Intervju av Cybernews med Sascha Pfeiffer
Att upptäcka komprometterade lösenord innan det är för sent är en ganska svår uppgift, det finns bara några vaga och uppenbara saker att se upp för.
Osäkra, återanvända och svaga lösenord är ett av de största cybersäkerhetshoten som påverkar inte bara användare av sociala medier utan också stora företag och statliga institutioner. Utlämnade lösenord är likvärdiga med identitetsstöld, finansiella förluster och många fler långsiktiga konsekvenser.
Nu är samhället medvetet om vikten av lösenordshanterare. Ändå är det ganska svårt att hitta de viktigaste funktionerna att leta efter, och det är avgörande att veta vilka ytterligare åtgärder som förbättrar onlinesäkerheten. Verkställande direktören för lösenordshanteraren Psono, Sascha Pfeiffer, gick med på att dela med sig av sina åsikter angående cybersäkerhet med Cybernews-teamet.
Låt oss gå tillbaka till början. Hur såg utvecklingen av Psono ut?
Det var 2015 som jag bestämde mig för att programmera Psono. Ingen lösning fanns vid den tiden som tillät ett företag att vara värd för en tjänst på sina servrar för att hantera lösenord med klientsidokryptering av alla lagrade hemligheter. Jag pratade mycket med mina vänner om hur det skulle fungera eller hur min kryptografiska strategi såg ut och på vissa aspekt troligen tråkade ut dem till döds. Den första offentliga versionen släpptes 2017 och utökades sedan över tid. Först med tillägg, filer, appar för iOS och Android. Allt detta bara som ett sidoprojekt, i princip min komplettera fritid, helger och semestrar gick till produkten. År 2020 bestämde jag mig för att jag ville satsa på detta och grundade esaqa GmbH vilket var ett tufft beslut att fatta vid den tiden. COVID var på sin topp och toalettpapper var sällsynt… Men valet betalade sig och vi fick ganska många kunder även utan någon riktig marknadsföring, bara folk som tidigare använde vår community-edition köpte vår företagsprodukt. Valet av den nya tyska regeringen med åtagandet att användare har rätt till kryptering var en stor lättnad. Förut såg det ut som den tyska staten kunde kräva att mjukvaruleverantörer implementerade bakdörrar, vilket nu är absolut ur fråga.
Kan du presentera din lösenordshanterare för oss? Vilka är dess viktigaste funktioner?
Psono låter dig lagra och dela lösenord säkert med kollegor och familjemedlemmar. Det finns ett par saker som gör Psono unikt. För det första kan du vara värd för saker på dina egna servrar. Detta decentraliserade tillvägagångssätt gör det extremt motståndskraftigt mot attacker jämfört med leverantörer som är värd för saker centralt för sina kunder där en enda sårbarhet kommer att avslöja alla lösenord för alla kunder. Psonos stack är öppen källkod och som sådan kan den granskas för sårbarheter och bakdörrar. Som en tysk leverantör tillhandahåller vi användarprivatskyddade alternativ till andra lösningar. Alla lösenord och andra hemligheter krypteras innan de någonsin lämnar användarens enhet och kan endast dekrypteras av användaren. Alla inlägg kan delas med andra användare och ett omfattande behörighetskoncept med grupper möjliggör extremt flexibla konfigurationer vilket gör det till ett perfekt val för företag.
Vad var visionen bakom att göra Psono öppen källkod? Kan du berätta mer om för- och nackdelarna med säkerhetsprogramvara med öppen källkod?
Att vara öppen källkod är en del av vår säkerhetsmodell. Du bör inte lita på någon programvara som du inte kan granska. Detta är särskilt sant för en av dina mest avgörande programvaror, en lösenordshanterare. Det finns naturligtvis en inre kärlek till öppen källkod-programvara. När jag tänker tillbaka på hur jag kände när min första Ubuntu startades på min laptop blir jag ganska nostalgisk. Så vi står alla på jättarnas axlar och utan öppen källkod-programvara skulle vi alla leva i IT-stenaldern. Att vara öppen källkod har också andra fördelar eftersom det ger tillgång till vissa marknadsföringskanaler som är exklusivt tillgängliga för leverantörer med öppen källkod.
