Где хранить Mdn/TkA51R.b-cjNjY17H и как работать с сотнями других корпоративных паролей

Герои этого материала уже облегчили жизнь себе и компании — и поделились впечатлениями.

Где хранить Mdn/TkA51R.b-cjNjY17H и как работать с сотнями других корпоративных паролей

Материал подготовлен при поддержке «Пассворк»

На каждом тимлиде или главе департамента в среднем висит порой 100, а то и 200 паролей от разных корпоративных сервисов и аккаунтов. В идеальном мире они надёжны настолько, что на их взлом может уйти до 400 лет — при этом они не повторяются.

Но что для сотрудника безопасности рай, то для любого другого сотрудника — страдания. Держать всё это в голове невозможно, поэтому большинство идёт по самому простому пути: записывает пароли в общедоступный файлик на рабочем столе. Но если сотрудник, у которого хранится общий пароль, например, уходит в отпуск, а его коллегам нужно получить доступ к сайту, возникает хаос. Другой пример: в компанию пришёл новый сотрудник, которому нужно выдать доступ ко всем сервисам, но данные не хранятся в одном месте, поэтому новичок вынужден бегать и расспрашивать коллег.

Этот материал мы подготовили вместе с сервисом «Пассворк», который помогает бизнесу решить все эти проблемы и организовать безопасную работу с корпоративными паролями. Мы поговорили с клиентами сервиса и узнали, как изменилась их работа после интеграции менеджера.

Александр Владимирский
Руководитель группы развития ИТ-инфраструктуры «ТД „Балтийский Берег“»

Управлением паролями раньше занималось два человека: они использовали KeePass. Остальные сотрудники хранили пароли в текстовых файлах на рабочих столах, которые пересылали друг другу, если кто-то увольнялся, получал повышение или менял отдел.

Сотрудникам не нужно было возиться с отдельным ПО, а условному сисадмину — разбираться с раздачей прав доступа. Но пароли хранились беспорядочно и могли попасть в чужие руки. В общем, безопасность была на нуле.

Когда сотрудники стали всё чаще перемещаться между отделами, а их число выросло, KeePass использовать с правами доступа стало сложно: одному можно одно, другому — другое, а все данные при этом лежат в общем сейфе. Я стал искать ПО, которое избавило бы нас от этой головной боли (хранение и разграничение доступов), и выбрал «Пассворк». Меня в нём привлекает следующее:

  • Это отечественный разработчик. Поддержка на русском, и нет рисков, что компания уйдёт из России, оставив в продукте лазейки для хакеров.
  • Сервис можно развернуть на своих серверах. Третьи лица не получат к данным доступ.
  • Существуют плагины для различных браузеров. Пользователи смогут быстро подставлять пароли при входе на сайты.
  • Есть веб-интерфейс. Сотрудникам не нужно запускать отдельную программу.
  • Можно привязать учётную запись с помощью Active Directory. Это позволяет привязывать учётные записи пользователей «Пассворк» к аккаунтам сотрудников в общей корпоративной сети и следить за действиями этих пользователей в программе.
  • Права доступа можно разграничить к каждому отдельному сейфу и паролю.

Наш системный администратор развернул ПО на Linux. Пароли импортировали из базы паролей KeePass и личных таблиц сотрудников. Ещё день-два тестировали и изучали функции.

Долго учить сотрудников не пришлось. Назначать отдельного сотрудника для управления паролями тоже не стали: пользователи сами работают с ПО, а один ответственный из ИТ-отдела лишь раздаёт или забирает доступы к сейфам.

Пока пользуемся пакетом стандартных лицензий на 25 пользователей — этого достаточно для сопровождения нескольких отделов: финансового, учётного, маркетингового, а также ИТ-департамента.

Сейфы есть общие, например под финансовый отдел, а есть личные (доступные только одному сотруднику) например под конкретный банк. У айтишников есть доступы ко всем сейфам, у остальных — только к папкам с необходимыми им паролями.

