Герои этого материала уже облегчили жизнь себе и компании — и поделились впечатлениями.
Материал подготовлен при поддержке «Пассворк»
На каждом тимлиде или главе департамента в среднем висит порой 100, а то и 200 паролей от разных корпоративных сервисов и аккаунтов. В идеальном мире они надёжны настолько, что на их взлом может уйти до 400 лет — при этом они не повторяются.
Но что для сотрудника безопасности рай, то для любого другого сотрудника — страдания. Держать всё это в голове невозможно, поэтому большинство идёт по самому простому пути: записывает пароли в общедоступный файлик на рабочем столе. Но если сотрудник, у которого хранится общий пароль, например, уходит в отпуск, а его коллегам нужно получить доступ к сайту, возникает хаос. Другой пример: в компанию пришёл новый сотрудник, которому нужно выдать доступ ко всем сервисам, но данные не хранятся в одном месте, поэтому новичок вынужден бегать и расспрашивать коллег.
Этот материал мы подготовили вместе с сервисом «Пассворк», который помогает бизнесу решить все эти проблемы и организовать безопасную работу с корпоративными паролями. Мы поговорили с клиентами сервиса и узнали, как изменилась их работа после интеграции менеджера.
Управлением паролями раньше занималось два человека: они использовали KeePass. Остальные сотрудники хранили пароли в текстовых файлах на рабочих столах, которые пересылали друг другу, если кто-то увольнялся, получал повышение или менял отдел.
Сотрудникам не нужно было возиться с отдельным ПО, а условному сисадмину — разбираться с раздачей прав доступа. Но пароли хранились беспорядочно и могли попасть в чужие руки. В общем, безопасность была на нуле.
Когда сотрудники стали всё чаще перемещаться между отделами, а их число выросло, KeePass использовать с правами доступа стало сложно: одному можно одно, другому — другое, а все данные при этом лежат в общем сейфе. Я стал искать ПО, которое избавило бы нас от этой головной боли (хранение и разграничение доступов), и выбрал «Пассворк». Меня в нём привлекает следующее:
- Это отечественный разработчик. Поддержка на русском, и нет рисков, что компания уйдёт из России, оставив в продукте лазейки для хакеров.
- Сервис можно развернуть на своих серверах. Третьи лица не получат к данным доступ.
- Существуют плагины для различных браузеров. Пользователи смогут быстро подставлять пароли при входе на сайты.
- Есть веб-интерфейс. Сотрудникам не нужно запускать отдельную программу.
- Можно привязать учётную запись с помощью Active Directory. Это позволяет привязывать учётные записи пользователей «Пассворк» к аккаунтам сотрудников в общей корпоративной сети и следить за действиями этих пользователей в программе.
- Права доступа можно разграничить к каждому отдельному сейфу и паролю.
Наш системный администратор развернул ПО на Linux. Пароли импортировали из базы паролей KeePass и личных таблиц сотрудников. Ещё день-два тестировали и изучали функции.
Долго учить сотрудников не пришлось. Назначать отдельного сотрудника для управления паролями тоже не стали: пользователи сами работают с ПО, а один ответственный из ИТ-отдела лишь раздаёт или забирает доступы к сейфам.
Пока пользуемся пакетом стандартных лицензий на 25 пользователей — этого достаточно для сопровождения нескольких отделов: финансового, учётного, маркетингового, а также ИТ-департамента.
Сейфы есть общие, например под финансовый отдел, а есть личные (доступные только одному сотруднику) например под конкретный банк. У айтишников есть доступы ко всем сейфам, у остальных — только к папкам с необходимыми им паролями.
Пароли от корпоративных почт мы в «Пассворк» не храним — для этого мы ещё пять лет назад придумали самописное решение. Но рассматриваем сервис как вариант дополнительного хранилища — в будущем планируем и тут хранить данные.
Руководитель ИТ-отдела «Профмакс»
Несколько лет назад мы все хранили в Excel-таблицах. На удобство не жаловались: этими задачами занимались всего пять человек — четыре системных администратора и один PR-менеджер. Критических беспокойств о безопасности тоже не было, так как файлы хранились на наших рабочих компьютерах, а не в открытом доступе в интернете.
О централизованном решении задумались, когда компания начала расти. О «Пассворк» узнал от своего руководителя, а он — через рекламу на YouTube. Позже вспомнил, что за несколько лет до этого общался с разработчиками сервиса в Архангельске, где они начинали свой бизнес. Тогда и они сами, и их продукт произвели на меня хорошее впечатление, поэтому я пробежался по продуктовым деталям и отзывам в интернете, не увидел более подходящих программ и решил запросить тестовую версию «Пассворк».
