Bu Help Net Security röportajında, Passbolt CEO’su Kevin Muller, şifre kullanımıyla bağlantılı kritik endişeleri araştırıyor, Passbolt şifre yöneticisinin işletmeler için en üst düzeyde güvenliği nasıl garanti ettiğini özetliyor, rekabet ortamındaki özelliklerini vurguluyor, Passbolt’un ekiplerin ve kuruluşların farklı gereksinimlerini nasıl karşıladığını ve daha fazlasını öğrenin.
Parola kullanımıyla ilgili ana sorunlar nelerdir ve bu sorunlar çevrimiçi güvenliği ve kullanıcı deneyimini nasıl etkiler?
2023’te bile en yaygın sorun, insanların hala basit sözcükler veya güvenliği ihlal edilmiş parolalar kullanarak zayıf parolalar seçmesidir. Kullanıcılar, birden çok hesap için tutarlı bir şekilde aynı parolayı kullanır, bu da saldırganların biri ele geçirildikten sonra diğer sistemlere erişmesini kolaylaştırır.
Kullanıcıların yanıltılarak parolalarını ifşa etmeye yönlendirildiği kimlik avı saldırıları gibi bazı sorunların kullanıcının parola seçimiyle hiçbir ilgisi yoktur. Bu, kimlik hırsızlığı, mali kayıp veya erişimin tamamen kaybedilmesi şeklinde çok maliyetli olabilir. Parolalar sıklıkla sunucularda depolanır ve bazı hizmetler, parola saklama veya hesap kurtarma prosedürleri için en iyi güvenlik uygulamalarını uygulamada sürekli olarak başarısız olur.
MFA sağlayıcıları ekstra bir güvenlik katmanı sağlayabilir, ancak bazıları çeşitli saldırı biçimlerine karşı savunmasızdır. Tüm bunlar hayal kırıklığına, strese ve hatta kullanıcıların en iyi güvenlik uygulamalarını takip etmekten vazgeçip en iyisini umduğu durumlara yol açar.
Bu güvenlik yorgunluğu, kullanıcıları sık sık parola değiştirmeye veya karmaşık, hatırlaması zor parolalar kullanmaya zorlayan politikalarla daha da şiddetlenir. Yine de her şey kaybolmadı; Geçiş anahtarları gibi yeni girişimler bu sorunları ele almayı amaçlamaktadır.
Passbolt, kuruluşlar için en yüksek düzeyde güvenliği nasıl sağlar?
Passbolt, OpenPGP gibi kanıtlanmış güvenlik standartları kullanılarak geliştirilmiştir ve SOC2 Type II gibi güvenlik denetim standartlarına uygundur. Tüm güvenlik uygulamalarımız endüstri standartlarını karşılar veya aşar. Kaynak kodu, potansiyel güvenlik risklerini belirlemek ve azaltmak için Cure53 gibi saygın pentester’lar tarafından düzenli olarak denetlenir.
Dahili olarak Passbolt’ta güvenliği çok ciddiye alıyoruz. Ekibimiz, hassas verileri işleme, katı güvenlik standartlarına bağlı kalma ve olası sosyal mühendislik tehditlerini önleme konusunda deneyimli ve eğitimlidir. Ayrıca diğer şifre yöneticilerinden oldukça farklı bir güvenlik modelimiz var.
Passbolt’un güvenlik modeli, onu piyasadaki diğer parola yöneticilerinden hangi yönlerden ayırıyor?
Passbolt, parola yöneticisi güvenlik modelini gerçekten yeniden keşfediyor. Passbolt’un her yönü, kullanıcıları çok çeşitli potansiyel tehditlerden korurken kendi verilerinin denetimini vermek için tasarlanmıştır.
Passbolt’un bunu başarmasının en dikkate değer yollarından biri, özel bir anahtar sistemi kullanmaktır. Geleneksel parola yöneticilerinin aksine Passbolt, son kullanıcı parolasından tamamen bağımsız, rastgele oluşturulmuş bir özel anahtar gerektirir. Bir saldırgan, kullanıcıları parolalarını vermeleri için kandırmayı başarsa bile, yine de hesaplarına erişemezler. Tasarım gereği, MFA etkinleştirilmemiş olsa bile saldırganların erişim elde etmek için önceki ihlallerdeki popüler parolaları kullanması imkansızdır.
Benzer şekilde, pek çok kişi bize güvenlik modelimizin merkezi bir parçası olan zorunlu tarayıcı uzantımızı soruyor. Neden zorunludur? Daha da yüksek bir güvenlik düzeyi için, sunucuya erişimi olan bir saldırgan uygulamanın hassas kodunu değiştiremez. Passbolt bunları ayırarak kriptografik kod bütünlüğünü sağlar ve kimlik avına karşı korur. Ek bir avantaj olarak, uzantı otomatik doldurma ve kaynaklarınıza hızlı erişim sunar!
Tüm veriler, birlikte çalışabilir bir biçim olan OpenPGP standardı kullanılarak şifrelenir. Bu, çoğu Linux sisteminde varsayılan olarak bulunan diğer araçlarla (örneğin curl ve gnupg) Passbolt verilerine doğrudan erişmenin ve şifrelerini çözmenin mümkün olduğu anlamına gelir. Başka avantajlar da sunar; örneğin ileri düzey kullanıcılar, verilerini şifrelemek için çeşitli güvenli algoritmalar arasından seçim yapabilir. Ve Passbolt açık kaynak olduğu için güvenlik modelinin her yönü şeffaf ve denetlenebilir. Buna radikal açıklık diyoruz. Güvenlik uzmanları, platformun genel güvenliğini artırmaya yardımcı olarak Passbolt’u herhangi bir potansiyel risk için denetleyebilir (ve denetler).
