Где хранить Mdn/TkA51R.b-cjNjY17H и как работать с сотнями других корпоративных паролей

Герои этого материала уже облегчили жизнь себе и компании — и поделились впечатлениями.

Материал подготовлен при поддержке «Пассворк»

На каждом тимлиде или главе департамента в среднем висит порой 100, а то и 200 паролей от разных корпоративных сервисов и аккаунтов. В идеальном мире они надёжны настолько, что на их взлом может уйти до 400 лет — при этом они не повторяются.

Но что для сотрудника безопасности рай, то для любого другого сотрудника — страдания. Держать всё это в голове невозможно, поэтому большинство идёт по самому простому пути: записывает пароли в общедоступный файлик на рабочем столе. Но если сотрудник, у которого хранится общий пароль, например, уходит в отпуск, а его коллегам нужно получить доступ к сайту, возникает хаос. Другой пример: в компанию пришёл новый сотрудник, которому нужно выдать доступ ко всем сервисам, но данные не хранятся в одном месте, поэтому новичок вынужден бегать и расспрашивать коллег.

Этот материал мы подготовили вместе с сервисом «Пассворк», который помогает бизнесу решить все эти проблемы и организовать безопасную работу с корпоративными паролями. Мы поговорили с клиентами сервиса и узнали, как изменилась их работа после интеграции менеджера.

Управлением паролями раньше занималось два человека: они использовали KeePass. Остальные сотрудники хранили пароли в текстовых файлах на рабочих столах, которые пересылали друг другу, если кто-то увольнялся, получал повышение или менял отдел.

Сотрудникам не нужно было возиться с отдельным ПО, а условному сисадмину — разбираться с раздачей прав доступа. Но пароли хранились беспорядочно и могли попасть в чужие руки. В общем, безопасность была на нуле.

Когда сотрудники стали всё чаще перемещаться между отделами, а их число выросло, KeePass использовать с правами доступа стало сложно: одному можно одно, другому — другое, а все данные при этом лежат в общем сейфе. Я стал искать ПО, которое избавило бы нас от этой головной боли (хранение и разграничение доступов), и выбрал «Пассворк». Меня в нём привлекает следующее:

Наш системный администратор развернул ПО на Linux. Пароли импортировали из базы паролей KeePass и личных таблиц сотрудников. Ещё день-два тестировали и изучали функции.

Долго учить сотрудников не пришлось. Назначать отдельного сотрудника для управления паролями тоже не стали: пользователи сами работают с ПО, а один ответственный из ИТ-отдела лишь раздаёт или забирает доступы к сейфам.

Сейфы есть общие, например под финансовый отдел, а есть личные (доступные только одному сотруднику) например под конкретный банк. У айтишников есть доступы ко всем сейфам, у остальных — только к папкам с необходимыми им паролями.

Пароли от корпоративных почт мы в «Пассворк» не храним — для этого мы ещё пять лет назад придумали самописное решение. Но рассматриваем сервис как вариант дополнительного хранилища — в будущем планируем и тут хранить данные.

Несколько лет назад мы все хранили в Excel-таблицах. На удобство не жаловались: этими задачами занимались всего пять человек — четыре системных администратора и один PR-менеджер. Критических беспокойств о безопасности тоже не было, так как файлы хранились на наших рабочих компьютерах, а не в открытом доступе в интернете.

О централизованном решении задумались, когда компания начала расти. О «Пассворк» узнал от своего руководителя, а он — через рекламу на YouTube. Позже вспомнил, что за несколько лет до этого общался с разработчиками сервиса в Архангельске, где они начинали свой бизнес. Тогда и они сами, и их продукт произвели на меня хорошее впечатление, поэтому я пробежался по продуктовым деталям и отзывам в интернете, не увидел более подходящих программ и решил запросить тестовую версию «Пассворк».

Руководителям понравилось, что решение отечественное и не нужно переживать, что завтра оно перестанет работать. Отдельно хвалили возможность разграничить права доступа айтишникам, техподдержке, пиарщикам, тендерному отделу и отделу закупок.

