logo
繁体
繁体

钢铁侠、美队、黑寡妇和死侍都来投资,这家加拿大公司有什么“黑魔法”?

科技新闻网站Protoco的lDavid Pierce采访了加拿大的科技初创企业1Password的首席执行官,这家公司刚刚宣布筹集了6.2亿美元的资金。他们讨论了人们对网络安全的一些误解,网络安全未来的发展轨迹,以及这家公司未来的扩张计划。

来源:网页截图

1Password的业务正在蓬勃发展。这家公司刚刚宣布它已经筹集了6.2亿美元,估值为68亿美元,来自一群顶级艺人(小罗伯特·唐尼、瑞恩·雷诺兹、斯嘉丽·约翰森、克里斯·埃文斯等)和知名风险资本家(老虎全球和ICONIQ Growth)。

但是,一个密码管理器需要6.2亿美元的资金干什么呢?1Password的首席执行官杰夫·希纳(Jeff Shiner)有一些计划。他正在快速建立团队,而1Password的规模在过去两年里扩大了两倍,达到了500名员工,并计划在今年再翻一番,同时还希望扩大了密码管理器的能力。1Password长期以来一直是一个消费者至上的产品,但最大的机会在于将公司的技术、用户体验和安全能力引入商业世界。1Password已经拥有超过10万家企业客户,并计划快速扩张。

往大里看,希纳说他想帮助公司和用户重新思考什么是安全。真的没有其他选择:由于远程工作的增加,商业软件的压倒性消费化,以及行业内一连串新的安全问题,希纳说,“只需登录VPN”的日子正在消亡,不会再回来了。他希望1Password能够帮助迎来一个更好、更安全的系统。

希纳参加了《源代码》播客,谈论了1Password的新现金流,它对从加密钱包到用谷歌登录按钮等问题的立场,以及密码管理器如何在我们的在线生活中发挥越来越重要的作用。

主持人:当我想到 1Password 时,它就是……一个密码管理器。当1Password开始时,这就是它全部的功能。但我的感觉是,现在它的愿景要比这个大得多。你现在是如何谈论它的?

希纳:我从以人为本的安全角度来谈论它。我们是为了缓解安全和便利之间的矛盾,这一直是一个挑战。人类并不擅长安全。因此,如果我们从商业角度来看,大多数安全软件实际上是在基础设施层。它很重要,它运作得很好,而且它只停留在基础设施层。但是,如果你想一想,大多数数据泄露起源于哪里?在人身上。因此,对于1Password来说,部分原因还是我们的消费者起源,但即使到了今天,我们也是为了保护个人。

我喜欢说,“通过确保员工的安全,来保护你的企业。”

杰夫·希纳。来源:网页截图

你认为人们在理智上是否理解这一事实?即这些事情大多不是大型的、复杂的、网络级别的黑客攻击,大多数都是这样的,“我从一个网络钓鱼的骗局中得到了你的密码,或者从一些大型的数据泄露中偷到了你的密码,因为你在所有账户上都使用同一个密码。” 比如说,即使我在理智上知道这点,但我不知道是否真的把这件事好好吸收了,了解实际上互联网上的安全问题就是这么一回事。

在安全领域之外,很少有人真正这样去考虑它。他们认为,这些事是那些大型的,巨型的黑客行为,其中一些当然是如此,是国家层面之类的人物,来做这件事。但是,到目前为止,大多数的入侵事件都是由重复使用密码而引起的。

我们喜欢说别人不是在黑你,他们只是在登录。他们只是用别人的凭证登录到别人的账户,对吗?再说一遍,人类本来就不擅长搞安全。这就是事实。我们将使用fluffycat(毛绒猫)作为我们的密码,因为它很方便。而且我们也记得住fluffycat。然后我们接着会用fluffycat1和2,以及fluffycat3。而我们的那些账户之一,也许是我们用来分享猫咪图片的网站,可能会被黑客攻击。总体来说我们不太会介意这点。但是,如果你在重要的账户上也使用相同的凭证,人们就会在那里尝试凭证填充攻击(注:利用机器人用网上偷到的各种凭证轮番试图登录某网站,直到成功)或类似的事情。

我认为我们往往会在新闻中看到很多漏洞,也可能看到过很多攻击,我们坐在那里,以为它们是非常高级的深度技术入侵。但实际情况是,他们只是进入了网络,拿到了一百万人的用户名和密码,他们就是不断去尝试。而其中一些会成功。

当你考虑到虚拟信用卡或者与Fastmail合作来隐藏人们的电子邮件时,或许可以能有某个版本的1Password,我可以把它想象成是我在互联网上的身份层,我会把我的所有的信息放在那里,并且相信1Password会以正确的方式分配它。这样的设想是否太大?它是否是个错误的愿景?

