8 простых советов по выбору менеджера паролей для бизнеса

12345, 111111, password — вот одни из самых популярных паролей. Что-то посложнее — девичья фамилия матери, дата рождения, кличка питомца. И ваши данные надежно защищены.

Конечно нет.

Кражи паролей случаются всегда. Многие используют простые пароли, чтобы не забыть их, но если они легки для вас, то как насчет опытных хакеров? Для них они еще проще.

Безопасность важна для всех, но особенно — для крупных компаний.

Что если ваш сотрудник пошел по «простому пути» и стал использовать ненадежный пароль просто потому, что ему легче его запомнить?

Политика безопасности не меняет статистику.

Можно сколько угодно прописывать политику безопасности, требовать от сотрудников использовать только надежные пароли, но человеческий фактор никто не отменял. А значит данные под угрозой.

Что действительно работает, так это корпоративный менеджер паролей. Он заставляет пользователей выбирать только сложные пароли, которые практически невозможно взломать.

Но как правильно выбрать сам менеджер паролей для своей компании?

Совет 1. Найдите подходящую технологию

Корпоративным менеджером паролей может быть сервис SaaS или коробочная версия.

SaaS — лучший вариант для небольших компаний. Это программное обеспечение, которое принадлежит вам, но управляется провайдерами удаленно. Оплата совершается небольшими регулярными платежами.

Коробочная версия идеальна для крупных корпораций. Это гибкий и надежный вариант, но одновременно с этим — более дорогой.

Выберите разработчика, который предлагает и сервис SaaS, и коробочную версию — в этом случае у вас будет возможность сравнить их и сделать правильный выбор.

Совет 2. Можно ли доверять разработчику?

Проверьте надежность разработчика. Где он хранит данные — имеет ли собственные защищенные серверы или арендует серверы у третьих лиц? Конечно, первый вариант более предпочтителен.

Важное значение имеет местонахождение разработчика. Лучше выбрать компанию, которая находится в стране, где законы не слишком «навязчивы». Например, Passwork — менеджер паролей для бизнеса, чьи серверы находятся в Финляндии. А Финляндия верит в свободу интернета — это первая страна, которая сделала широкополосный доступ законным правом каждого гражданина.

Советуем избегать разработчиков из стран «пяти глаз» (США, Великобритания, Канада, Австралия и Новая Зеландия) — эти государства могут выдавать ордера на получение информации о пользователях менеджеров паролей и VPN-сервисов.

Совет 3. Ищите уязвимости

Простая проверка. Войдите в менеджер паролей, нажмите F12, чтобы открыть консоль браузера. Откройте вкладку «Сеть» и посмотрите, есть ли какие-либо внешние запросы. Хороший корпоративный менеджер паролей отключит запросы JavaScript и AJAX со сторонних сайтов, чтобы гарантировать отсутствие XSS-атак.

Когда третьи лица могут заходить в систему, они делают ее более уязвимой. Неважно, чем вы пользуетесь, SaaS или коробочной версией, менеджер паролей должен хранить информацию таким образом, чтобы внешние приложения не могли получить к ней доступ.

Совет 4. Проверьте, зашифрованы ли пароли

Менеджер паролей должен хранить информацию в зашифрованном виде. Чтобы проверить это, нажмите F12, откройте вкладку «Сеть» и перейдите на любой сайт, на который вам необходимо войти. Сохраните пароль в диспетчере паролей. Если пароль отображается в виде обычного текста, его легко взломать.

Разные менеджеры паролей используют разные стандарты шифрования. Самый надежный шифр — это AES-256 с алгоритмом RSA, шифрование военного класса. Если корпоративный менеджер паролей обеспечивает этот уровень шифрования и имеет собственные серверы — ваши данные под надежной защитой. Один из таких менеджеров — Dashlane.

Совет 5. Имеет ли разработчик прозрачные политики?

Проверьте сайт разработчика — предоставил ли он данные по используемым алгоритмам и криптографии? Все надежные компании предоставляют открытый исходный код для своих коробочных решений.

Обычно используется основной пароль для шифрования всей конфиденциальной информации. Хороший менеджер паролей — например, LastPass — зашифрует мастер-пароль и сохранит его прямо в вашем браузере вместо своих серверов. В этом случае даже разработчик не будет знать его. Это называется шифрованием с нулевым разглашением.

Совет 6. Проверьте контролируемость программного обеспечения

Вы должны иметь возможность проверить код менеджера паролей. Фактически, если это открытый код, вы сможете внести в него изменения.

Разработчик, который позволяет просматривать внутренний код, демонстрирует полную прозрачность, а это значит, что ему нечего скрывать. Яркий пример — Passbolt.

Совет 7. Качество SSL

Усовершенствованные корпоративные инструменты управления паролями используют протокол Secure Sockets Layer (SSL). SSL безопасно передает данные между клиентом и сервером. С помощью таких онлайн-инструментов, как SSL Labs и SSL Checker вы можете узнать, являются ли SSL сертификаты менеджера паролей действительными.

Совет 8. Получите гибкое решение

Хороший корпоративный менеджер паролей будет работать на всех основных платформах, защищая ваши учетные записи вне зависимости от того, откуда осуществляется вход. К примеру, у Passwork есть веб-версия для PC и Mac, мобильные версии для iOS и Android, а также расширения для браузеров Chrome и Firefox.

При этом все пароли должны автоматически синхронизироваться между устройствами.

Также немаловажный момент — служба поддержки. Здорово, когда она работает быстро и может отвечать на русском языке.

Вывод

Проверяйте разработчика, тестируйте продукт и не экономьте на качестве, поскольку вы выбираете программный инструмент, который облегчит работу ваших сотрудников и обеспечит безопасность данных компании.

0
3 комментария
Inga Knyazeva

Была у меня одна сотрудница, которая пароль под клавиатурой хранила) пароль, соответствующий всем требованиям безопасности)

Ответить
Развернуть ветку
Юрий Павлюк

Потому что такой пароль "соответствующий всем требованиям безопасности", достаточно сложен. Очень ее понимаю)

Ответить
Развернуть ветку
Сергей Семенов

Жду 8 простых советов по использованию туалетной бумаги...

Ответить
Развернуть ветку
0 комментариев
Раскрывать всегда