Інтерв’ю Cybernews з Сашею Пфайффером

Виявити скомпрометовані паролі до того, як стане надто пізно, – досить складне завдання, є лише деякі невиразні й очевидні ознаки, на які слід звертати увагу.

Небезпечні, повторно використані та слабкі паролі — одна з основних кіберзагроз, які впливають не лише на користувачів соціальних мереж, але й на великі компанії та урядові установи. Викриті паролі – це синонім крадіжки особистості, фінансових втрат і багатьох інших довгострокових наслідків.

Зараз суспільство вже усвідомлює важливість менеджерів паролів. Проте досить складно визначити найважливіші функції, на які слід звертати увагу, і вкрай важливо знати, які додаткові заходи підвищують безпеку онлайн. Директор з управління менеджером паролів Psono, Саша Пфайффер, погодився поділитися своїм баченням кібербезпеки з командою Cybernews.

Повернемося до самого початку. Як відбувалася розробка Psono?

У 2015 році я вирішив запрограмувати Psono. На той час не існувало такого рішення, яке дозволяло б компанії розміщувати сервіс на власних серверах для управління паролями із шифруванням всіх збережених секретів на стороні клієнта. Я багато обговорював із друзями, як це має працювати чи як виглядає мій криптографічний підхід і, мабуть, до певної міри вони вже втомилися це слухати. Перша публічна версія вийшла у 2017 році і з часом розширювалась. Спочатку з’явились розширення, файли, додатки для iOS та Android. Все це було побічним проєктом, на який, по суті, йшла вся моя вільна година, вихідні та свята. У 2020 році я вирішив професійно розвивати цей напрямок і заснував esaqa GmbH, що на той момент було нелегким рішенням. COVID тоді був у піку, а туалетний папір — в дефіциті… Але вибір себе виправдав, і ми отримали чимало клієнтів навіть без реального маркетингу, просто користувачі нашої спільнотної версії переходили на корпоративний продукт. Вибори нового уряду в Німеччині з гарантією права користувачів на шифрування стали величезною полегшенням. До цього було занепокоєння, що уряд може вимагати вендорів впроваджувати бекдори, але тепер це повністю скасовано.

Чи можете познайомити нас із вашим менеджером паролів? Які його ключові функції?

Psono дозволяє безпечно зберігати та ділитися паролями з колегами та членами родини. Є кілька моментів, що виокремлюють Psono серед інших. По-перше, ви можете розміщувати все на власних серверах. Такий децентралізований підхід робить систему надзвичайно стійкою до атак у порівнянні з вендорами, які зберігають дані централізовано для своїх клієнтів, де одна вразливість може викрити всі паролі всіх користувачів. Технологічна база Psono — з відкритим вихідним кодом і тому може бути перевірена на наявність вразливостей і бекдорів. Як німецький виробник, ми пропонуємо варіанти приватності для користувачів, які не поступаються іншим рішенням. Усі паролі та інші секрети шифруються ще до того, як покинуть пристрій користувача, і розшифрувати їх може лише сам користувач. Всі записи можна ділити з іншими, а розвинена система дозволів з групами надає гнучку конфігурацію, що робить продукт ідеальним вибором для компаній.

Якою була ваша ідея зробити Psono відкритим програмним забезпеченням? Можете розповісти більше про безпекові аспекти open source продуктів?

Відкритий код — частина нашої безпекової моделі. Не слід довіряти жодному програмному забезпеченню, яке ви не можете перевірити. Особливо це стосується одного з ваших найважливіших інструментів — менеджера паролів. Також, зрозуміло, це внутрішня любов до відкритого програмного забезпечення. Коли я згадую свої емоції під час першого запуску Ubuntu на моєму ноутбуці, відчуваю справжню ностальгію. Ми всі стоїмо на плечах гігантів, і без open-source ми були б у ІТ-камені столітті. Відкритий код має і додаткові переваги — він дає доступ до маркетингових каналів, які доступні лише open-source вендорам.

