Запускаем менеджер паролей Webpass для работы в команде, в коробочной и облачной версиях

Всем привет. Мы - команда, создавшая российский маркетплейс Satom.ru, с трафиком более 3,5 млн посетителей в месяц. Наша площадка стала местом встречи множества продавцов с покупателями, а это - сотни гигабайт персональной и коммерческой информации, которую необходимо защищать от утечек. И если утерю данных из-за системных ошибок и внешних атак мы избегаем, модернизируя ПО, то с человеческим фактором посложнее.

Наш коллектив насчитывает около 100 человек, которые используют целый ряд корпоративных инструментов и аккаунтов. Некоторые из сотрудников имеют доступ к панели управления интернет-магазинов наших клиентов.

В таких условиях страшно представить, сколько неконтролируемых утечек данных может происходить, если пароли от ценной информации будут храниться просто в головах у сотрудников.

Для нас одним из решений проблемы компрометации информации из-за человеческого фактора стал менеджер хранения паролей.

Поначалу мы воспользовались одним из достаточно известных сервисов. Он устраивал нас почти всем - отличный функционал за небольшие деньги. Но, однажды, его владельцы объявили, что закрывают проект и нам пришлось искать альтернативы. На тот момент у существующих аналогов функционал был либо слабее, либо по цене в 5-10 раз дороже. В итоге, мы решили создать собственный менеджер паролей и, заодно, доработали его под себя, решив целый ряд важных для нас задач.

1. Мгновенное оповещение администратора о необходимости смены паролей к скомпрометированным записям.

Одна из функциональностей, которую мы разработали и которой не было в ранее используемом сервисе — автоматическая постановка задач администратору о необходимости смены паролей в случаях, когда:
- у сотрудников изменяется уровень доступа или закрывается доступ к аккаунтам;- сотрудников переводят в другой отдел;
- сотрудников увольняют.

Все учетные записи, с которыми работал уволенный сотрудник, помечаются как скомпрометированные и сохраняют этот статус вплоть до изменения паролей администратором.

Мгновенное оповещение сработает также, если злоумышленники попытаются подобрать пароль к одному из аккаунтов. В этом случае, система защиты Webpass отследит попытки взлома и заблокирует возможность авторизации, мгновенно уведомив администратора.

Панель мониторинга <a href="https://api.vc.ru/v2.8/redirect?to=http%3A%2F%2Fwebpass.pro&postId=157574" rel="nofollow noreferrer noopener" target="_blank">Webpass.pro</a>
Панель мониторинга Webpass.pro
Скомпрометированные аккаунты <a href="https://api.vc.ru/v2.8/redirect?to=http%3A%2F%2Fwebpass.pro&postId=157574" rel="nofollow noreferrer noopener" target="_blank">Webpass.pro</a>
Скомпрометированные аккаунты Webpass.pro


2. Расширенная система ролей (уровней доступов).

В используемом ранее сервисе существовало два вида прав - администраторы и пользователи. Обе группы могли добавлять пароли в хранилище, однако доступ имели право выдавать только администраторы. Мы же предусмотрели 4 вида прав доступов :

— Полный доступ: пользователь получает возможность открывать доступы к аккаунтам для других сотрудников. Такие “суперадмины” могут восстанавливать удаленные пароли из бэкапов, видят все данные.

— Администрирование: пользователь имеет право изменять логины и пароли аккаунтов, а также будет получать уведомления в случае компрометации аккаунта, что крайне полезно при кадровых изменениях. Такие админы (как правило, начальники отделов) видят свои доступы и доступы своих подчиненных, могут делиться своими доступами с подчиненными.

— Просмотр с паролем, когда пользователь получает доступ к паролю, но не может его редактировать. Кроме того, он может добавлять личные пароли, которыми не может поделиться.

— Просмотр без пароля - сотрудник может просмотреть информацию о наличии учётной записи в списке аккаунтов, но без доступа к паролю - для каждого входа в учетную запись он запрашивает пароль у администратора.

Таким образом, можно настроить нужный уровень доступа для каждого отдельного сотрудника внутри одного отдела и не переживать, что новичок может случайно ознакомиться с ценными сведениями.

Уровни доступа к паролям <a href="https://api.vc.ru/v2.8/redirect?to=http%3A%2F%2Fwebpass.pro&postId=157574" rel="nofollow noreferrer noopener" target="_blank">Webpass.pro</a>
Уровни доступа к паролям Webpass.pro

С целью организации безопасного обмена паролями, распределение паролей и их передача сотрудникам происходит внутри Webpass.

