„PassCamp“ – Kuriamas Saugesnis Pasaulis

www.passcamp.com

PassCamp yra slaptažodžių valdymo įrankis (angl. Password manager), kuris išsiskiria kaip itin gerai pritaikytas komandiniam darbui, patogiu ir saugiu informacijos dalijimusi, išlaikant visokeriopą vartotojų saugumą ir privatumą. Šio projekto pagrindinė užduotis buvo išauginti PassCamp prekinį ženklą remiantis sukurta verslo bei techninio išpildymo strategija, pristatant rinkai skaitmeninę platformą, užtikrinančią nepriekaištingą vartotojų patirtį.

Problema

Dirbdami  Adeo Web mes nuolat sukamės skaitmeniniame interneto pasaulyje. Kaip kompanija, besispecializuojanti e-komercijos srityje, mes kas dieną atsakome už didelius kiekius jautrių, pažeidžiamų vidinių ir išorinių duomenų valdymą. Bėgant laikui supratome, kad mums, kaip ir bet kuriai kitai atsakingai kompanijai, reikalingas slaptažodžių valdymo įrankis. Esami šio tipo įrankiai tuometinėje rinkoje žadėjo užtikrinti saugumą ir patogų naudojimąsi; na, daugiau teoriškai, nei faktiškai.

Tuo metu rinkoje esantys slaptažodžių valdymo įrankiai turėjo kertinių trūkumų – vieni jų buvo neadekvačiai brangūs, kiti – sudėtingi, pasižymintys nepatogia vartotojo sąsaja, treti – neturėjo mums būtinų funkcijų. Pastarasis trūkumas ir buvo esminė rinkoje esančių įrankių atsisakymo priežastis – juose nebuvo nei kelių pakopų dalijimosi (angl. Multi-tier sharing) galimybės, nei buvo užtikrintas vartotojų informacijos saugumas (kaip antai slaptažodžių kopijavimas, katalogavimas bei galimybės stebėti slaptažodžių pakeitimus nebuvimas). Todėl mums kilo iššaukianti idėja – jeigu rinkoje negalime rasti įrankio, kuris atitiktų šiandieninės su klientais dirbančios komandos  poreikius, kodėl gi to nesukūrus mums patiems?

Tai, ką mes iš pradžių laikėme smulkiu vieno mėnesio trukmės vidiniu projektu, eigoje susilaukė didžiulio išorinio bei vidinio susidomėjimo, pradėjo plėstis ir augti. Maždaug metus laiko mūsų komanda augino šį įrankį iki kol pajutome, kad laikas jį pristatyti pasauliui, kaip naująją Adeo Web veiklos sritį. PassCamp išvydo dienos šviesą.

Procesas ir įžvalgos

Pradėjome nuo svarbiausio – siekdami pažinti šią rinką, atlikome išsamų konkurentų ir vartotojų tyrimą. Tyrimo metu pamatėme svarbiausias tendencijas – dauguma konkurentų koncentravosi į asmeninę įrankio versiją arba komandos kaip vieneto saugumą  – abiem atvejais atskleisdami per daug jautrios informacijos visiems (net ir nesusijusiems) vartotojams. Supratome, kad tokia strategija yra žalinga, žvelgiant tiek iš saugumo perspektyvos (tyrimas parodė, kad kiekvienas komandos narys gali daryti ženklią įtaką bendram komandos saugumo pažeidžiamumui), tiek iš darbo efektyvumo (kiekvienas vartotojas gauna didelius kiekius jam asmeniškai neaktualios informacijos, kuri blaško ir atitraukia dėmesį nuo darbo).

Vartotojų tyrimo rezultatai parodė, kad mūsų tikslinė auditorija ypatingai vertina paprastumą ir naudojimo patogumą, kartais netgi aukojant aukščiausio lygio saugumą. Tuo pačiu, jie itin jautriai reaguoja į bet kokias technines klaidas, todėl yra linkę rinktis įrankius, kurie suteikia stabilumo ir kontrolės pojūtį. Šis tikslas galėjo būti pasiektas tik nuolat ir pastoviai analizuojant vartotojus bei nuodugniai supratus jų lūkesčius.

Kurdami kiekvieną funkcionalumą, nuolat savęs klausdavome – “Ar tikrai ji reikalinga? Jei taip, kodėl?”

Kurdami PassCamp įrankį, orientavomės į esmines, svarbiausias, tokio tipo įrankiui reikalingas savybes:

  • Namai (angl. Home) – lengva, patogi prieiga prie visos saugomos informacijos (slaptažodžių, pastabų  ir t.t.)
  • Objekto peržiūra – detali kiekvieno saugomo objekto informacija
  • Kontaktai – kiti PassCamp vartotojai, su kuriais galima dalintis informacija
  • Dalijimasis – kelių pakopų dalijimasis su kontaktiniais žmonėmis, nuolat išsaugant objekto šeimininką kaip svarbiausią asmenį dalijimosi hierarchijoje
  • Administratoriaus valdymo konsolė – komandinės paskyros valdymo lenta

Šios patirtys leido mums išvystyti kertinę informacijos architektūrą, užtikrinant, kad svarbiausios slaptažodžių valdymo įrankio savybės visada būtų išskirtos bei matomos.

