Безопасное хранение паролей в компании, или Что еще умеет Пассворк?

В прошлом году из России ушел 1Password — один из самых востребованных менеджеров паролей для бизнеса. На замену ему и другим западным сервисам пришли отечественные аналоги. В числе наиболее популярных — менеджер паролей Пассворк.

Что он умеет? И действительно ли Пассворк упрощает хранение и администрирование паролей в компании? Ответы и подробности — в новом обзоре Cyber Media.

Что такое Пассворк

Слабые пароли обнаруживаются во внешней ИТ-инфраструктуре 80% организаций в России. Вероятно, что в большинстве случаев именно они становятся точкой входа киберпреступников в корпоративную сеть. К такому выводу в прошлом году пришли эксперты «Ростелеком-Солар».

Ситуация с паролями в бизнесе действительно выглядит печально. Часто сотрудники знают, что нельзя использовать одни и те же данные для доступа к разным приложениям, но все равно это делают. А администраторы хранят информацию в файлах на своих компьютерах и не всегда могут сказать, кто и когда менял пароль в конкретном сервисе или системе. И зачастую это всплывает в самый неподходящий момент или когда уже предпринимать что-то становится поздно.

Многие компании решают проблему с помощью менеджера паролей. Он упрощает совместную работу с корпоративными паролями и обеспечивает их безопасное хранение.

Обычно бизнес нуждается в менеджере паролей, если:

• сотрудники компании используют много разных корпоративных сервисов. Если кто-то уходит в отпуск или на больничный, коллеги не могут войти в нужный аккаунт и выполнить задачи отдела,
• в организации есть один специалист, который отвечает за все доступы к корпоративным ресурсам и хранит их в KeePass, Гугл-таблице или еще хуже — в блокноте на своем компьютере. И когда к этой задаче подключаются другие сотрудники, а их в компании много, работать в таком формате становится просто неудобно,
• принимается или увольняется сотрудник — нужно выдать все необходимые пароли к нужным сервисам сразу или, наоборот, с целью безопасности обновить их.

Пассворк — менеджер паролей, зарегистрированный в реестре отечественного ПО и рекомендованный для приобретения государственными и коммерческими структурами. Ему доверяют X5 Retail Group, СберМаркет и другие сервисы Сбера, HH, группа ПИК, ВТБ, Промсвязьбанк, Росгосстрах Жизнь и еще многие известные российские компании.

Как здесь все устроено

Прежде чем начать работу в Пассворк, нужно ознакомиться с понятием «сейфы». Так в сервисе называются корневые хранилища, где содержатся пароли. Они делятся на две группы — Сейфы организации и Личные сейфы.

Обе группы сейфов можно найти слева — в колонке навигации

Для большинства бизнес-задач подходят Сейфы организации. Хранилища и папки с паролями в этой группе можно создавать по отделам, сотрудникам, проектам и т.д. Администратор по умолчанию получает доступ к любому из этих сейфов, чтобы:

• смотреть, какие пароли создавали другие сотрудники;
• управлять доступом к этим паролям,
• смотреть логины пользователей и т.д.

При этом администратор может сам создавать сейфы и папки в них, а затем приглашать коллег, заранее указывая нужный уровень доступа.

Что касается Личных сейфов, они принадлежат пользователям. Доступом к ним можно поделиться. Но без прямого приглашения подключиться не получится, даже если это попытается сделать администратор.

В большинстве случаев Личные сейфы в компаниях используют топ-менеджеры. При этом администратор может запретить возможность создавать их остальным пользователям.

Работа с паролями

Пароли совсем не обязательно вносить в сервис вручную. Их можно импортировать из файла CSV в свободной форме и XML-таблицы KeePass.

Чтобы завести новый пароль в Пассворк, необходимо ввести: название, логин, пароль — его можно сгенерировать с помощью генератора паролей или указать свой, данные для TOTP-аутентификации (необязательное поле), адрес сайта, если пароль с ним связан.

При клике на карточку пароля администратор видит всю историю действий. Там же есть функция, с помощью которой администратор может откатить данные к любой из предыдущих редакций. Благодаря этому легко узнать, каким был пароль до изменений.

Также в Пассворк есть:

• поиск по словам, тегам и цветовым меткам,
• возможность добавить пароли в избранные,
• просмотр недавних паролей,
• экспорт данных в CSV и JSON (только для администратора) и др.

Доступ пользователей и разграничение прав

В сервисе есть несколько вариантов предоставления доступа к паролям. Первый — пригласить пользователя в выбранный сейф или папку. Здесь же можно выбрать уровень доступа, который ему нужно предоставить. Минимальный кейс — видеть только папки, но не видеть пароли. Максимальный — назначить администратором. После приглашения пользователь увидит новую папку или сейф в левой части интерфейса Пассворк.

Если нужно поделиться только одним паролем, то его можно отправить пользователю. При этом нужно выбрать уровень доступа — только чтение или редактирование.

Пользователь увидит пароль во вкладке Входящие

Еще один удобный способ появился в последней версии Пассворк 6.0 — ярлыки. Благодаря им не нужно создавать дубликаты паролей в разных сейфах. Вместо этого можно создать несколько ярлыков в нужных директориях, и тогда пользователи получат доступ к паролю через них.

А еще можно создать цветовую метку, добавить теги и файлы

Если пароль нужно отправить неавторизованному пользователю Пассворк — создается ссылка с ограничением по сроку действия и возможностью сделать ее одноразовой.

Если пользователей много, их можно группировать по ролям. Это могут быть бухгалтерия, администраторы, руководство и т.д. Каждая роль получает доступ к нужным сейфам или папкам. И если пользователя связать с ней, то он унаследует все права этой роли.