Пароли от корпоративных почт мы в «Пассворк» не храним — для этого мы ещё пять лет назад придумали самописное решение. Но рассматриваем сервис как вариант дополнительного хранилища — в будущем планируем и тут хранить данные.

Александр Саханьков

Руководитель ИТ-отдела «Профмакс»

Несколько лет назад мы все хранили в Excel-таблицах. На удобство не жаловались: этими задачами занимались всего пять человек — четыре системных администратора и один PR-менеджер. Критических беспокойств о безопасности тоже не было, так как файлы хранились на наших рабочих компьютерах, а не в открытом доступе в интернете.

О централизованном решении задумались, когда компания начала расти. О «Пассворк» узнал от своего руководителя, а он — через рекламу на YouTube. Позже вспомнил, что за несколько лет до этого общался с разработчиками сервиса в Архангельске, где они начинали свой бизнес. Тогда и они сами, и их продукт произвели на меня хорошее впечатление, поэтому я пробежался по продуктовым деталям и отзывам в интернете, не увидел более подходящих программ и решил запросить тестовую версию «Пассворк».

Руководителям понравилось, что решение отечественное и не нужно переживать, что завтра оно перестанет работать. Отдельно хвалили возможность разграничить права доступа айтишникам, техподдержке, пиарщикам, тендерному отделу и отделу закупок.

Решение развернули на своих серверах, сразу импортировали туда пароли из таблиц, поставили расширения для Google Chrome и Mozilla Firefox. Пользоваться сервисом никого не учили — он и так простой. Думаю, не будучи айтишником, развернуть продукт во внутренней сети будет сложно, но можно установить облачную версию: она настолько же функциональна, как коробочная, только включает подписку на облако.

Из 600 сотрудников пользуются «Пассворк» около десяти — по стандартной лицензии. Сейфы у нас организованы по отделам и «доменам»: это, например, «аккаунты пользователей», «маркетинг», «операторы», «сервера», «хостинги». Там около 400–500 паролей, каждый день добавляется пара-тройка новых.

У пользователя есть доступ только к тем папкам, которые нужны ему для работы: у пиарщиков — к маркетингу, у айтишников — к серверам, доменам, хостингам. Доступом ко всем паролям владеет только гендиректор. За безопасностью следить несложно: на главной странице сразу видно, кто и с какого IP-адреса открывал базу паролей, а на панели безопасности есть статусы по каждому паролю: какой устарел (система считает устаревшим ту комбинацию, которой полгода и больше), какой слишком простой, какой рискует утечь в интернет или уже скомпрометирован. Таким статусом наделяют пароли, к которым, например, имел доступ уволенный сотрудник.

Анонимный ИТ-специалист
Работает в компании, которая занимается big data

До «Пассворк» мы пользовались менеджером паролей канадского разработчика — 1Password. Он закрывал наши ключевые потребности, а пользователям нравилось, что сервис сам подставлял пароли при авторизации на разных платформах. Но в конце февраля 2022-го поставщик ушёл из России, поэтому нам пришлось искать новое решение — на этот раз отечественное, чтобы не наступить на те же грабли.

С точки зрения удобства и безопасности «Пассворк» приглянулся больше всего. Сотрудникам понравилось, что сервис, как и предыдущий, позволял подставлять пароли в браузерах через расширение (сотрудники привыкли к этой возможности и использовать менеджер паролей без такой функции не хотели), а для ИТ-отдела преимуществом стала возможность интегрировать решение в нашу внутреннюю сеть и благодаря этому автоматически добавлять в «Пассворк» новых пользователей, определяя их в нужные «папки».

Ещё программа поддерживает технологию сквозной однократной аутентификации SSO: пользователь не должен подтверждать вход каждый раз, когда пытается подставить пароль или открыть его в хранилище, — ему достаточно запомнить одну комбинацию, по которой система будет выдавать все нужные доступы.

С настройкой, правда, пришлось повозиться. На тот момент мы уже протестировали решение на Windows Server и собирались разворачиваться на нём, на всё про всё ушло три часа. Уже собирались купить лицензию — но в это время Microsoft официально объявила, что лицензии в РФ больше не продаются. Поэтому пришлось переезжать — на Linux.

