Большой обзор корпоративных менеджеров паролей

Стек технологий безопасности для рабочих мест будет неполным без программ управления паролями для сотрудников. Почему? Потому что одной из самых частых причин взлома учетных записей являются слабые и скомпрометированные пароли. А с учетом того, что все больше сотрудников работают удаленно, адекватные методы парольного менеджмента становятся еще более важными.

Ниже собрал список доступных для российских компаний вариантов менеджеров паролей (если что, дополняйте в комментариях) и попробовал сравнить их.

Начну с небольшого ликбеза для неайтишников — это софт, предназначенный для создания, хранения и управления паролями или другой личной информацией, такой как конфиденциальные документы, в одном безопасном месте — зашифрованной базе данных, защищенной мастер-паролем.

Главное преимущество заключается в том, что нужно запомнить только один главный пароль, а не все данные для входа на ресурсы. Это означает, что команда может просто подключиться ко всем своим аккаунтам с помощью функций автосохранения и автозаполнения.

Для личного пользования вы могли использовать менеджеры паролей от Apple и Google. Для компаний — суть схожая, но есть дополнительные административные возможности по управлению доступами, распределениями паролей на отделы и пр., а также большая безопасность.

Без “внешних ограничений” сотрудники обычно используют слабые пароли, которые легко запомнить, а, значит, и взломать. Записывают их где попало, часто забывают и спокойно делиться через месседжеджеры и почту, тем самым создавая риски безопасности для бизнеса.

Надежный менеджер паролей может обеспечить создание паролей заданной сложности, их надежное (без бумажек на мониторе и блокнота “мои пароли” на рабочем столе) хранение и удобное управление доступами в рамках компании. В результате снижаются риски успешных кибератак на бизнес, экономятся нервы на вспоминание паролей, а жизнь админов делается чуточку лучше. Теперь давайте рассмотрим актуальные для РФ решения для бизнеса.

Начну с двух зарубежных, которые, как ни странно, до сих пор часто встречаю (хотя их и активно импортозамещают).

1. KeePass

Бесплатное зарубежное решение для хранения паролей. Решение до сих пор распространено в корпоративной среде, но, по сути, это не полноценный менеджер паролей, а локальная база данных с паролями, в которой, для обновления нужно всем пользователям выйти из системы и к которой есть вопросы по сохранности данных.

Сложен в использовании сотрудниками (отсутствует интуитивно понятный дизайн, а некоторые функции проблематично заставить работать), неудобен в администрировании, не позволяет синхронизировать хранилище с другими приложениями и не поддерживает русский язык. Но бесплатен, и это многое оправдывает).

2. HashiCorp Vault

Vault — также не полноценный менеджер паролей, а, по сути, хранилище любых секретных данных, которое поддерживает различные механизмы авторизации и политики доступа, а также интегрируется с основным поставщиком удостоверений или выбранной облачной платформой. Продукт способен управлять секретами для более чем 100 различных систем, включая базы данных, публичные и частные облака, очереди сообщений и конечные точки SSH (про SSH-клиентов у меня, кстати, недавно был большой обзор). Несмотря на то, что продукт разработан американской компанией, он до сих пор распространен в российских корпорациях. Чаще его используют “в том числе для хранения паролей”.

У продукта есть большие возможности настроек, но он сложен в администрировании и есть риски проблем с оплатой и отключения для РФ.

По стоимости: бесплатно до 25 секретов, далее — от $0.50 за секрет.

3. Passwork

Как мне кажется, это первый выпущенный в России корпоративный менеджер паролей.

Есть большие возможности по настройкам, поддержка основных ОС, интеграции (в том числе, с помощью API), классно проработанный интерфейс и собственное мобильное приложение.

Решение существует в двух версиях: «коробочное» (устанавливается на сервер компании, работает без подключения к сети) и «облачное». Доступны расширения для браузеров Google Chrome, Firefox, Microsoft Edge и Safari.

Стоимость стандартной версии на 100 пользователей — 132 000 рублей, но существенная часть функционала доступна только в расширенной версии.

4. ОдинКлюч

Российская разработка с поддержкой ГОСТового шифрования, удобным интерфейсом и работой на ключевых российских и зарубежных операционных системах.

У компании есть лицензии и сертификаты ФСБ и ФСТЭК, а сам продукт позиционируется как сфокусированный на безопасность: выставлен Bug Bounty (публичная проверка от хакеров), хранит зашифрованную базу с паролями отдельно от ключей расшифровки и использует схему разделения секретов Шамира.

В отличие от некоторых других решений, в архитектуре менеджера паролей не существует “супер-администратора” — пользователя, который имеет самый высокий уровень доступа и которому видны пароли остальных пользователей.

Из интересных функций: настройки по отделам, двухфакторная аутентификация как для серверной, так и для облачной версий, возможность восстановления мастер-пароля (снижает зависимость от администратора). Доступны «облачные» и «коробочные» версии, а также варианты в виде расширения для браузеров.

Стоимость продукта за 100 пользователей составляет от 117 000 рублей в год, включая полный функционал, помощь во внедрении и поддержку.

5. TeamDo

Интерфейс Российское решение для хранения паролей, чек-листов и документов. Легкое в установке (исходя из информации на сайте, это занимает не более двух часов) и с понятным интерфейсом.

Стоимость на 1 год составляет 88 900 рублей вне зависимости от количества сотрудников.

В базовой версии не предусмотрены интеграции, а также поддержка SSO и LDAP.

6. BearPass

Интерфейс BearPass

Отечественный продукт с открытым исходным кодом. Поддерживает ключевые российские операционные системы (по Windows и macOS данных на сайте нет).

Годовая стоимость на 100 пользователей составляет 144 000 рублей. Плюс за дополнительную плату можно получить поддержку во внедрении и обучение. Есть бесплатная версия для команд до пяти человек.

У всех описанных решений имеется:

По удобству интерфейса — дело вкуса, лучше каждому тестировать. Мне больше понравились Пассворк и ОдинКлюч.

По стоимости (из Российских решений) — самые выгодные на 100 пользователей оказались TeamDo и ОдинКлюч. Если на 50 пользователей, то ОдинКлюч.

По вниманию к безопасности впечатлил ОдинКлюч, но другие разработчики, естественно, тоже уделяют этому внимание.

По настройкам и интеграциям — отмечу Пассворк и ОдинКлюч, но тут нужно исходить из ваших задач. У них же, в отличие от других решений, предусмотрено ГОСТовое шифрование.

Идеального решения не выделю. Вариантов не так много, так что можно, в каждом случае, внимательно сравнить.

Ключевые критерии: удобство использования и администрирования, достаточный уровень безопасности (от внешних и внутренних угроз), наличие необходимых интеграций, соответствие необходимым стандартам и, естественно, стоимость.

Какой бы менеджер паролей вы не выбрали для своей организации, уровень кибербезопасности и эффективности будет увеличен, но к выбору лучше отнестись внимательно.