Всем привет. Мы, Валерий Комягин, Сергей Никитченко и Константин Василенко, основатели корпоративного парольного менеджера BearPass.
Вообще, нас объединяет еще кое-что — все мы причастны к очень опытной студии заказной разработки SVK. Digital (ex Студия Валерия Комягина). Валерий — основатель студии, Сергей — ее технический директор, а Костя — один из наших ведущих разработчиков.
Как и многие студии заказной разработки мы долгие годы мечтали о создании собственного продукта — такого, в котором мы сами, а не заказчик, решали бы, что хорошо и что плохо. Продукта, с пользователями которого мы могли бы общаться напрямую.
Такая возможность представилась нам неожиданно, и мы решили рассказать свою историю читателям VC. ru. Возможно, такая статья вдохновит кого-то из наших коллег. А мы надеемся найти с её помощью первых пользователей и верим, что эта статья станет важной ступенью в успешном развитии нашего продукта.
Итак…
Что такое парольные менеджеры и зачем они нужны?
Собственно, зачем хранить пароли в какой-то программе, а не записывать их на листочке или в каком-нибудь файле вроде Блокнота?
Во-первых, это не очень удобно — файл и листочек не всегда под рукой. Во-вторых, совсем небезопасно — если злоумышленники доберутся до него, под угрозой окажутся ваши данные, а в ряде случаев и деньги (если, скажем, это был пароль от вашего клиент-банка).
Парольный менеджер — это централизованный “сейф”, хранящий ваши пароли в зашифрованном виде так, что они недоступны даже самим создателям таких программ.
Потребность в парольных менеджерах у компаний объясняется еще проще. При найме нового человека на работу, ему нужно предоставить доступ только к нужным сервисам, а при увольнении — нужно проследить, что он лишился всех доступов., ничего не унёс с собой, а в особенно параноидальных случаях, может быть и изменить пароли ко всем сервисам, с которыми он или она работали.
Пока в такой компании работает несколько человек — это, конечно же, не проблема. Но если в организации работает, как минимум, несколько десятков человек в самых разных подразделениях, имеющих доступ к различным сервисам предприятия, такие простые задачи могут стать настоящей головной болью для системного администратора.
Как вообще появился BearPass?
В нашей компании было около полутора десятков человек тогда, когда мы поставили наш первый парольник — это был модуль KeyRights для Битрикс24 от наших коллег и друзей из студии Сибирикс.
Но со-временем мы подросли до 40 человек, отказались от Битрикс24, а вместе с ним и от KeyRights. Нужен был новый парольный менеджер.
На тот момент удобных “парольников” в мире была уйма, начиная от персонального Google Passwords и заканчивая такими проектами, как LastPass, 1Password или Bitwarden, часть из которых предоставляют, в том числе функцию корпоративного сейфа.
Но у большей части было две проблемы. Во-первых, большинство из них были достаточно дорогими — в среднем около $3 за пользователя в месяц, то есть для 50 сотрудников это было бы около $2 000 в год.
Во-вторых, большая часть решений была классическим облачным SaaS-сервисом, а наш техдиректор настаивал на том, что такую важную информацию, как пароли, он хочет контролировать полностью. Поэтому мы искали “коробочный вариант”, который мы могли бы разместить на своих внутренних серверах.
Так около года назад родилась идея написать такой парольный менеджер, о котором мы всегда мечтали: подходящий для корпоративного использования, безопасный, быстрый и непременно созданный на принципах Open Source — так, чтобы его могли дорабатывать другие программисты в том случае, если он кому-то понравится и кто-то, кроме нас самих захочет им пользоваться.
Ну и, что греха таить, авторы проекта — программисты, а программисты всегда мечтают создать какой-нибудь Open Source проект для того, чтобы все вокруг пользовались твоим продуктом и помогали его дорабатывать и для того, чтобы мир вокруг становился лучше: -)
Что мы уже сделали?
