In diesem Interview mit Help Net Security befasst sich Kevin Muller, CEO von Passbolt , mit den wichtigsten Fragen im Zusammenhang mit der Verwendung von Passwörtern, erläutert, wie der Passwort-Manager von Passbolt Unternehmen ein Höchstmaß an Sicherheit garantiert, hebt seine Funktionen im Wettbewerbsumfeld hervor, erläutert, wie Passbolt die besonderen Anforderungen von Teams und Organisationen erfüllt und vieles mehr.
Welche Hauptprobleme sind mit der Verwendung von Passwörtern verbunden und welche Auswirkungen haben diese Probleme auf die Online-Sicherheit und das Benutzererlebnis?
Das häufigste Problem ist auch im Jahr 2023, dass die Leute immer noch schwache Passwörter wählen – sie verwenden einfache Wörter oder kompromittierte Passwörter. Benutzer verwenden konsequent dasselbe Passwort für mehrere Konten, was es Angreifern erleichtert, nach der Kompromittierung eines Systems auf andere Systeme zuzugreifen.
Manche Probleme haben nichts mit der Wahl des Passworts des Benutzers zu tun, wie z. B. Phishing-Angriffe , bei denen Benutzer dazu verleitet werden, Passwörter preiszugeben. Dies kann sich als sehr kostspielig erweisen, da es zu Identitätsdiebstahl, finanziellen Verlusten oder einem vollständigen Verlust des Zugriffs kommen kann. Passwörter werden häufig auf Servern gespeichert, und einige Dienste setzen ständig keine optimalen Sicherheitspraktiken für die Passwortspeicherung oder Kontowiederherstellungsverfahren um.
MFA- Anbieter können eine zusätzliche Sicherheitsebene bieten, einige sind jedoch anfällig für verschiedene Angriffsformen. All dies führt zu Frustration, Stress und sogar zu Situationen, in denen Benutzer die Einhaltung bewährter Sicherheitspraktiken einfach aufgeben und auf das Beste hoffen.
Diese Sicherheitsmüdigkeit wird noch verstärkt durch Richtlinien, die Benutzer zwingen, ihre Passwörter häufig zu ändern oder komplexe, schwer zu merkende Passwörter zu verwenden. Doch es ist noch nicht alles verloren; neue Initiativen wie Passkeys zielen darauf ab, diese Probleme zu lösen.
Wie gewährleistet Passbolt das höchste Sicherheitsniveau für Organisationen?
Passbolt wird unter Verwendung bewährter Sicherheitsstandards wie OpenPGP entwickelt und entspricht Sicherheitsprüfungsstandards wie SOC2 Typ II. Alle unsere Sicherheitspraktiken erfüllen oder übertreffen Industriestandards. Der Quellcode wird regelmäßig von renommierten Pentestern wie Cure53 geprüft, um potenzielle Sicherheitsrisiken zu identifizieren und zu minimieren.
Intern nehmen wir bei Passbolt die Sicherheit sehr ernst. Unser Team ist erfahren und geschult im Umgang mit sensiblen Daten, der Einhaltung strenger Sicherheitsstandards und der Abwehr potenzieller Social-Engineering-Bedrohungen. Wir haben außerdem ein Sicherheitsmodell, das sich deutlich von dem anderer Passwortmanager unterscheidet.
Inwiefern unterscheidet sich das Sicherheitsmodell von Passbolt von anderen Passwortmanagern auf dem Markt?
Passbolt erfindet das Sicherheitsmodell für Passwortmanager wirklich neu. Jeder Aspekt von Passbolt ist darauf ausgelegt, Benutzern die Kontrolle über ihre eigenen Daten zu geben und sie gleichzeitig vor einer Vielzahl potenzieller Bedrohungen zu schützen.
Passbolt erreicht dies unter anderem durch die Verwendung eines privaten Schlüsselsystems. Im Gegensatz zu herkömmlichen Passwortmanagern erfordert Passbolt einen zufällig generierten privaten Schlüssel, der wirklich unabhängig vom Passwort des Endbenutzers ist. Selbst wenn es einem Angreifer gelingt, Benutzer dazu zu bringen, ihre Passphrase preiszugeben, können sie trotzdem nicht auf ihr Konto zugreifen. Es ist für Angreifer von Haus aus unmöglich, beliebte Passphrasen aus früheren Sicherheitsverletzungen zu verwenden, um Zugriff zu erhalten, selbst wenn MFA nicht aktiviert ist.
Viele Leute fragen uns auch nach unserer obligatorischen Browsererweiterung, die ein zentraler Bestandteil unseres Sicherheitsmodells ist. Warum ist sie obligatorisch? Nun, für ein noch höheres Maß an Sicherheit kann ein Angreifer mit Zugriff auf den Server den vertraulichen Code der Anwendung nicht ändern. Durch die Trennung dieser beiden Elemente stellt Passbolt die Integrität des kryptografischen Codes sicher und schützt vor Phishing. Als zusätzlichen Bonus bietet die Erweiterung AutoFill und schnellen Zugriff auf Ihre Ressourcen!
