна из главных угроз кибербезопасности, которые влияют не только на пользователей социальных сетей, но и на крупные компании и правительственные учреждения. Раскрытые пароли равносильны краже личности, финансовым потерям и многим другим долгосрочным последствиям.

Сейчас общество осознает важность использования менеджеров паролей. Однако, найти наиболее важные функции для поиска довольно сложно, и важно знать, какие дополнительные меры улучшают онлайн-безопасность. Управляющий директор менеджера паролей Psono, Саша Пфайффер, согласился поделиться своим мнением о кибербезопасности с командой Cybernews.

Вернемся к самому началу. Как выглядел процесс разработки Psono?

В 2015 году я решил программировать Psono. На тот момент не существовало решения, которое позволило бы компании разместить сервис на своих серверах для управления паролями с шифрованием на стороне клиента всех хранимых секретов. Я много разговаривал с друзьями о том, как это должно работать, или как выглядит мой криптографический подход, и в каком-то смысле, вероятно, утомил их насмерть. Первая публичная версия была выпущена в 2017 году и со временем расширялась. Сначала с расширениями, файлами, приложениями для iOS и Android. Все это лишь как побочный проект, фактически все мое свободное время, выходные и отпуска ушли на продукт. В 2020 году я решил продолжить это дело и основал esaqa GmbH, что было трудным решением на тот момент. COVID был в самом разгаре, и туалетная бумага была в дефиците… Но выбор оправдался, и мы приобрели немало клиентов, даже без реального маркетинга, просто люди, которые раньше использовали наше сообщество, покупали наш корпоративный продукт. Избрание нового правительства Германии с приверженностью пользователя праву на шифрование было огромным облегчением. До этого казалось, что немецкое государство может потребовать от поставщиков программного обеспечения внедрения бэкдоров, чего теперь полностью исключено.

Можете ли вы представить нам ваш менеджер паролей? Какие его ключевые особенности?

Psono позволяет безопасно хранить и делиться паролями с коллегами и членами семьи. Есть несколько моментов, которые выделяют Psono. Во-первых, вы можете размещать данные на своих серверах. Этот децентрализованный подход делает его чрезвычайно устойчивым к атакам по сравнению с поставщиками, которые централизованно размещают данные для своих клиентов, где одна уязвимость может раскрыть все пароли всех клиентов. Стек Psono открытый исходный код и, следовательно, может быть протестирован на уязвимости и бэкдоры. Как немецкий поставщик, мы предлагаем альтернативы, ориентированные на конфиденциальность пользователя. Все пароли и другие секреты шифруются до того, как они покидают устройство пользователя, и могут быть расшифрованы только пользователем. Все записи могут быть поделены с другими пользователями, и обширная концепция разрешений с группами позволяет очень гибко настраивать, что делает его идеальным выбором для компаний.

Каким был замысел сделать Psono с открытым исходным кодом? Можете ли вы рассказать больше о тонкостях безопасности программного обеспечения с открытым исходным кодом?

Продукты с открытым исходным кодом является частью нашей модели безопасности. Вам не стоит доверять никакому программному обеспечению, которое вы не можете проверить. Это особенно верно для одного из самых важных частей вашего программного обеспечения — менеджера паролей. Конечно, есть внутреннее чувство любви к программному обеспечению с открытым исходным кодом. Когда я вспоминаю, как чувствовал себя, когда первый раз загрузил Ubuntu на свой ноутбук, я становлюсь довольно ностальгичным. Мы все опираемся на плечи гигантов, и без программного обеспечения с открытым исходным кодом мы все жили бы в каменном веке IT. Быть открытым исходным кодом также имеет другие преимущества, так как это предоставляет доступ к некоторым маркетинговым каналам, которые доступны исключительно поставщикам с открытым исходным кодом.

Некоторые эксперты говорят, что мы движемся к будущему без паролей. Что вы думаете по этому поводу?

Эта тенденция обычно повторяется поставщиками решений, которые пытаются продать свое программное обеспечение как решение этой проблемы. Я считаю, что пароли не исчезнут в ближайшие 30 лет. Проблема в том, что до сих пор не появилось правильного решения. Обычно они имеют несколько недостатков. Старые инструменты обычно не могут быть подключены. Внедрение решения на всех устройствах, программном обеспечении и системах сложно. Общественные решения, такие как все эти сервисы OAuth, несут риск того, что сервис может закрыть ваш аккаунт или отказать вам в доступе по какой-либо причине, что приведет к потере всех ваших связанных аккаунтов. Пароли имеют много проблем, но все известные на данный момент альтернативы имеют свои проблемы.

Вы заметили появление новых угроз в результате текущих глобальных событий?

Я хочу быть осторожным, но я честно не думаю, что возникли новые угрозы вследствие текущих глобальных событий. Безусловно, существует больше потребности в безопасности и защите, но с точки зрения IT безопасности это может принести только умеренную пользу. Это, конечно, может быстро измениться, если станут известны новые взломы.

В случае нарушения безопасности, какие должны быть первые шаги бизнеса для защиты своей рабочей нагрузки и данных клиентов?

Первый шаг — это смягчение последствий. Постарайтесь отключить интернет, сеть, выключить серверы и сервисы, чтобы предотвратить дальнейший ущерб. Второй шаг — повторный запуск услуг в изолированном режиме и попытка определить, что произошло, как это произошло, возможно, с внешней помощью специалистов, которые помогут вам ответить на эти вопросы. Третий шаг — информирование пострадавших клиентов. Объясните детали и потенциальные риски. Когда вы снова запускаете услуги, измените учетные данные и убедитесь, что злоумышленник не оставил бэкдор, который он мог бы использовать для повторного доступа к системам. Исследуйте, как предотвратить подобные проблемы в будущем, и внедрите эти меры. Обычно в этом помогают менеджеры паролей, если у компании их еще нет.

Как можно узнать, был ли пароль скомпрометирован? Есть ли какие-либо признаки, которые часто упускаются из виду?

Обычно довольно сложно определить скомпрометированные пароли, есть лишь несколько расплывчатых и очевидных признаков, на которые стоит обратить внимание. Например, подозрительная активность, уведомления по электронной почте о изменении паролей или входах из неизвестных мест, или банковские переводы, которые вы не авторизовали. Psono имеет хорошую функцию, которая проверяет общественные сервисы, такие как haveibeenpwned.com, на наличие известн