Регистрация пользователей <a href="https://api.vc.ru/v2.8/redirect?to=http%3A%2F%2FWebpass.pro&postId=157574" rel="nofollow noreferrer noopener" target="_blank">Webpass.pro</a>
Регистрация пользователей Webpass.pro

В любой момент можно посмотреть, кто имеет доступ к каждому аккаунту.

Просмотр пользователей аккаунтов и папок <a href="https://api.vc.ru/v2.8/redirect?to=http%3A%2F%2Fwebpass.pro&postId=157574" rel="nofollow noreferrer noopener" target="_blank">Webpass.pro</a>
Просмотр пользователей аккаунтов и папок Webpass.pro

3. Детальная история изменений.

При создании своего менеджера паролей мы расширили логи по просмотру и редактированию паролей. Теперь хранилище записывает историю о том, кто из сотрудников и когда осуществлял просмотр, редактирование, открытие доступов к аккаунтам (по каждому из паролей).

На практике мы теперь можем легко отследить передачу паролей между сотрудниками внутри каждого отдела.

История изменений в менеджере паролей <a href="https://api.vc.ru/v2.8/redirect?to=http%3A%2F%2Fwebpass.pro&postId=157574" rel="nofollow noreferrer noopener" target="_blank">Webpass.pro</a>
История изменений в менеджере паролей Webpass.pro

Реализация вышеперечисленных функций подтолкнула нас к тому, чтобы перевести свой сервис в коммерческую инициативу - Webpass.pro. Мы предлагаем альтернативу существующим менеджерам паролей.

Как еще работает Webpass?

1. Генерирует пароль для каждой учетной записи. При этом, даёт возможность настроить степень его сложности и указать необходимое количество символов, их тип (цифры, заглавные, строчные буквы и т.д.).

Вроде бы, всем понятно, что неправильно использовать при создании пароля знакомые слова или имена, а еще хуже - применять один и тот же пароль для разных аккаунтов, но человеку зачастую лень тратить время на придумывание сложного пароля, а потом еще и думать о том, как его запомнить и где его сохранить. Поэтому, правильнее всего воспользоваться генератором паролей, который возьмет на себя эту задачу по каждой отдельной учетной записи.

При этом, система подскажет насколько безопасный пароль используется в аккаунте. Можно настроить минимальную сложность пароля и запретить использовать один и тот же пароль более одного раза.

Генератор паролей <a href="https://api.vc.ru/v2.8/redirect?to=http%3A%2F%2FWebpass.pro&postId=157574" rel="nofollow noreferrer noopener" target="_blank">Webpass.pro</a>
Генератор паролей Webpass.pro

2. Импортирует данные в формате CSV или Excel, позволяя создавать резервные копии.

3. Выполняет автовыход. При отсутствии активности в кабинете, будет выполнен автовыход из него. Допустимый временной интервал бездействия возможно настроить самостоятельно.

Настройки менеджера паролей <a href="https://api.vc.ru/v2.8/redirect?to=http%3A%2F%2FWebpass.pro&postId=157574" rel="nofollow noreferrer noopener" target="_blank">Webpass.pro</a>
Настройки менеджера паролей Webpass.pro

5. Коробочная версия сервиса - обеспечивает возможность хранить пароли на серверах компании. Для большинства предприятий крупного и среднего бизнеса в СНГ это решающий фактор при выборе менеджера паролей. Нам тоже спокойнее, когда все данные под максимальным контролем.

6. Доступные языковые версии включают английскую, русскую и украинскую, осуществляется техническая поддержка на этих языках.

Почему хранить данные в Webpass безопасно

1. Сервис шифрует ваши пароли асимметричным методом AES-256. Суть метода состоит в преобразовании основного пароля (мастер-пароля) в криптостойкий 256-битный код, служащий для чтения данных. Передача информации внутри аккаунта осуществляется посредством алгоритма RSA, который создает для системы 2 ключа: публичный и приватный. Публичный ключ шифрует передаваемые данные так, что расшифровать их может только держатель приватного ключа, т.е. собственник аккаунта.

При этом, приватный ключ известен только получателю, а это является главной особенностью шифрования асимметричным методом. Схожим способом данные пользователей защищены и в Telegram.

Для защиты от атак с участием посредников, данные шифруются и дешифруются перед синхронизацией на уровне устройств.

2. Сервис предусматривает два способа хранения информации (на выбор):

  • в облаке, с хранением информации на облачном сервере Webpass;
  • коробочную версию, позволяющую разместить базы данных на собственном сервере предприятия, для большей уверенности пользователя в защите персональных и корпоративных данных.