Миграция на собственный парольный менеджер прошла довольно гладко и вот уже год мы с удовольствием им пользуемся.
Почему нам нравится BearPass?
- Это Self Hosted решение — парольный менеджер установлен на наших внутренних серверах и мы не зависим от внешних факторов.
- Проект создан на технологиях Open Source — в основе лежат технологии, с которыми работают миллионы разработчиков во всем мире: PHP Laravel и база данных PostgreSQL.
- Все пароли хранятся централизованно и надежно защищены алгоритмами шифрования стандарта AES-256.
- Предоставить доступ новичкам или лишить доступа уходящих сотрудников можно «в один клик».
- Благодаря удобной древовидной структуре и мощному поиску, сотрудникам легко находить и использовать пароли.
- Генератор паролей автоматически придумает пароль, подходящий под установленные регламенты безопасности.
- Есть подсистема “аналитики”, привычная для такого класса продуктов. Она позволяет отслеживать устаревшие пароли и пароли, не проходящие требования установленного регламента безопасности.
- В продукте реализован очень гибкий сценарий управления распределенном доступом — можно настроить доступ для отдельных ролей или даже для каждого сотрудника по отдельности.
- Подсистема журналирования событий позволит точно восстановить хронологию событий и обнаружить, кто именно совершил те или иные действия в системе.
- Last, but not least — система мультиплатформенная и доступна не только с персональных компьютеров, но и со смартфонов.
Кризис, как возможность
Проект, наверное, так и оставался бы внутренним продуктом, если бы не печальные геополитические события, приведшие к тому, что часть классных зарубежных сервисов ушла с российского рынка, а вторую часть стало очень затруднительно оплатить.
Кроме этого, на какое-то время здорово подскочил и курс доллара — популярные продукты и до этого были, мягко говоря, не бесплатными, а с валютными курсами конца февраля - начала марта, ценник и вовсе становился заоблачным.
В одном из профессиональных чатов, в которых мы состоим, кто-то из участников спросил, есть ли аналоги популярным парольным менеджерам с российскими корнями — такие, которым точно не страшны санкции?
Мы поняли, что это наш шанс, создали небольшой лендниг www.bearpass.ru, на котором коротко описали наш продукт, и договорились о пилотном внедрении BearPass с несколькими нашими коллегами по цеху.
Сейчас продукт прошел “проверку боем” и внедрен в нескольких компаниях с численностью персонала около 100 человек в каждом. Мы получили бесценный опыт, массу интересных идей для развития продукта, а разработчики одной из команд упаковали продукт в docker-контейнер (спасибо вам, друзья из PERX.ru).
Что мы планируем делать дальше?
Мы планируем развивать проект, и хотим зарегистрировать его в реестре отечественного программного обеспечения.
Бэклог для развития достаточно большой. Вот некоторые важные функции, которые должны появиться в продукте в ближайшее время:
- SaaS-версия — да, облачный вариант сервиса все-таки нужно будет реализовать потому, что Self Hosted, как оказалось, нужен далеко не всем.
- Расширение для браузеров, помогающее быстрее находить и использовать нужный пароль.
- Возможность создания персональных “сейфов” — тогда продукт можно будет использовать не только в качестве корпоративного, но и в качестве персонального “парольника”.
- Интеграция с популярными стандартами авторизации LDAP, SSO и oAuth для еще более удобного использования в больших корпорациях, привыкших к таким стандартам.
- Развитая система импорта и экспорта данных. Она есть и сейчас, но мы хотим добавить ей гибкости.
Присоединяйтесь
Если ваша компания задумывается о внедрении менеджера паролей или, в свете последних событий, вы планируете мигрировать с одного из зарубежных аналогов, — обратите на нас внимание. Возможно, наш продукт — именно то, что вы искали.
Для небольших команд (до 5 пользователей) продукт бесплатен и останется таким навсегда.
