Cybernews 对话 Sascha Pfeiffer

在发现密码被泄露之前通常为时已晚，而要提前发现泄露迹象是一项艰巨的任务，只有一些模糊且显而易见的迹象可以参考。

没有安全保障、重复使用和弱密码是主要的网络安全威胁之一，不仅影响社交媒体用户，还影响大型公司和政府机构。暴露的密码等同于身份盗窃、财务损失和许多其他长期后果。

现在，社会已经意识到密码管理器的重要性。然而，找到最重要的功能还是相当困难的，了解哪些额外措施可以提高在线安全性也至关重要。Psono 密码管理器的总经理 Sascha Pfeiffer 同意与 Cybernews 团队分享他对网络安全的看法。

让我们回到最初。Psono 的开发过程是怎样的？

2015 年我决定编写 Psono。当时没有任何解决方案能让公司在其服务器上托管服务，以客户端加密所有存储的密码。我与朋友们讨论了很多关于它应该如何工作或者我的加密方法，可能在某些方面让他们烦不胜烦。 第一个公开版本在 2017 年发布，随后逐步扩展，首先是扩展、文件、iOS 和 Android 应用程序。这些基本上都是我的空余时间、周末和假期投入的副项目。2020 年，我决定全力投入这一项目，并成立了 esaqa GmbH，这在当时是一个艰难的选择。那时 COVID 正处于高峰期，卫生纸很稀缺……但这个选择是明智的，我们在没有任何实际营销的情况下赢得了相当多的客户，仅仅是那些以前使用我们社区版的人购买了我们的企业产品。新一届德国政府承诺用户有权进行加密，这让我们大大松了一口气。在此之前，看起来德国政府可能会要求软件供应商实施后门，但现在这一担忧完全不存在了。

能介绍一下你的密码管理器吗？它的主要功能是什么？

Psono 允许您与同事和家人安全存储和共享密码。有几个特点使 Psono 脱颖而出。首先，您可以在自己的服务器上托管服务。这种分散的方法使其在对比那些为客户集中托管服务的供应商时极具弹性，一旦存在安全漏洞，便会暴露所有客户的所有密码。Psono 的技术栈是开源的，因此可以进行漏洞和后门的审计。作为一家德国供应商，我们提供的用户隐私承诺替代方案相比其他解决方案更加可靠。所有密码和其他秘密在离开用户设备前都进行了加密，只有用户才能解密。所有条目都可以与其他用户共享，并且有一个庞大的权限概念和群组使其可以进行极其灵活的配置，非常适合公司使用。

让 Psono 开源的背后理念是什么？可以告诉我们更多关于开源安全软件的信息吗？

开源是我们安全模型的一部分。您不应该信任任何不能进行审计的软件，特别是对于您最关键的软件之一——密码管理器。当然，这也是对开源软件的一种真爱。当我想起第一次在我的笔记本电脑上启动 Ubuntu 时，我非常怀旧。所以，我们都站在巨人的肩膀上，没有开源软件，我们都将生活在 IT 的石器时代。开源还有其他优势，因为它提供了一些专门给开源供应商使用的营销渠道。

有些专家说，我们正朝着无密码的未来前进。你对这种方式怎么看？

通常，这种趋势是由那些试图通过销售他们的软件来解决这个问题的供应商们反复强调的。我相信在未来 30 年内，密码不会消失。问题在于至今没有出现适当的解决方案。通常这些解决方案都有多个缺点。遗留工具通常无法与之连接。在所有设备、软件和系统上实施一个解决方案非常困难。类似 OAuth 服务的公共选项存在服务关闭您的账户或以某种原因拒绝您访问的风险，导致您失去所有连接的账户。密码有很多问题，但所有目前已知的替代方案也都有问题。

你有没有注意到由于当前全球事件而出现的任何新威胁？

我想小心点，但老实说，我不认为当前全球事件引发了任何新威胁。安全和保护的需求显然在增加，但 IT 安全方面只能适度受益。如果新的黑客攻击曝光，这种情况肯定会急剧改变。

在发生安全漏洞的情况下，公司应采取哪些首要措施来保护其工作负载和客户数据？

第一步是缓解。尝试断开互联网、网络、电源，关闭服务器和服务以防止进一步的损害。 第二步是以隔离的方式重新启动服务，并尝试找出发生了什么、如何发生的，可能需要一些外部专业人士的帮助来回答这些问题。 第三步是通知受影响的客户。解释详细情况和潜在的风险。 当您重新启动服务时，轮换凭证并确保攻击者未留下可以重新获得系统访问权的后门。 调查如何防止未来类似问题并实施这些防护措施。通常，如果公司尚未使用密码管理器，这是实现这些措施的起点。

如何发现密码是否被泄露？是否有一些容易被忽视的早期警告信号？

通常发现密码被泄露是相当困难的，只有一些模糊且显而易见的迹象可以参考。例如可疑活动、更改密码或来自未知位置的登录的邮件通知、或未经授权的银行转账。Psono 有一个很好的功能，可以检查像 haveibeenpwned.com 这样的公共服务是否有已知的密码泄露，从而检测您的密码是否曾被泄露。通常，预防性考虑更好。您可以采取的措施是使用真正随机的密码并且永不重复使用密码，这时密码管理器是您唯一的选择。

除了强身份认证外，你认为每个人还应该在生活中加入哪些安全工具？

有很多工具，但大多数攻击都是通过邮件进行的，所以我建议使用可靠的邮件服务提供商作为您的第一道防线。Gmail 和 Outlook 在防止垃圾邮件、钓鱼邮件和拦截可疑内容方面做得非常好。您可以实施的第二重要工具是双因素身份认证。尽可能多地使用它。我们与 Yubico 合作，为 Psono 实现对 Yubikeys 的支持（以及 Google Authenticator 等替代方案）。双因素身份认证可以防止大多数密码被批评的缺点。

可以分享一下 Psono 的未来计划吗？

我不知道从哪里开始说起。在产品方面，我们目前正在开发全新版的 Web 客户端，完全重写了代码。App 是另一个主要的施工项目，因为我们希望将其打造为最佳的密码管理应用。从商业方面来说，我暂时不能透露太多，但有一些大公司正在合作中，将为客户提供广泛的密码管理器访问权限。