Руководителям понравилось, что решение отечественное и не нужно переживать, что завтра оно перестанет работать. Отдельно хвалили возможность разграничить права доступа айтишникам, техподдержке, пиарщикам, тендерному отделу и отделу закупок.
Решение развернули на своих серверах, сразу импортировали туда пароли из таблиц, поставили расширения для Google Chrome и Mozilla Firefox. Пользоваться сервисом никого не учили — он и так простой. Думаю, не будучи айтишником, развернуть продукт во внутренней сети будет сложно, но можно установить облачную версию: она настолько же функциональна, как коробочная, только включает подписку на облако.
Из 600 сотрудников пользуются «Пассворк» около десяти — по стандартной лицензии. Сейфы у нас организованы по отделам и «доменам»: это, например, «аккаунты пользователей», «маркетинг», «операторы», «сервера», «хостинги». Там около 400–500 паролей, каждый день добавляется пара-тройка новых.
У пользователя есть доступ только к тем папкам, которые нужны ему для работы: у пиарщиков — к маркетингу, у айтишников — к серверам, доменам, хостингам. Доступом ко всем паролям владеет только гендиректор. За безопасностью следить несложно: на главной странице сразу видно, кто и с какого IP-адреса открывал базу паролей, а на панели безопасности есть статусы по каждому паролю: какой устарел (система считает устаревшим ту комбинацию, которой полгода и больше), какой слишком простой, какой рискует утечь в интернет или уже скомпрометирован. Таким статусом наделяют пароли, к которым, например, имел доступ уволенный сотрудник.
До «Пассворк» мы пользовались менеджером паролей канадского разработчика — 1Password. Он закрывал наши ключевые потребности, а пользователям нравилось, что сервис сам подставлял пароли при авторизации на разных платформах. Но в конце февраля 2022-го поставщик ушёл из России, поэтому нам пришлось искать новое решение — на этот раз отечественное, чтобы не наступить на те же грабли.
С точки зрения удобства и безопасности «Пассворк» приглянулся больше всего. Сотрудникам понравилось, что сервис, как и предыдущий, позволял подставлять пароли в браузерах через расширение (сотрудники привыкли к этой возможности и использовать менеджер паролей без такой функции не хотели), а для ИТ-отдела преимуществом стала возможность интегрировать решение в нашу внутреннюю сеть и благодаря этому автоматически добавлять в «Пассворк» новых пользователей, определяя их в нужные «папки».
Ещё программа поддерживает технологию сквозной однократной аутентификации SSO: пользователь не должен подтверждать вход каждый раз, когда пытается подставить пароль или открыть его в хранилище, — ему достаточно запомнить одну комбинацию, по которой система будет выдавать все нужные доступы.
С настройкой, правда, пришлось повозиться. На тот момент мы уже протестировали решение на Windows Server и собирались разворачиваться на нём, на всё про всё ушло три часа. Уже собирались купить лицензию — но в это время Microsoft официально объявила, что лицензии в РФ больше не продаются. Поэтому пришлось переезжать — на Linux.
На этот раз на развёртывание потратили уже часа четыре — и ещё столько же на выгрузку старых паролей, добавление забытых и раздачу доступов коллегам.
Интерфейс продукта интуитивно понятный, помню только два незначительных неудобства:
- Из-за отличий в архитектуре «Пассворк» и нашего предыдущего менеджера некоторые пароли при импорте задублировались. Но мы были к этому готовы и постепенно поправили ошибки вручную.
- Пришлось привыкать к тому, что подстановка паролей в «Пассворк» работает иначе: чтобы ввести пароль из базы данных, нужно успеть заметить открывшееся на 10–15 секунд окно расширения и в нём нажать на пароль.
Всего в компании порядка 2000 человек, но только у 40 есть необходимость использовать менеджер паролей — поэтому мы купили пакет из 50 расширенных лицензий.
Пока в цифровых сейфах хранятся более 100 паролей.
Каждый сотрудник организует сейфы самостоятельно. Есть возможность разделить папки на подпапки. Только у «владельца» сервиса в компании есть доступ ко всем папкам, у остальных сотрудников — только к собственным. Кто-то вправе только читать данные, а кто-то ещё и редактировать.
За порядком в системе следит ответственный айтишник, но отдельное время для этого он не выделяет: всего лишь помогает с техническими вопросами и выдаёт доступы новым сотрудникам.
«Пассворк» позволяет не только безопасно хранить пароли, но и избавить офис от неудобств, связанных с передачей доступа. Например, если ответственный за какой-то сервис сотрудник заболел, его коллегам не придётся в панике искать к нему пароль — он будет храниться в общей базе. А целым отделам можно будет избавиться от ненадёжных таблиц с данными на рабочих столах.
Реклама, ИП Пьянков А.С., 316290100092842
Хранить пароли в российском софте....ахахахахахахпхпхппхахахаа
Ну вы даёте, тов. майор.