Мы надеемся, что более взрослые компании захотят “поддержать нас рублём”, для этого мы постарались установить максимально щадящие цены, сопоставимые по своему размеру с “донатами”: от 78 рублей за пользователя в месяц. Это даже меньше утренней чашки кофе, с которой любят сравнивать свои тарифы хипстерские стартапы :-)
Сообщество пользователей постепенно растёт и, если вы уже пользуетесь нашим продуктом, мы будем рады видеть вас в нашем Телеграм-чате — присоединяйтесь и расскажите, каких функций в продукте вам не хватает?
Мы, создатели BearPass, уверены, что вместе с вами мы можем сделать парольный менеджер, родом из России, который сможет превзойти своих именитых коллег!
P.S. Благодарим издание VC.ru за предоставление нам “Трибуны” и возможность рассказать о проекте.
Не понял чем плох бесплатный кипас? Создаешь файлик костямба_ведущий_разраб.kbdx и даешь ему пароль от него. Внутри пароли от его проектов. Мастер пас меняешь раз в неделю.
Если Костямба больше не ведущий разработчик, а "слыш, чтоб я тебя больше в офисе не видел" - меняешь все пароли на проекте, удаляешь с облака файл с паролями.
Основная проблема в том, что если пароли изменились нужно этот файлик с базой паролей всем сотрудникам пересоздать и отправить. Если сотрудников пять - это одна история, а если их 30-100 и каждого свои доступы, ну такое.
Либо под каждый проект создавать и также рассылать.
А чтобы выдать новый пароль нужно собирать новый файлик, отправлять. И скорее всего это приведет к тому, что все будут лениться и будут кидаться в друг друга всей базой паролей.
В общем это сильно зависит от компании: если много проектов, много сотрудников и много паролей - централизованное хранилище будет выигрывать в удобстве.
Тем, что когда тебе надо пошарить пароль начинается секс. А если доступ шарится между несколькими людьми то и трэшак
Тем что он бесплатный и не Российский
Как насчет синхронизации между компом и телефоном?
О! классно!
Как раз искал что-то похожее, а тут статья ;)
Удачи с развитием продукта!
Был бы продукт, а статья найдется
Спасибо. Это мы удачно вовремя на глаза попались )) Рады будем видеть в числе первых пользователей.
О, нет… как-то уже давно нет доверия к продуктам сделаным в РФ, чтобы потом мои пароли не улетели к кому-то ещё…
По прежнему лучшим решением на рынке считаю 1Password, которые открыто заявляют, что за безопасность нужно платить.
Одна загвоздка. Они теперь не любят россию и не хотят денег от россиян. А бесплатно они не работают.
А 1Password, c закрытым исходным кодом, который запретил self-hosted и хранит все в своих облаках вас не сильно смущает, да? Раз пару долларов заплатили, можно и не париться?
Привет ! Ребятам из Сколково ! Молодцы ! Любое решение - это движение, а без него смерть . Успехов в проекте !
Спасибо. Будем стараться не уронить честь Школы :-)
Ну и зря ))
1Password - безусловно один из лидеров рынка. Но он, как раз хранит ваши данные (да, в зашифрованном виде, но все-таки) на собственных серверах. Наше решение позволяет вам хранить данные на собственном сервере, так что и утечь они, если и могут, то только с вашего сервера, а не с чужих серверов.
Странно и недоверие к российским разработчикам. Тот же 1Password, если уж на то пошло — тоже далеко не святые и в начале своего пути наделали кучу ошибок. Пруф: https://xakep.ru/2015/10/19/1password-leaks-metadata/
Ни в коем случае не хочу отговаривать от 1Password. Сервис - один из лидеров отрасли. Но в свете последних событий доступность его для российских пользователей ощутимо снизилась. Пруф №2: https://vc.ru/services/379381-menedzher-paroley-1password-propal-iz-rossiyskogo-app-store
Всем привет!