Как добавлять пользователей в сервис

Создавать пользователей в Пассворк, как и в случае с паролями, можно двумя способами — вручную или с помощью импорта данных. Также возможна самостоятельная регистрация сотрудника в сервисе. Для этого формируется специальная ссылка, которую нужно передать пользователю.

Кроме того, пользователи могут использовать свои учетные данные LDAP и AD — у Пассворк есть интеграция с этими системами. В этом случае сотрудники смогут применить логины и пароли от корпоративной Windows. Вся аутентификация будет проходить на стороне LDAP.

Также можно загрузить пользователей массово — из базы AD. При этом есть функция синхронизации данных. Так, новые пользователи будут отображаться в сервисе сразу же после их создания в корпоративной системе.

И наконец, у Пассворк есть интеграция со службой единого входа SSO по протоколу SAML. Функционал вынесен в отдельную вкладку сервиса.

Надежность паролей и история действий

На отдельной вкладке пользователь видит раскладку паролей по трем группам: слабые, старые и с риском компрометации. К появлению последних приводит увольнение сотрудника. Пассворк после удаления пользователя анализирует, какие пароли он просматривал. Если они не изменялись после увольнения, то сервис пометит их как потенциально скомпрометированные.

Подробнее о риске компрометации можно узнать по клику на пароль

Точно так же сервис анализирует пароли, если доступ к ним был закрыт для текущего пользователя. Если у него больше нет возможности просмотреть учетные данные сейфа или папки, то сервис решает, что они скомпрометированы и сообщает об этом администратору.

История всех действий с паролями есть в отдельной вкладке

Что касается безопасности доступа пользователей к самому Пассворк, в сервисе есть настройка двухфакторной аутентификации. Ее можно сделать обязательной для всех пользователей. При этом разработчик рекомендует использовать собственное решение — Пассворк 2ФА. Хотя сервис также поддерживает другие популярные аналоги (аутентификатор Microsoft, Яндекс Ключ и др.).

Браузерные расширения и мобильные приложения

У сервиса есть API, благодаря чему сервис несложно интегрировать в ИТ-инфраструктуру компании. Чтобы подключение прошло легче, разработчик создал утилиту — JS коннектор.

По API работают браузерные расширения Пассворк. Они работают на Chrome, Mozilla, Safari, Edge и позволяют найти на веб-странице формы аутентификации. Расширения берут текущий url и ищут связанные с ним пароли в Пассворк. После чего пользователю предлагается заполнить данные с помощью найденных в сервисе данных.

Пароли к аккаунту на сайте также можно искать вручную, не выходя из браузера

Есть у Пассворк и мобильные приложения. Их можно скачать в Google Play или App Store и подключиться к сервису. Единственный нюанс — Пассворк коробочное решение и установлено на сервере клиента, для доступа пользователя к нему нужно установить соединение.

Безопасность и технические характеристики

Продукт разработан на языке PHP с базой данных MongoDB. Фактически сервис представляет собой веб-приложение и поэтому к нему применяются все передовые веб-технологии безопасности.

Главные преимущества Пассворк в плане ИБ в том, что сервис:

• устанавливается на сервере и работает без интернета. Причем подходят сервера как на Linux, так и на Windows. Для первого случая разработчик рекомендует использовать Docker с продакшн-образами сервиса, потому что так установка и поддержка баз будет проходить проще,
• использует несколько уровней шифрования, по умолчанию — AES или ГОСТ,
• поддерживает клиентское шифрование. В этом случае все данные будут сначала шифроваться в браузере и отправляться на сервер уже в зашифрованном виде. Это означает, что со стороны сервера расшифровать базу данных будет уже невозможно (Zero Knowledge),
• позволяет настроить отказоустойчивый кластер, чтобы было несколько серверов с приложением, балансировщик и другие средства усиления защиты,
• поставляется с открытым исходным кодом, что необходимо для аудита безопасности. Также разработчик предоставляет доступ к своему Git-репозиторию.

Сколько стоит?

У сервиса есть две основные версии — облачная и коробочная. Первая подходит для небольших компаний, вторая – для средних и крупных организаций.

Пассворк поставляется редакциями. Каждая зависит от количества пользователей. Минимальный вариант — до 10 пользователей — стоит 24 тыс. руб. за год. Максимальный — свыше 100 пользователей (цена по запросу).

При этом каждая редакция делится на стандартную версию и расширенную, в которую входит весь набор функционала, а также возможность установить Пассворк одновременно на нескольких серверах, в нескольких филиалах компании, есть доступ к персональному менеджеру и другие фичи.

Пассворк поставляется с вечными ключами, то есть после покупки его можно использовать сколько угодно. Вместе с одноразовой оплатой компания получает год подписки на обновления и техподдержку. Последующие годы можно оплатить сразу или потом, если в этом есть необходимость.

Резюмируем

Пассворк — менеджер паролей, который изначально создавался для бизнеса в России. Сервис входит в реестр отечественного ПО, поэтому идеально подходит для корпораций и госкомпаний и отлично вписывается в политику импортозамещения.

Кроме того, Пассворк поставляется с открытым для аудита исходным кодом — его всегда можно проверить на наличие уязвимостей. Это, как и постоянное развитие функционала и интерфейса, выгодно отличает сервис от других решений на рынке. И именно поэтому его уже используют сотни крупнейших компаний России.

Больше информации о возможностях и ценах — на сайте Пассворк.

еrid: Kra23mWyE

* Реклама, Рекламодатель ИП Пьянков Андрей Сергеевич, ОГРНИП 316290100092842