Sprendimas

PassCamp – tai produktas, vystomas vartotojų jautrios informacijos saugumui užtikrinti. Žinoma, tai nereiškia, kad dėl to turi nukentėti vartotojo sąsajos patogumas – jokiu būdu. Visgi, prieš pridėdami bet kokią funkciją į slaptažodžių valdymo įrankį, ją pirmiausia patvirtiname išsamiais saugumo testais. Dedame daug pastangų, siekdami palaikyti saugios techninės pusės ir patogaus dizaino balansą, kad mūsų vartotojus pasiektų tik aukščiausios kokybės galutinis produktas.

Nesuskaičiuojamų komandos dirbtuvių metu išsigryninome paprastą, tačiau išmanų sprendimą. Pirmenybę nuolat teikdami individualiam galutiniam vartotojui bei suteikdami jam geriausią įmanomą vartotojo patirtį, supratome, kad taip pat galime sustiprinti ir komandose dirbančių vartotojų saugumą. Taip ir padarėme. Sustiprinome silpnąsias ir pažeidžiamiausias bet kokios internetinės komandos dalis – jos komandos narius.

Iš to kilo kita svarbi funkcionalumo idėja, kuri suteiktų vartotojams tai, ko kiti slaptažodžių valdymo įrankiai nesiūlo – daugiapakopį dalijimąsi (angl. Multi-tier sharing). Ši funkcija suteikia vartotojams visišką jų duomenų kontrolę, net ir dalinantis jais su dideliu skaičiumi komandos narių. Šis funkcionalumas suteikia stiprų saugumą ir patogumą kiekvienam PassCamp bendruomenės nariui.

Kaip duomenų šifravimo (angl. encryption) metodą, pasirinkome Nulinio žinojimo (Zero-knowledge) įrodymo metodo (angl. Zero-knowledge proof) įgalintą galutinį šifravimą (angl. End-to-end encryption). Zero-knowledge įrodymo metodas, pasižymintis aukščiausios saugos technologijomis, apsaugo vartotojų slaptažodžius taip, kad jų nematytų joks pašalinis asmuo – net ir mes, PassCamp kūrėjai. Mes nelaikome jokios informacijos savo duomenų bazėje, todėl net ir saugumo pažeidimo metu, įsilaužėlis negalėtų prieiti prie vartotojo informacijos ar jos pavogti. Vienintelis asmuo, galintis pasiekti bei pamatyti slaptažodį, yra jo šeimininkas.

Nuolatinių testavimų metu išryškėjo vartotojų įpročiai, kurie nulemia didžiąją dalį saugumo įsilaužimų priežasčių. Supratę tokius vartotojų elgesio modelius, į PassCamp pridėjome tokias funkcijas kaip asmeninį slaptažodžių generatorių (angl. Password generator), centralizuotos blokų grandinės (angl. centralized blockchain) principu veikiantį istorijos registrą (angl. History Log) bei dviejų veiksnių autentifikavimo (angl. Two-factor authentication) funkcionalumą . Tokiu būdu, vartotojui naudojantis visomis PassCamp funkcijomis, jam suteikiami visi reikalingi įrankiai sėkmingai asmeninei duomenų apsaugai.

Visgi, jokia sistema negali atlikti viso darbo už vartotoją. Ankstesni tyrimai ir patirtis parodė, kad geriausias tokios problemos sprendimo būdas yra visapusiška vartotojų edukacija. Mes padalinome svarbią saugumo informaciją į mažas dalis bei integravome ją į visą vartotojo kelionę. Taip naudodami PassCamp kiekvienos komandos nariai gerina savo internetinio saugumo įpročius, kurie, net ir esant dinamiškai komandų plėtrai ir kaitai, suteikia tvirtą bazinį informacijos saugumo užtikrinimą.

Rezultatas

Būdamas nepriklausomu projektu, PassCamp iš mūsų pareikalavo trijų kūrimo ir vystymo metų, kad atsidurtų ten, kur yra dabar – bendruomenės auginamas, orientuotas į saugumą, daugiapakopio dalijimosi būdu veikiantis slaptažodžių valdymo įrankis. Pastaraisiais metais išleidome dvi šio slaptažodžių valdymo įrankio versijas: PassCamp Komandoms bei PassCamp Asmeniniam Naudojimui. Abi šias versijas tobuliname ir auginame kiekvieną mielą dieną. Jau dabar esame sulaukę daugybės teigiamo, konstruktyvaus grįžtamojo ryšio, todėl tikimės, kad šis įrankis pranoks esamų ir būsimų vartotojų lūkesčius ir augs kartu su tiek darbo ir indėlio idėjusia komanda.