不,我并不认为这种想法太大。但这一愿景有两个方面。一面是说,凡是我想继续使用的,但我又想让它保持私密或安全的东西,我都想把它们放在1Password中。这包括信用卡、驾照、护照,还有其他这类信息。我既想让它们可用,但与此同时,我也想保持它们的私密度。

然后还有这些身份信息的另一面,就是存储这些信息,而不是分享这些信息,而是实际让持有和存储这些信息的东西来验证你的身份。这是一个更大的方面,观察技术的发展方向会很有趣。我们也正在努力了解我们该从哪里入手,以及我们可以扮演的角色。

沿着这条路走下去,就会出现加密货币钱包和Web3登录等东西。你现在在考虑这些事情吗?

是的,经常考虑。这又回到了试图了解我们的具体角色的问题:我们想参与到哪里,又不想参与到哪里。但它们都是同一个游戏的一部分,对吗?是关于人们如何维护他们所拥有的数据的隐私,同时又能向系统或服务证明这个人确实是他们自己?

我和所有这些从早期就在互联网上工作的人交谈过,他们都说:“是的,如果我能回到过去,当时我们做错的一件事是,没有建立一个能用来提供信息和身份给各种服务的中央存储处。”即使我们以某种不同的方式回到了这一原点,这似乎就是互联网的一种更好的存在方式。不管是在1Password还是其他地方,感觉就像是未来的方向。

我认为挑战将是,它是否应该储存在同一个地方?还是它其实真正属于消费者?所以,如果你从单一地点、单一服务、单一系统的角度来考虑它,也就是让同一个地方持有所有的东西,然后进行认证,这本身就存在着一些挑战,不是吗?那里有非常大的权力。

如果你从个人的角度出发说:“我希望能够真正保持我自己的身份,但仍然也能向其他人证明,这实际上就是我,”这才应该是真正的目标。这个目标必须是将权力留在个人手中,但仍允许他们正确的证明自己的身份。

Image by Michael Treu from Pixabay 

在过去的几年里,勒索软件攻击已经成为大新闻,国家的网络安全比以往任何时候都受到关注。另一方面,远程工作开始兴起,每个人都在思考关于安全的新问题。你是否感觉到世界正在开始了解你的想法?

是的,肯定是这样的。在过去的几年里,我们看到的是,我把它称之为三大趋势,它们尤其使安全方面的挑战更加严峻。

一个是你提到的:工作和家庭相结合,或混合型工作。许多年前,人们只把文件放在内部,然后又放在防火墙后面,然后他们会分配特别的设备,让员工使用那个设备。现在,我我不仅要坐在家里,交替使用家庭设备和工作设备,而且在同一天中,我也在交替进行家庭和工作活动。这带来了一些挑战,因为如果你能控制一切,你可以坐在那里,就能够了解谁在使用什么,但我不会允许别人把东西装在我的个人手机上,跟踪我正在做的一切。

另一个安全挑战是,有趣的是,它本身不是一个安全挑战,但它引入了一个挑战。特别是在过去几年里出现了那么多的云应用程序。在我们看到的这个新常态中,人们只是想要尝试一下这个工具,以增加自己的生产力。他们也不知道它究竟有用还是没用,他们就是想要试试看。突然间,从商业的角度来看,现在一家公司的数据就到了某处某人的手上,而且完全在公司的视野之外。

我们做了一些研究,得出的一个可怕的统计数据是,70%的开发人员仍然可以访问他们以前公司的系统。这是一个非常、非常巨大的数字。这并不是说他们是故意的,只是他们注册了那么多不同的工具,而公司却对此一无所知。

第三个趋势是一个有趣的情况,说实话,在我们几个月前做了一点研究之前,我也没有想到过这个问题:压力和倦怠。我认为所有人都会感到压力,只是在过去几年,人们没法出门,没法真正了解外面在发生什么。再加上一些正常的工作量,现在,你突然感到不堪重负。当人们感到不知所措时,他们会怎么做?他们会采取最简单的方法,而简单的方法通常并不是特别安全的方法。这就是为什么你注册所有账号都会使用fluffycat,或者你没有想到要好好地改用别的密码。

当我们谈论以人为本的安全时,这些都是人本身的问题。这些是需要通过使人更容易保持安全而来解决的问题,而不是仅仅是向问题投掷更多层的基础设施。

我们已经到了这个地步,你可以用你的加密货币钱包登录,或者你可以用谷歌登录,或者你可以用生物识别技术或其他各种方式登录。这似乎应该在某种程度上威胁到密码管理器的存在,这应该让你感到害怕,你应该为更多的密码而战,而不是为更少的密码!但是,我并没有从你的身上感觉到这一点。当我们不再在文本框中输入数字和字母时,你对这些变化的感想是什么?

我从两个方面来看。第一,登陆的情况一直在变越来越复杂。我看过Epic Games的登录页面,他们至少有八种登录选项。所以我想知道有多少人有7个不同的账户,为了能够继续玩他们上次没玩完的游戏?因此,我们的目的之一是考虑到一个人的情况,让他们能够快速和安全地完成他们想要完成的任务?没有人一觉醒来就想着说:“我要如何认证?”