Vissa experter säger att vi just nu är på väg mot en lösenordsfri framtid. Vad är dina tankar om detta tillvägagångssätt?
Trenden upprepas vanligtvis av leverantörer av lösningar som försöker sälja sin programvara som lösningen på detta problem. Jag tror inte att lösenord försvinner under de kommande 30 åren. Problemet är att ingen ordentlig lösning har dykt upp hittills. Vanligtvis har de flera nackdelar. Arvverktyg kan vanligtvis inte kopplas. Att implementera en lösning över alla enheter, programvara och system är svårt. Offentliga alternativ som alla dessa OAuth-tjänster innebär risken att tjänsten stänger ditt konto eller nekar dig åtkomst av någon anledning vilket gör att du förlorar alla dina anslutna konton. Lösenord har många problem, men alla nuvarande kända alternativ har sina problem.
Har du märkt några nya hot som uppstått till följd av de nuvarande globala händelserna?
Jag vill vara försiktig, men jag tror uppriktigt sagt inte att det finns några nya hot som har uppstått angående de nuvarande globala händelserna. Det finns säkert mer önskan om säkerhet och skydd, men IT-säkerhetssidan kan bara dra nytta måttligt. Detta kan säkert ändras ganska snabbt om nya hack blir offentliga.
Vid ett säkerhetsbrott, vad bör vara de första stegen för ett företag för att skydda sina arbetsbelastningar samt kunduppgifter?
Det första steget skulle vara att mildra. Försök att koppla bort internet, nätverk, stänga av servrar och tjänster för att förhindra ytterligare skador. Det andra steget skulle vara att starta tjänsterna igen på ett isolerat sätt och försöka identifiera vad som hände, hur det hände, eventuellt med hjälp av några externa yrkespersoner som hjälper dig att svara på dessa frågor. Det tredje steget skulle vara att informera drabbade kunder. Förklara detaljerna och potentiella risker. När du tar upp dina tjänster igen, rotera inloggningsuppgifter och se till att angriparen inte lämnade någon bakdörr som han kunde använda för att återfå tillgång till systemen. Undersök hur du kan förhindra problem av liknande natur i framtiden och implementera dessa skydd. Vanligtvis är det där lösenordshanterare kommer in om företaget ännu inte har en.
Hur kan man få reda på om deras lösenord har komprometterats? Finns det några tidiga varningstecken som ofta kan förbises?
Det är vanligtvis ganska svårt att upptäcka komprometterade lösenord, det finns bara några vaga och uppenbara saker att se upp för. Som misstänkt aktivitet, e-postmeddelanden om ändrade lösenord eller inloggningar från okända platser, eller banköverföringar som du inte har godkänt. Psono har en fin funktion inkluderad som kontrollerar offentliga tjänster som haveibeenpwned.com för kända lösenordsbrott, så den kommer att upptäcka om ditt lösenord någonsin komprometterades. Vanligtvis är det bättre att tänka proaktivt. Vad du kan göra för att förhindra att ditt lösenord komprometteras är att använda riktigt slumpmässiga lösenord och aldrig återanvända lösenord; det är där en lösenordshanterare är ditt enda val.
Förutom stark autentisering, vilka andra säkerhetsverktyg tror du att alla bör införliva i sin livsstil?
Det finns många verktyg men eftersom de flesta attacker sker via e-post skulle jag säga att en riktig e-postleverantör är din första försvarslinje. Gmail och Outlook gör ett riktigt bra jobb med att förhindra spam, nätfiske och blockera misstänkt innehåll. Det näst viktigaste verktyget som du kan implementera är tvåfaktorsautentisering. Använd det var du än kan. Vi samarbetade med Yubico för att implementera stödet för Yubikeys i Psono (vid sidan av alternativ som Google Authenticator och andra). De andra faktorerna förhindrar de flesta av de nackdelar som lösenord kritiseras för.
Dela med oss, vad är nästa för Psono?
Jag vet inte var jag ska börja. Produktmässigt arbetar vi för närvarande på en ny version av vår webklient som var helt omskriven. Appen är en annan stor byggarbetsplats eftersom vi vill göra den till den bästa appen i sin klass för lösenord. Affärsmässigt får jag ännu inte säga något, men det finns några stora företag på väg som kommer att ge kunderna bred tillgång till lösenordshanterare.