Ну менеджеры паролей из России есть, пусть и не такие популярные как lastpass, 1password и bitwarden, но вероятно даже в топ10, ну либо в топ20 мира кто-то из них входит. Другой вопрос, что насколько помню продукт о котором пишу, он вроде на физиков, а не юриков расчитан.
Впрочем я бы эту темы делал даже приоритетнее юриков т.к. физиков больше и с ценой рублей в 500 в год много кто мог бы начать пользоваться простым продуктом. Лично мне например не удалось пересадить родителей с условно одинаковых паролей на парольный менеджер, будь-то ласт пасс или битварден. Но тут соостветственно нужны плагины для браузеров, мобильные версии с подстановкой оверлеем и конечно облако, которому все будут доверять (всем физикам пофигу, главное сказать, что безопасно).
ps: сам пользую облачным бесплатным битварденом, подкупает открытый код. Кстати у него есть сторонний открытый сервер, тоже можно на гитхабе найти.
Больше-больше наших продуктов, надо делать что умеем, рынок позволяет. Ниша хорошая, уже правда попадался ещё какой-то новый продукт на бизнес пользователей расчитанный.
Спасибо. Да, персональный сегмент действительно гораздо перспективнее и мы надеемся в него прийти рано или поздно.
Просто с корпоративным так получилось, что у нас ко времени был готов продукт, и оставалось только предъявить его рынку.
А для того, чтобы это стало востребованным у физиков, Вы правы - нам еще многое предстоит доработать.
А планируете расширяться в сторону только корпоративного сегмента? Будет ли что то однопользовательское на этой базе? Мобильное приложение, например, для хранения персональных паролей).
Ох. Один из самых популярных запросов за последние дни. Спасибо.
Мобильное приложение точно придется делать. Сейчас у нас есть PWA-решение для смартфонов, которое вполне себе приемлемо работает. Но, конечно же, нужно полноценное решение и оно будет, если мы увидим, что "попали в рынок" и люди пользуются нашим продуктом.
Что касается персональной версии - думаю, что со временем и до неё сумеем добраться. Но перед этим хотелось бы уверенно стать одним из самых популярных парольников хотя бы в корпоративном сегменте. Пока кажется, что пытаясь обслужить сразу два таких разных сегмента можно порваться :-)
Уже много лет используем пассворк https://passwork.pro/ в компании. Очень похоже на вас, но ребята стартовали давно. У них есть и облачная и коробочная версия. Фаундеры, по крайней мере раньше, были из России. Что сейчас с ними — не ясно.
Из минусов пассворка — это так и неработающее мобильное приложение. В какой-то момент мне показалось, что на него просто забили и решили не делать. Там были какие-то странный решения, типа если включена двухфакторка, то с приложения в аккаунт зайти было нельзя. В итоге надо было выбирать, либо безопасность, либо удобство. Сейчас новое приложение и там тоже нельзя зайти в профиль при 2FA. Это прям ключевая боль, имхо.
Забыл добавить — удачи!
Да, Passwork - классный проект. Если честно - мы им вдохновлялись и это было одно из решений, которое мы рассматривали и для себя, когда выбирали из имеющихся аналогов. Уже и не помню, что там нашему тех.директору не зашло, но Пассворк был близок к идеалу с нашей точки зрения.
У них всё хорошо. Они, в итоге стале финской компанией Passwork Oy, но офис разработки все равно (по крайней мере до недавнего времени) оставался в России. Они полностью отказались от беслпатных тарифов - теперь остались только платные. И стали резидентами Skolkovo.
Но, в целом, кажется - это сейчас действительно один из немногих игроков на этом рынке с российскими корнями хотя бы.
в какой продукт? огурец, помидор, баклажан, тыква, петрушка, арбуз, банан, лук, чеснок или салат?