现在来看,一个账户可能会用一个用户名和密码,而账户可能是通过谷歌开通的,也可能是通过你的企业单点登录(SSO,一种安全通信技术,允许一个用户登陆一次并使用多个系统),这个账户可能是通过WebAuthn,这个工具对人们来说也越来越复杂了,那些对安全方面不感兴趣的人来说尤其是如此,他们只是想把工作做完。

Image by mohamed Hassan from Pixabay 

因此,我们可以让情况变得更简单,只需要登上1Password,选择你想使用的应用程序,我们会让你能够快速登录。在后台里,我们可能有不同的流程,我们可能会指向不同的机制和不同的认证服务,但从终端用户的角度来看,只有两件事会发生。第一,这对他们来说很容易,他们可以直接登录。第二,它实际上可以帮你采用一些很不错的技术。因为从人的角度来看,你无需改变你的工作流程。只需要登录1Password,选择任何你想使用的工具,并开始使用它。

在我们的未来愿景中,有一个我们称为通用登录的东西。也许这个名字还有点糟,因为里面还有“登录”这个词。但从人的角度来看,他们的考虑是,我现在想做什么?你不是想要登录,你是要使用一个应用程序或服务。因此,我们该怎样才能让你尽快完成这个任务?

1Password已经存在16年了,其中14年是没有筹集任何资金的。让我来回顾一下历史吧:你是怎么考虑的,把这个做得很好的自给自足的公司,一头扎进风险投资的世界?

确实感觉是一头扎进去了!没错,我们已经存在了16年。其中前10年是作为一个消费者应用程序,大约在2014年至2015年,我觉得,“好吧,我们应该去创建一个商业解决方案。”于是我们创建了1Password for Business。然后自此过了三年,到了2019年的中期,我们有了有数万名企业用户。但是,作为一家公司,我们的很多东西都还不够成熟。我们有一个非常小和相对不成熟的销售团队,我们没有营销,我们基本完全没有财务团队,没有人力资源,没有人才团队,这些都没有。

所以我们考虑了一下,觉得,“好吧,我们的业务不错,但我们并没有抓住一个真正的机会。如果我们想成长为一家优秀的、持久的公司,我们还需要做好几件事情。”而现实是,我不知道如何能靠自己去做这些事。我不知道如何吸引世界级的人才进入我们公司之前并没有的部门,诸如此类的。因此,我们想寻找一个合作伙伴,我们想找一个能够帮助和指导我们的人。”

不要误会我的意思,从阿克塞尔合伙公司的角度来看,这显然是一项投资,要花2亿美元呢!但是,这笔钱有几个作用:它为我们赢得了信誉,因为我们是一家私人公司,没有人知道我们是否在赚钱,或者是否在亏钱,以及有多少客户。因此,在当时进行A轮融资确实在这方面有所帮助。它帮忙给了我们一点阿伦·马修(阿克塞尔的合伙人)称作“勇气资本”的东西,我很喜欢这个词。

因此,从2020年开始到现在,这就是我所说的内部“成长和壮大”。我们从177人增加到现在的570人,珍妮是我们的首席财务官,朱利安是我们的市场领导人,佩德罗来担任我们的首席技术官,在此之前他是脸书的安全和隐私主管。因此,这些人都是真正有才华、是世界级的人,来领导组织的不同部分。因此,现在我们处于这样的位置,向以人为本的安全愿景和使命迈出了一大步,这就是我们引入新的合作伙伴ICONIQ 和老虎的真正原因,这带来了更多的勇气资本。

6.2亿美元是相当多的勇气资本。

所以我们应该有相当大的勇气。

我希望能把这笔钱主要用来做三件事,在最高层面上的。一是,继续投资于我们的团队,并在今年将我们公司的规模扩大一倍。二是继续关注战略收购。我们去年收购了SecretHub,主要开发秘密自动化领域。然后第三,要有足够的勇气资本进行更大的赌注,我们需要进入新的领域,并真正探索我们在达成这些愿景和任务目标方面能有多么雄心勃勃。

这是否改变了你思考问题的方式?你是否准备从此开始变得更加大胆,因为你现在是一家价值68亿美元的公司了,人们是否会更加认真地对待你们?你是否会变得更加保守,因为你现在有了这么多钱?IPO的时间是否越来越近了?

我先回答IPO的部分。我们的目标是建立一个好公司,将1Password推广给所有人,因为所有人都需要1Password。因此,有许多不同的途径可以实现这点。我们并没有只选择一条路,而且我们并不打算只选择一条。

Image by Gerd Altmann from Pixabay 

至于我们是要变得更大胆还是要更温和?对我来说,是要更大胆。对我来说,就是需要考虑,我们该怎样才能继续与其他安全基础设施的部分建立伙伴关系?我们今天会与活动目录(微软开发的目录服务,多用于管理服务器)或SSO整合,我们与一些多重要素验证(MFA)整合,我们如何继续深化和加强这些关系?

我们希望以更深入的方式与现有的安全基础设施合作,但让1Password不辜负于人。因此,这确实是勇气资本的一些用途,但也能增加能见度,这将使我们更容易继续与它们合作并深化其中的一些伙伴关系。这样,我们就可以为我们的企业客户以及消费者提供更好的更广泛的解决方案。