Alle Daten werden mit dem OpenPGP-Standard verschlüsselt, einem interoperablen Format. Das bedeutet, dass es möglich ist, auf Passbolt-Daten direkt mit anderen Tools zuzugreifen und sie zu entschlüsseln, die standardmäßig auf den meisten Linux-Systemen vorhanden sind (z. B. curl und gnupg). Es bietet weitere Vorteile, beispielsweise können fortgeschrittene Benutzer aus mehreren sicheren Algorithmen wählen, um ihre Daten zu verschlüsseln. Und da Passbolt Open Source ist, ist jeder Aspekt des Sicherheitsmodells transparent und überprüfbar. Das nennen wir radikale Offenheit. Sicherheitsexperten können Passbolt auf potenzielle Risiken prüfen (und tun dies auch), was dazu beiträgt, die allgemeine Sicherheit der Plattform zu verbessern.
Und schließlich ist Passbolt so konzipiert, dass es nicht „nach Hause telefoniert“, d. h. standardmäßig keine Benutzertelemetriedaten an uns zurücksendet. Ihre Daten bleiben privat und sicher, genau wie es sein soll.
Wie geht Passbolt im Vergleich zu auf Einzelpersonen ausgerichteten Passwortmanagern auf die spezifischen Anforderungen von Teams und Organisationen ein?
Was als Gespräch über die Probleme bei der sicheren Zusammenarbeit begann, mit denen wir als digitale Agentur konfrontiert waren, entwickelte sich zu dem, was Passbolt heute ist. Bei der Entwicklung von Passbolt war es uns wichtig, dass die Funktionen speziell auf die Probleme eingehen, die Teams und Organisationen mit den meisten Passwortmanagern haben.
Ein wichtiges Merkmal der Plattform ist die Überprüfbarkeit. Mit Passbolt können Organisationen nachverfolgen, wer auf welche Ressourcen zugegriffen hat und wann der letzte Zugriff erfolgte. Diese Funktion ist wichtig für Teams, um Verantwortlichkeit und Sicherheit aufrechtzuerhalten.
Die Möglichkeit, Ressourcen innerhalb von Passbolt zu teilen, ist unglaublich detailliert. Benutzer können auf jeder einzelnen Ebene, egal wie komplex sie ist, steuern, wer Zugriff auf Ressourcen hat. Es gibt keine einheitliche Organisationsstruktur, und die Zugriffskontrollebenen sollten dies widerspiegeln.
Passbolt verfügt über eine starke Community, die Dokumentation wird ständig verbessert und unser Team ist eine hervorragende Ressource, wenn Benutzer jemals Unterstützung benötigen. Die Passwortverwaltung kann stressig sein, wenn Sie eine ganze Organisation voller Passwörter haben, aber egal wie entmutigend es auch sein mag, unser Team macht es mühelos.
Welche einzigartigen Funktionen von Passbolt machen die Plattform so vielseitig, dass sie auf einem Raspberry Pi läuft?
Ein Grund dafür, dass Passbolt so vielseitig ist, dass es auf dem Raspberry Pi läuft , sind die einzigartigen Linux-Wurzeln der Plattform. Die grundlegenden Komponenten sind super einfach zu verwenden und funktionieren nahtlos mit dem Linux-Betriebssystem, das auf allen Raspberry Pi-Geräten standardmäßig installiert ist. Passbolt wurde mit Blick auf Einfachheit entwickelt – optimiert für einen geringen Platzbedarf und minimale Systemressourcen wie CPU und Speicher. Damit ist es perfekt für den Betrieb auf Geräten mit begrenzter Verarbeitungsleistung geeignet, da es nicht alle Ressourcen beansprucht und die Dinge verlangsamt.
Passbolt ist außerdem Open Source, was es ideal für die Verwendung auf fast jedem Linux-Gerät macht. Jeder kann auf den Quellcode zugreifen, er steht den Benutzern frei zur Verfügung, um ihn zu ändern und sogar weiterzugeben, wenn sie dies wünschen. Dies ermöglicht es einer Community von Benutzern, Wissen und Fachwissen einzubringen, um Passbolt noch besser zu machen – insbesondere, wenn es um die Anpassung und Optimierung für bestimmte Hardware wie den Raspberry Pi geht rabbit r1.
Sie wurden kürzlich in die Google for Startups Growth Academy für Cybersicherheit aufgenommen. Was erwarten Sie von dieser Chance?
Wir sind wirklich dankbar für die Gelegenheit , einige erfahrene Mentoren und Berater von Google kennenzulernen. Es wird eine großartige Gelegenheit zum Netzwerken – insbesondere, da Google bereits ein führender Anbieter ist (mit Android- und Browser-Erweiterungs-APIs). Wir können es kaum erwarten, all das Wissen und die Erkenntnisse aufzusaugen, die sie auch zu anderen Themen zu bieten haben.
Und wir freuen uns nicht nur darauf, die Leute bei Google kennenzulernen. Wir freuen uns auch darauf, mit anderen Cybersicherheitsunternehmern aus ganz Europa in Kontakt zu kommen, die möglicherweise vor ähnlichen Herausforderungen und Chancen stehen. Es wird eine großartige Gelegenheit sein, voneinander zu lernen und wertvolle Kontakte zu knüpfen.
Durch die enge Zusammenarbeit mit Google und Kollegen sowie die Einbindung einer vielfältigen Community gewinnt Passbolt neue Perspektiven, die uns dabei helfen können, langfristigen Erfolg zu erzielen. Alles in allem fühlen wir uns sehr glücklich, Teil des Programms zu sein, und wir sind gespannt, wohin es uns führt.