На этот раз на развёртывание потратили уже часа четыре — и ещё столько же на выгрузку старых паролей, добавление забытых и раздачу доступов коллегам.

Интерфейс продукта интуитивно понятный, помню только два незначительных неудобства:

  • Из-за отличий в архитектуре «Пассворк» и нашего предыдущего менеджера некоторые пароли при импорте задублировались. Но мы были к этому готовы и постепенно поправили ошибки вручную.
  • Пришлось привыкать к тому, что подстановка паролей в «Пассворк» работает иначе: чтобы ввести пароль из базы данных, нужно успеть заметить открывшееся на 10–15 секунд окно расширения и в нём нажать на пароль.

Всего в компании порядка 2000 человек, но только у 40 есть необходимость использовать менеджер паролей — поэтому мы купили пакет из 50 расширенных лицензий.

Пока в цифровых сейфах хранятся более 100 паролей.

Каждый сотрудник организует сейфы самостоятельно. Есть возможность разделить папки на подпапки. Только у «владельца» сервиса в компании есть доступ ко всем папкам, у остальных сотрудников — только к собственным. Кто-то вправе только читать данные, а кто-то ещё и редактировать.

За порядком в системе следит ответственный айтишник, но отдельное время для этого он не выделяет: всего лишь помогает с техническими вопросами и выдаёт доступы новым сотрудникам.

«Пассворк» позволяет не только безопасно хранить пароли, но и избавить офис от неудобств, связанных с передачей доступа. Например, если ответственный за какой-то сервис сотрудник заболел, его коллегам не придётся в панике искать к нему пароль — он будет храниться в общей базе. А целым отделам можно будет избавиться от ненадёжных таблиц с данными на рабочих столах.

Реклама, ИП Пьянков А.С., 316290100092842

1313
35 комментариев

Хранить пароли в российском софте....ахахахахахахпхпхппхахахаа
Ну вы даёте, тов. майор.

19

Есть же вроде опен-сорс парольницы или даже корпоративный метод единой идентификации, который можно развернуть из решения на опен-сорс

8

Вот сейчас в корпоративной среде кривой опенсорс бы использовать

Если нужен пароль от ресурса который знал уволившийся или ушедший в отпуск сотрудник - этот пароль просто меняется на новый и выдается другому человеку новый.
1 человек - 1 пароль. Это основа.
И хранить их работник обязан так чтобы никто кроме него не имел к ним доступа. Обнаружили на рабочем столе файлик - по ебалу. Ну или штраф хотя бы.

5

ага, штраф.
С каких пор штрафы помогать стали? Ты не слышал про утечку в яндексе?

На счёт пароля, да, конечно верно, но не везде применимо. Например, есть группа людей работающая над единым проектом, где всем необходим доступ к ресурсам проекта в режиме реального времени. Хотя зачастую пароли дают, например, к папке, где текущие наработки разных дизайнеров, например. И вот этого, конечно, можно не делать.

Меня просто бомбит от ценовой политики. ПО на год для 10 пользователей 24 000 в год, а на 100 уже 132 000 руб в год. Вы в своём уме ?? Это одно и то же ПО, не лучше, не более защищённое, один продукт. Вы не несёте больше расходов, которые оплачиваете за сервера субподрядчикам и тп.
Я понимаю когда лиц.на crm увеличивается в стоимости исходя из количества людей, т.к. во-первых это основной! рабочий инструмент, они занимают больше места (пространства) в облаке.
Я понимаю когда за телефонию ты платишь исходя из количества линий и минут в пакете.
Я понимаю когда за облачный или vds сервер у тебя разница от 500 до 5000 руб в месяц, т.к. это совершенно разные процессорные мощности, размеры жёсткого диска, т.к. себестоимость этого железа, амортизация, его обновление прямо пропорциональна использованию.
Так какого чёрта у вас разница в цене за одинаковый продукт в 6 раз, при том что вы не несёте никакой дополнительной расходной части, будь то у вашего клиента 10 или 100 сотрудников???

3