Son olarak, Passbolt “eve telefon etmeyecek”, örneğin varsayılan olarak herhangi bir kullanıcı telemetri bilgisini bize geri iletmeyecek şekilde tasarlanmıştır. Bilgileriniz ait olduğu gibi gizli ve güvende kalır.
Kişilere odaklanan parola yöneticileriyle karşılaştırıldığında Passbolt, ekiplerin ve kuruluşların özel ihtiyaçlarını nasıl karşılar?
Dijital bir ajans olarak karşılaştığımız güvenli işbirliği sorunları hakkında bir konuşma olarak başlayan şey, bugün Passbolt’a dönüştü. Passbolt’un geliştirilmesinde, özelliklerin özellikle ekiplerin ve kuruluşların çoğu parola yöneticisiyle yaşadığı sorunları ele alması bizim için önemliydi.
Platformdaki önemli bir özellik denetlenebilirliktir. Passbolt ile kuruluşlar, kimlerin hangi kaynaklara eriştiğini ve bunlara en son ne zaman erişildiğini takip edebilir. Bu özellik, ekiplerin hesap verebilirliği ve güvenliği sürdürmesi için önemlidir.
Passbolt içinde kaynakları paylaşma yeteneği inanılmaz derecede ayrıntılıdır. Kullanıcılar, ne kadar karmaşık olursa olsun, her düzeyde kaynaklara kimlerin erişebileceğini kontrol edebilir. “Herkese uyan tek bir” organizasyon yapısı yoktur ve erişim kontrol seviyeleri bunu yansıtmalıdır.
Passbolt’un sağlam bir topluluğu, belgeleri sürekli olarak geliştirmesi ve ekibimiz, kullanıcıların desteğe ihtiyaç duyması durumunda mükemmel bir kaynaktır. Parola yönetimi, kuruluşunuzun tamamı parolalarla dolu olduğunda stresli gelebilir, ancak ne kadar göz korkutucu olursa olsun, ekibimiz bunu zahmetsiz hale getiriyor.
Platformun bir Raspberry Pi üzerinde çalışacak kadar çok yönlü olmasını sağlayan Passbolt’un benzersiz özelliklerinden bazıları nelerdir?
Passbolt’u Raspberry Pi üzerinde çalışacak kadar çok yönlü yapan şeylerden biri, platformun benzersiz Linux kökleridir. Temel bileşenlerin kullanımı son derece kolaydır ve tüm Raspberry Pi cihazlarında standart olan Linux işletim sistemi ile sorunsuz bir şekilde çalışır. Passbolt, basitlik göz önünde bulundurularak tasarlanmıştır – az yer kaplayacak şekilde optimize edilmiştir ve CPU ve bellek gibi minimum sistem kaynakları kullanır. Tüm kaynakları tüketmeyeceğinden ve işleri yavaşlatmayacağından, sınırlı işlem gücüne sahip cihazlarda çalışmak için mükemmeldir.
Passbolt ayrıca açık kaynaklıdır ve bu da onu çoğunlukla herhangi bir Linux cihazında kullanım için ideal kılar. Herkes kaynak koduna erişebilir, kullanıcıların değiştirmesi ve hatta isterlerse yeniden dağıtması için ücretsiz olarak kullanılabilir. Bu, özellikle Raspberry Pi gibi belirli donanımlar için özelleştirme ve optimizasyon söz konusu olduğunda, Passbolt’u daha da iyi hale getirmek için bilgi ve uzmanlıkla katkıda bulunma konusunda bir kullanıcı topluluğuna güç verir.
Kısa bir süre önce Google for Startups Growth Academy for Cybersecurity’ye kabul edildiniz. Bu fırsattan ne bekliyorsunuz?
Google’dan bazı deneyimli akıl hocaları ve danışmanlarla tanışma fırsatı bulduğumuz için gerçekten minnettarız. Ağ oluşturmak için büyük bir şans olacak – özellikle de Google zaten bir geçiş anahtarı lideri olduğundan (android ve tarayıcı uzantısı API’leri ile). Diğer konularda da sundukları tüm bilgi ve içgörüleri özümsemek için sabırsızlanıyoruz.
Ve biz sadece Google’daki insanlarla tanışmaktan heyecan duymuyoruz. Ayrıca, benzer zorluklar ve fırsatlarla karşılaşabilecek Avrupa’daki diğer siber güvenlik girişimcileriyle bağlantı kurmaktan da heyecan duyuyoruz. Birbirinizden bir şeyler öğrenmek ve bazı değerli bağlantılar kurmak için harika bir fırsat olacak.
Google ve benzerleriyle yakın işbirliği içinde çalışmak, çeşitliliğe sahip bir toplulukla etkileşim kurmak, Passbolt’un uzun vadeli başarıya ulaşmamıza yardımcı olabilecek yeni bakış açıları kazanmasına yardımcı olacaktır. Sonuç olarak, programın bir parçası olduğumuz için kendimizi çok şanslı hissediyoruz ve programın bizi nereye götüreceğini görmek için heyecanlıyız.