3. Ни в каком случае Webpass не имеет доступа к вашим паролям. Если способ хранения облачный, все данные хранятся только в зашифрованном виде, что исключает возможность доступа к ним как со стороны сервера Webpass, так и со стороны сторонних лиц.

4. При надобности, вы можете выполнять ручной бэкап данных в облачной версии. В коробочной версии резервное копирование данных осуществляется автоматически.

5. Webpass позволяет использовать двухфакторную аутентификацию Google для дополнительной защиты каждой учетной записи. Даже зная мастер-пароль попасть в кабинет Webpass будет невозможно без доступа к смартфону.Чтобы упростить себе работу, пользователи могут внести список доверенных устройств, тогда при работе с привычного места каждый раз вводить дополнительный пароль не потребуется.

Наши планы

Много функций сервиса уже удалось реализовать, но целый список еще находится в разработке и планах на ближайшее будущее. Ниже перечень задач, над которыми сейчас трудится наша команда программистов.

  1. Усовершенствовать управление правами и доступами в кабинете пользователя, а именно внедрить возможности.

    - упорядочивать аккаунты, объединять их в группы, исходя из особенностей организации работы компании;- фильтровать перечень доступов по определенному признаку;

    - предоставлять гостевые доступы по ссылкам;

    - делиться паролем внутри отдельного аккаунта; - приглашать нового пользователя в общую папку.
  2. Реализовать регулярный аудит паролей на безопасность, который помогает проверить их надежность. Эта функция поможет исключить возможность использования типовых и устаревших паролей, которые были известны сотрудникам, ранее работавшим у вас.
  3. Разработать открытие доступа только для определенных IP-адресов, что поможет лишний раз сохранить ключевую коммерческую информацию.
  4. Реализовать возможность автоперехода из хранилища прямо в защищенную зону сайта, которую вы укажете. Ввод пароля в регистрационном окне или его вставка из документа/таблицы небезопасна, т.к. вам могут прислать копию сайта, чтобы обманным путем получить пароль или считать пароль из памяти компьютера.

В связи с последними событиями, когда многим пришлось самоизолироваться и переводить работу офиса на удалёнку, всё большую и большую роль приобретает культура использования корпоративной информации. А учитывая тот факт, что утечка данных из-за неправомерного доступа только растёт, то хранилище паролей должно стать полезным инструментом защиты бизнеса.

Приглашаем вас протестировать возможности и качество нашего сервиса. У Webpass.pro есть бесплатный тестовый период:

  • До 3 пользователей - неограниченный;
  • До 50 пользователей - 1 месяц.
Как вы считаете, нуждается ли сервис в доработке? Если “да”, то в какой? Ждём ответ в комментариях.
Да
Нет
33
6 комментариев

Прекрасно реализованная идея действительно востребованного софта.
Хотелось бы видеть защищенное приложение с привязкой не к аккаунту Google или телефонному номеру, а к аккаунту Telegram

2

Спасибо за положительный отзыв - очень приятно.
Отвечаю на вопрос - привязок ни к аккаунту Google, ни к номеру телефона нет. В качестве логина всегда служит адрес электронной почты. Аутентификатор же Вы можете использовать любой (на свой вкус): Google, Yandex, Microsoft и тд. Google самый популярный из них, поэтому в личном кабинете мы описали пошаговую инструкцию для настройки двухфакторной аутентификации именно для Google.
При настройке 2фа на втором шаге формируется qr код, который можно сканировать любым приложением способным делать аутентификацию.

Будет Android приложение?

1

Серьезно???

Сведения об операторе
Оператор ведет свою деятельность по адресу 295011, Республика Крым, г.Симферополь, ул.Самокиша, 28, оф.6.

Индивидуальный предприниматель Томащик Галина Васильевна (телефон +7 (499) 703-3772) назначен ответственным за организацию обработки персональных данных.

Из политики конфиденциальности еще:
"Мы можем передавать информацию:
сторонним поставщикам услуг;
деловым партнерам;
дочерним компаниям в нашей корпоративной структуре;
при необходимости в юридических целях.
Сторонние поставщики услуг имеют доступ к личной информации только по мере необходимости для выполнения своих функций, и могут обрабатывать личную информацию лишь в соответствии с настоящей Политикой конфиденциальности."

1

Очень благодарны Вам за внимательное изучение документов. Информация пользователей никому не передается и технически не может быть передана, потому что в расшифрованном виде для Webpass пароли не доступны. Вопрос по формулировке задан нашим юристам. Их ответ обязательно будет опубликован.

Я чет не нашел ничего такого, вроде бы все ровно.