Это всё овощи и ягоды какие-то ... у нас - программный продукт ))
Что думаете о Passbolt? https://github.com/passbolt/passbolt_api
Привет. Раньше не видели этого проекта. Теперь, благодаря Вам, увидели. Будем изучать. Пока выглядит интересно. Спасибо. Вы какое-то отношение к нему имеете?
Круто! Успехов команде и продукту. Опенсорс уже или потом?
Исходники отдаем уже сейчас. В этом смысле уже опенсорсный проект. Но общедоступного репозитория для всех подряд на сегодняшний день пока нет - в этом смысле потом :-)
Перешел с 1password на Dashlane - очень доволен
Исходный код BearPass доступен для проведения его аудита (взял с сайта).
Так по итогу — где можно провести аудит, где можно посмотреть код? Или только нужным людям показываете по запросу?
Чуть выше ответил на похожий вопрос. Пока показываем по запросу. Давайте спишемся - если у вас предметный интерес, без проблем передадим вам исходники и для аудита и для развертывания и использования в вашей компании. Можно через запрос на лэндинге, можно прямо в чате поддержки с нами связаться (в статье есть ссылка на ТГ-канал) - тоже оперативно отреагируем.
Комментарий недоступен
Среднестатистический пользователь компьютера передает привет тебе, и твоему набору страшных для него слов. Пользователи на Windows тоже шлю тебе приветики, дорогой ♥
наш техдиректор настаивал на том, что такую важную информацию, как пароли, он хочет контролировать полностью
быстрый и непременно созданный на принципах Open Source
Что мы планируем делать дальше? SaaS-версия
Если кто-то не привык придумывать проблемы, а потом решать придуманные только что проблемы:
надежно - https://github.com/bitwarden/server
Для небольших команд (до 5 пользователей) продукт бесплатен и останется таким навсегда.быстро - https://github.com/dani-garcia/vaultwarden
Вау, как щедро, большое спасибо, что вы есть и с вами мы не пропадем.
Все пароли хранятся централизованно и надежно защищены алгоритмами шифрования стандарта AES-256Это все, что нужно знать в плане защиты данных? Ну ок.
Комментарий недоступен
Ну, если настолько абстрактно смотреть, то практически любой проект - это хранилище некоторых сущностей, взаимодействующих друг с другом по описанным правилам ;-)
Но на деле - да, Вы практически правы- это хранилище зашифрованной информации с ограниченным доступом и строгим журналированием событий, а еще - автоматизацией отслеживанием политик (регламентов) безопасности. Проще говоря, кто-то в компании должен следить за тем, чтобы к важным объектам пользователи не задавали пароли вида qwerty, не забывали их регулярно менять, а еще лучше - помогал бы пользователям генерировать взломостойкие пароли.
Можно ли делать эту работу вручную? Да, можно. Эффективно ли это? Нет, не слишком. Поэтому появляется ниша для продуктов класса "менеджмент паролей".
На что перешли с Битрикс24 ?
Целый комбайн из разного рода инструментов используем. Пока для себя идеала так и не нашли до конца. Большую часть процессов закрыли внешними сервисами, никак не интегрированными между собой (есть отдельная CRM-система, отдельная HRM-система, и т.д.). Основной производственный процесс закрывается самописной системой управления + таск-менеджером Redmine. Не идеально, но на нашем размере пока подходит. Хотя начинает и поджимать постепенно и подталкивать в сторону поиска next-level решения. Активно смотрим в сторону ActiveCollab, который у некоторых коллег используется и Планфикс, но пока не решились.
Б24 был неплох. Просто она для нас избыточен был - мы и 10% его функционала не использовали, а некоторых, наоборот, нужных нам функций в нем не было. Скорее поэтому отказались. Так-то продукт замечательный для своих целей и своей ниши.
Как протестировать продукт без телефона? Это же дыра в безопасности!
Не совсем понял, о чем речь. О том, что форма заявки телефон просит?