Решение развернули на своих серверах, сразу импортировали туда пароли из таблиц, поставили расширения для Google Chrome и Mozilla Firefox. Пользоваться сервисом никого не учили — он и так простой. Думаю, не будучи айтишником, развернуть продукт во внутренней сети будет сложно, но можно установить облачную версию: она настолько же функциональна, как коробочная, только включает подписку на облако.

Из 600 сотрудников пользуются «Пассворк» около десяти — по стандартной лицензии. Сейфы у нас организованы по отделам и «доменам»: это, например, «аккаунты пользователей», «маркетинг», «операторы», «сервера», «хостинги». Там около 400–500 паролей, каждый день добавляется пара-тройка новых.

У пользователя есть доступ только к тем папкам, которые нужны ему для работы: у пиарщиков — к маркетингу, у айтишников — к серверам, доменам, хостингам. Доступом ко всем паролям владеет только гендиректор. За безопасностью следить несложно: на главной странице сразу видно, кто и с какого IP-адреса открывал базу паролей, а на панели безопасности есть статусы по каждому паролю: какой устарел (система считает устаревшим ту комбинацию, которой полгода и больше), какой слишком простой, какой рискует утечь в интернет или уже скомпрометирован. Таким статусом наделяют пароли, к которым, например, имел доступ уволенный сотрудник.

До «Пассворк» мы пользовались менеджером паролей канадского разработчика — 1Password. Он закрывал наши ключевые потребности, а пользователям нравилось, что сервис сам подставлял пароли при авторизации на разных платформах. Но в конце февраля 2022-го поставщик ушёл из России, поэтому нам пришлось искать новое решение — на этот раз отечественное, чтобы не наступить на те же грабли.

С точки зрения удобства и безопасности «Пассворк» приглянулся больше всего. Сотрудникам понравилось, что сервис, как и предыдущий, позволял подставлять пароли в браузерах через расширение (сотрудники привыкли к этой возможности и использовать менеджер паролей без такой функции не хотели), а для ИТ-отдела преимуществом стала возможность интегрировать решение в нашу внутреннюю сеть и благодаря этому автоматически добавлять в «Пассворк» новых пользователей, определяя их в нужные «папки».

Ещё программа поддерживает технологию сквозной однократной аутентификации SSO: пользователь не должен подтверждать вход каждый раз, когда пытается подставить пароль или открыть его в хранилище, — ему достаточно запомнить одну комбинацию, по которой система будет выдавать все нужные доступы.

С настройкой, правда, пришлось повозиться. На тот момент мы уже протестировали решение на Windows Server и собирались разворачиваться на нём, на всё про всё ушло три часа. Уже собирались купить лицензию — но в это время Microsoft официально объявила, что лицензии в РФ больше не продаются. Поэтому пришлось переезжать — на Linux.

На этот раз на развёртывание потратили уже часа четыре — и ещё столько же на выгрузку старых паролей, добавление забытых и раздачу доступов коллегам.

Интерфейс продукта интуитивно понятный, помню только два незначительных неудобства:

Всего в компании порядка 2000 человек, но только у 40 есть необходимость использовать менеджер паролей — поэтому мы купили пакет из 50 расширенных лицензий.

Каждый сотрудник организует сейфы самостоятельно. Есть возможность разделить папки на подпапки. Только у «владельца» сервиса в компании есть доступ ко всем папкам, у остальных сотрудников — только к собственным. Кто-то вправе только читать данные, а кто-то ещё и редактировать.

За порядком в системе следит ответственный айтишник, но отдельное время для этого он не выделяет: всего лишь помогает с техническими вопросами и выдаёт доступы новым сотрудникам.

«Пассворк» позволяет не только безопасно хранить пароли, но и избавить офис от неудобств, связанных с передачей доступа. Например, если ответственный за какой-то сервис сотрудник заболел, его коллегам не придётся в панике искать к нему пароль — он будет храниться в общей базе. А целым отделам можно будет избавиться от ненадёжных таблиц с данными на рабочих столах.