Cybernews 對 Sascha Pfeiffer 的採訪

發現密碼被洩露往往為時已晚，這是一個相當困難的任務，我們只有一些模糊而明顯的跡象來加以注意。

不安全、重複使用及弱密碼是影響到不僅是社交媒體用戶，還有大型公司及政府機構的主要網絡安全威脅之一。被洩露的密碼等同於身份盜用、財務損失以及更多的長期後果。

如今，社會已經意識到密碼管理器的重要性。然而，找到最重要的功能是相當困難的，同時知道哪些額外的措施可以改善在線安全性也是至關重要的。Psono 密碼管理器的常務董事 Sascha Pfeiffer 同意與 Cybernews 團隊分享他對網絡安全的看法。

讓我們回到最開始。Psono 的開發過程是怎樣的？

我是在 2015 年決定編程 Psono 的。當時不存在允許公司在其服務器上託管服務以使用客戶端加密管理所有存儲的機密的解決方案。我和我的朋友們談了很多關於它應該如何運作或者我的密碼學方法是什麼樣子，在某些方面可能都讓他們覺得無聊透頂。第一個公開版本是在 2017 年發布的，然後隨著時間的推移進行了擴展。首先是擴展、文件、iOS 和 Android 應用程序。這一切都只是作為一個副業，基本上我所有的空閒時間，週末和假期都投入到了這個產品中。2020 年，我決定要追求這一目標並成立了 esaqa GmbH，這在當時是一個艱難的決定。COVID 處於高峰期，廁紙供應短缺……但這個選擇得到了回報，即便在沒有真正營銷的情況下，我們還是獲得了不少客戶，因為此前使用社群版的人開始購買我們的企業產品。新一屆德國政府承諾用戶擁有加密的權利，這讓我們倍感安心。在此之前，德國政府可能會要求軟件供應商實施後門程序，而現在這已完全不在考慮之列。

能向我們介紹一下您的密碼管理器嗎？它有哪些關鍵功能？

Psono 允許您安全地與同事及家人共享和管理密碼。有幾個特點使得 Psono 難以忽視。首先，您可以在自己的服務器上託管服務。這種去中心化的方式使其比那些為客戶提供集中託管的供應商更為能抵抗攻擊，因為一個漏洞即可暴露所有客戶的密碼。Psono 的技術堆栈是開源的，因此可以進行漏洞和後門代碼審核。作為一家德國供應商，我們提供用戶隱私承諾的其他解決方案替代品。所有密碼及其他機密在從用戶設備發出之前即已加密，並且只能由用戶自己解密。所有條目均可與其他用戶共享，並設有廣泛的權限概念及組，這讓它成為公司首選的靈活配置解決方案。

製作 Psono 開源的背後理念是什麼？能否為我們詳細介紹一下開源安全軟件的內外部情況？

開源是我們安全模型的一部分。您不應該信任任何您無法審核的軟件。這一對於如密碼管理器這樣的關鍵軟件尤其適用。當然還有對開源軟件的內在熱愛。當我回想起我的第一個 Ubuntu 在我的筆記本電腦上啟動時的感受，我充滿了懷舊感。因此，我們都站在巨人的肩膀上，沒有開源軟件，我們現在可能都還停留在 IT 石器時代。開源還有其他優勢，因為它提供了某些專屬於開源供應商的營銷渠道。

一些專家認為，我們正朝著無密碼的未來發展。您對這一觀點有何看法？

通常，宣稱朝向無密碼未來的趨勢經常被那些試圖出售他們解決方案作為這一問題解決方法的供應商所重複。我認為密碼在未來 30 年內不會消失。問題在於至今沒有有效的解決方案出現。通常它們存在多個缺點。傳統工具通常無法接入。在所有設備、軟件及系統中實施一個解決方案是困難的。像這些所有 OAuth 服務之類的公共選項有可能存在服務關閉您的帳戶或因某些原因拒絕您訪問的風險，導致您失去所有已連接的帳戶。密碼有很多問題，但目前所知的替代方案也都有它們自己的問題。

您有沒注意到因為當前全球事件而產生的新的威脅？

我想謹慎表達，但坦率地說，我不認為因當前全球事件而出現了新的威脅。可以肯定的是對安全和保護的需求增加了，但 IT 安全方面僅能從中受益有限。這種情況很可能會快速改變，如果新的攻擊公之於眾。

在安全漏洞事件中，公司保護其工作負載和客戶數據的第一步該是什麼？

第一步應是緩解。嘗試斷開網絡、關閉服務器和服務的電源，以防止任何進一步的損壞。第二步應是以隔離方式重新啟動服務，並嘗試確定問題發生的原因和過程，可能需要從專業人士處獲得一些外部幫助以協助您回答這些問題。第三步應是通知受影響的客戶，解釋細節及潛在風險。當您重新啟動服務時，要換掉憑據並確保攻擊者沒有留下任何他們可以用以重新獲取訪問權限的後門程序。調查如何預防未來類似性質的問題，並實施那些防護措施。通常，如果公司還沒有密碼管理器，這就是密碼管理器開始用上的地方。

如何能夠查出自己的密碼是否已經被洩露？是否有任何容易被忽視的早期警示信號？

通常來說，發現受損密碼是相當困難的，只有一些模糊而明顯的跡象可以注意，比如可疑的活動、已更改密碼或來自未知位置的登錄的電子郵件通知，或是未授權的銀行轉賬。Psono 包含一個很好的功能，它會檢查如 haveibeenpwned.com 之類的公共服務中已知的密碼洩露情況，因此，如果您的密碼已經被洩露，它會檢測到。通常，預防勝於治療。您可以採取的行動是使用真正隨機的密碼並且從不重複使用密碼；在這一點上，密碼管理器是您的唯一選擇。

除了強身份驗證，您認為每個人都應把哪些其他安全工具納入到生活中？

有很多工具可用，但由於大多數攻擊是通過電子郵件進行的，我想說一個合適的電子郵件服務提供商是您的第一道防線。Gmail 和 Outlook 在防止垃圾郵件、釣魚攻擊和阻止可疑內容方面做得非常出色。您可以實施的第二重要工具是雙因素認證。無論何時有可能，都應使用它。我們與 Yubico 合作，在 Psono 中實現了對 Yubikey 的支持（以及其他選擇如 Google Authenticator 等）。雙因素認證可以預防大多數對密碼所提出的批評。

與我們分享一下，Psono 的下一步計劃是什麼？

我不知道該從何說起。就產品而言，我們目前正在開發完全重寫版本的網絡客戶端。App 是另一個主要的建設項目，我們希望它成為密碼領域最佳的應用。業務方面，我目前還無法透露太多，不過將有一些大企業計劃為客戶提供廣泛的密碼管理器訪問權限。