Есть же вроде опен-сорс парольницы или даже корпоративный метод единой идентификации, который можно развернуть из решения на опен-сорс
Вот сейчас в корпоративной среде кривой опенсорс бы использовать
"Кривой" опенсорс точно не хуже сабжа будет
Ну да, техподдержку же тебе дядя ваня оказывать будет
Айтишник есть. Их нанимают для замещения техподдержи.
Это не так работает
Это именно так работает
Корпоративное ПО не техобслуживает айтишник, если это контора больше магазинчика на углу. Я хз как там у вас работает.
Вы делаете выводы из своего опыта, но компаний очень много. И то, что конкретно ваш кровавый энтерпрайз покупает на всё сапорт, ещё не значит, что все делают также!
Если нужен пароль от ресурса который знал уволившийся или ушедший в отпуск сотрудник - этот пароль просто меняется на новый и выдается другому человеку новый.
1 человек - 1 пароль. Это основа.
И хранить их работник обязан так чтобы никто кроме него не имел к ним доступа. Обнаружили на рабочем столе файлик - по ебалу. Ну или штраф хотя бы.
ага, штраф.
С каких пор штрафы помогать стали? Ты не слышал про утечку в яндексе?
Комментарий недоступен
На счёт пароля, да, конечно верно, но не везде применимо. Например, есть группа людей работающая над единым проектом, где всем необходим доступ к ресурсам проекта в режиме реального времени. Хотя зачастую пароли дают, например, к папке, где текущие наработки разных дизайнеров, например. И вот этого, конечно, можно не делать.
Меня просто бомбит от ценовой политики. ПО на год для 10 пользователей 24 000 в год, а на 100 уже 132 000 руб в год. Вы в своём уме ?? Это одно и то же ПО, не лучше, не более защищённое, один продукт. Вы не несёте больше расходов, которые оплачиваете за сервера субподрядчикам и тп.
Я понимаю когда лиц.на crm увеличивается в стоимости исходя из количества людей, т.к. во-первых это основной! рабочий инструмент, они занимают больше места (пространства) в облаке.
Я понимаю когда за телефонию ты платишь исходя из количества линий и минут в пакете.
Я понимаю когда за облачный или vds сервер у тебя разница от 500 до 5000 руб в месяц, т.к. это совершенно разные процессорные мощности, размеры жёсткого диска, т.к. себестоимость этого железа, амортизация, его обновление прямо пропорциональна использованию.
Так какого чёрта у вас разница в цене за одинаковый продукт в 6 раз, при том что вы не несёте никакой дополнительной расходной части, будь то у вашего клиента 10 или 100 сотрудников???
Прихожу я значит покупать кулер для воды в офис, а меня спрашивают у вас сколько человек в офисе будут им пользоваться? Если 10, то цена 6000 руб, если 100, то 36000 руб, т.к. его заляпают быстрее )
Комментарий удален модератором
То есть вы предлагаете использовать сервис, который стоит денег, внедрять его в уже существующую систему. При этом это всего лишь обычный менеджер паролей? Токенам лет 5 уже, если не больше. Почему не использовать их? Да, дольше и дороже. Но раз всё равно тратите деньги на развитие, то почему не сделать сразу хорошо? Не возникнет проблемы в будущем, когда придётся менять этот менеджер. Я уже не говорю о том, что 400 лет на взлом - очень устаревшие данные. 16 знаков небольшой суперкомпьютер, а-ля домашняя ферма для майнинга (12 карт) взломает за пару лет. И облегчит жизнь взломщикам "идеальность" системы безопасности.
1. Не повторяются. То есть если один пароль подошёл, то не надо его использовать в другом месте.
2. Использование цифр/спец.знаков. То есть вариантов пароля в разы меньше, что уже сбрасывает расчётное время до нескольких десятилетий.
3. Обязательное использование разного регистра. И вот тут сброс идёт ещё в несколько раз.
Такие пароли, где есть жёсткие требования, специалисты по кибербезопасности у себя в лаборатории взламывают меньше чем за час (вычислительные мощности, конечно, не сравнимы с домашним майнингом). У них, конечно, идеальная система, не как у среднего хакера, но и хакер не совсем идиотом будет. Можно компенсировать недостаток знаний увеличением вычислительной мощности.
А куда во всех этих примерах с "n лет взлома пароля" исчезает 2FA и задержка повторных попыток, превращающие все эти лаборатории и майнинг-ферму хацкера Стасяна - в бесполезный мусор?