Деякі експерти кажуть, що ми рухаємося до епохи без паролів. Що ви думаєте про цей підхід?

Цю тенденцію зазвичай просувають вендори рішень, які намагаються продати своє програмне забезпечення як універсальну відповідь на цю проблему. Я вважаю, що паролі не зникнуть протягом наступних 30 років. Проблема в тому, що адекватного рішення ще не з’явилось. Зазвичай альтернативи мають свої недоліки. Старі інструменти не завжди інтегруються. Впровадження рішення на всіх пристроях, у всьому програмному забезпеченні та системах — дуже складне завдання. Громадські варіанти, як-от OAuth-сервіси, несуть ризик того, що вам можуть закрити акаунт чи відмовити у доступі, внаслідок чого ви втратите всі пов’язані ресурси. Так, у паролів є проблеми, але всі наразі відомі альтернативи — теж недосконалі.

Чи з’явилися якісь нові загрози внаслідок поточних глобальних подій?

Хочу бути обережним з висновками, але чесно — не думаю, що виникли нові загрози саме через глобальні події. Звісно, попит на безпеку і захист зростає, але на ІТ-безпеку це суттєво не вплинуло. Втім, все може швидко змінитися, якщо публічно стане відомо про якісь значні злами.

У випадку витоку даних, якими мають бути перші кроки компанії для захисту своєї інфраструктури та даних клієнтів?

Перше — це мінімізація шкоди. Намагайтесь відключити інтернет, мережу, вимкнути сервери та сервіси, щоб не допустити подальшого розповсюдження проблеми. Друге — запускати сервіси у ізольованому режимі та намагатися встановити, що трапилось, як це сталося, по можливості із залученням зовнішніх професіоналів, які допоможуть відповісти на ці питання. Третє — інформувати постраждалих клієнтів. Поясніть деталі та потенційні ризики. Під час повторного запуску сервісів змініть облікові дані та переконайтеся, що зловмисник не залишив жодних бекдорів, через які він міг повернутись до вашої системи. Проаналізуйте, як уникнути схожих проблем у майбутньому, і впровадьте необхідні засоби захисту. Саме тут часто виручають менеджери паролів, якщо компанія їх ще не має.

Як можна дізнатися, що ваш пароль скомпрометовано? Чи є ранні ознаки, які легко проігнорувати?

Зазвичай дуже складно визначити, що пароль скомпрометовано. Є лише кілька невиразних та очевидних ознак, на які слід звертати увагу. Наприклад, підозріла активність, повідомлення на пошту про зміну пароля чи вхід із невідомих локацій, або банківські перекази, які ви не здійснювали. У Psono є корисна функція, яка перевіряє публічні сервіси на зразок haveibeenpwned.com на відомі витоки паролів. Тобто він визначає, чи був ваш пароль скомпрометований. Зазвичай краще діяти на випередження: використовуйте справді випадкові паролі й ніколи не використовуйте їх повторно — тут менеджер паролів стає єдиним рішенням.

Окрім сильної аутентифікації, які ще інструменти безпеки ви радите всім впровадити у своє повсякденне життя?

Засобів багато, але, оскільки більшість атак проходить через пошту, я вважаю головною лінією захисту якісного поштового провайдера. Gmail та Outlook дуже ефективно блокують спам, фішинг та підозрілий контент. Другий найважливіший інструмент — двофакторна аутентифікація. Використовуйте її скрізь, де можливо. Ми співпрацюємо з Yubico, щоб впровадити підтримку Yubikey у Psono (разом з іншими варіантами, наприклад, Google Authenticator). Друга аутентифікація захищає від більшості недоліків, притаманних паролям.

Що далі для Psono?

Навіть не знаю, з чого почати. Щодо продукту — зараз ми працюємо над новою версією нашого веб-клієнта, яка була повністю переписана. Додаток також у стадії значного оновлення, ми прагнемо зробити його найкращим у класі для паролів. Щодо бізнесу — поки що не можу розкрити деталей, але на горизонті є великі компанії, що дадуть користувачам широкий доступ до менеджерів паролів.