В серверные процессоры для распараллеливания процессов, а так же специальное ПО для майнинга, которое тоже создано для распараллеливания процессов. По итогу, пока провайдер поддерживает большое количество потоков, можно создавать бесконечное число параллельных подключений. Никто не будет ломать один компьютер. Будут ломать все и сразу. Потому на предприятиях часто можно встретить только один-два компа с прямым выходом в сеть, а остальные через эти самые админские компы - злоумышленнику придётся ломать только его, причём он, обычно, не особо быстрый и выполняет лишь основные функции по передаче данных. Помню, когда ещё не было нормальных SSD, в одной фирме настроили админский комп на оперативке без HDD вообще, без видеокарты (встроенка) на Пентиуме 4 - со своей задачей справлялся, а то, что даже пасьянс затупить может под полной нагрузкой - так он не для этого собран.
я свой пароль 123456789 всегда в голове держу
Ну вот... Пока статью читала, душа возрадовалась - вот оно решение! Почитала комменты.... и ЧЁ делать-то? Советы для чайника, который по старинке ведет файлик эксель, дайте, а? Только понятным "языком"
Токен. Только Токен, только хардкор. Понятным языком в пару слов не объяснить, лучше сразу идти читать специализированные статьи. Токен избавит сразу от трёх проблем:
1. Его не удалить случайно. Можно потерять, но для этого можно создать второй. Учитывая нынешние флешки, второй можно носить как брелок на ключах, если купить флешку в форме панды, например. Никто и не подумает, что это Токен, плюс если потеряешь Токен, то второй у тебя с собой, вместе с ключами от дома.
2. Замена сотрудника? Тогда старый передаёт Токен новому. И всё, у него нет никакого доступа никуда с этого момента. Скопировать его сложнее чем пароль в 16 символов, около 20 лет расчётное время для мощных суперкомпьютеров, тогда как обычный можно просто запомнить.
3. Нет проблемы с двойным доступом. Айтишники имеют доступ только к настройке доступа для каждого Токена, но сами им её владеют. Тогда как при классической схеме у них есть доступ везде, так как есть доступ ко всем паролям.
Хотя,конечно, это очень сложная тема.
Второй вариант очень простой: сложные пароли только для доступа в систему. Для доступа к отдельным частям сложные пароли не требуются. Какой-нибудь графический дизайнер ради любопытства попробует открыть "чертежи электросхем", но увидев поле ввода пароля - отвянет. Он даже не будет пытаться взломать пароль из 8 случайных символов.
Спасибо :))
Кстати. Мне ещё понравилось предложение товарища Corbyan. В нашей сфере такое особо не применишь, но вообще дельное предложение. Каждый имеет доступ только к тем файлам, которые у него на компе. Делается бэкап на сервере, к которому только начальник имеет доступ. А если нужен этот файл кому-то другому, что бы на его основе сделать свою работу, тогда этот файл отправляется по корпоративному каналу тем, кто с ним работал или начальником. В Японии мелкие IT так работают. У них нет общего доступа к единому облаку.
Комментарий удален модератором
Комментарий удален модератором
Прочитай статью, там написано, что это Self-hosted
Кстати, напомните, зачем Кандолиза Райс в 2014 году вошла в совет директоров DropBox? Уж явно не затем, чтобы хранить чьи-то секреты
https://www.forbes.ru/news/254339-kondoliza-rais-voshla-v-sovet-direktorov-dropbox
А сравнивали с Self-hosting Bitwarden?
Подтверждаю. Хороший сервис. Пользуемся им уже пару лет в сконте.
Пользовался passwork с 2014 года, даже был партнером, продвигал и пытался внедрять в разных проектах. На практике не взлетело никак, так как нет удобных мобильных приложений и расширения в браузер.
Я люблю Россию и топлю за всё Российское, но пока passwork недотягивает до уже привычного уровнял комфорта и кроссплатформенности.
Сейчас пользуюсь self hosted bitwarden лично и в рабочей команде.
Если не жесткий госкорпорат, не вижу смысла менять bitwarden на passwork.
Так же смущает, что юридически это ИП (при всём уважении к ИП). Вдруг владельца не станет, что будет с сервисами, службами, приложениями и оплаченными на 3 года вперед тарифами?
Это отечественный разработчик. Поддержка на русском, и нет рисков, что компания уйдёт из России, оставив в продукте лазейки для хакеров."
Ахахахахаха!
Ох, насмешили!
Комментарий недоступен
Ты в принципе не понимаешь своей ошибки.
Хранить пароли в облаке - это пиздец просто.
Был бы я в СБ, я бы тебя ссаными тапками выкинул из компнии и ещё иск тебе вручил за передачу конфиденциальных данных третьей стороне.
А потом удивляются, что персональные данные утекли...
Благодаря таким как ты, например
Комментарий недоступен
А ещё у меня нет костюма и галстука. Без них в СБ не берут
Комментарий недоступен
Комментарий удален модератором