В этой статье попробуем разобраться, как обстоят дела с управлением паролями в компаниях, порассуждаем о том, какими характеристиками должен обладать идеальный корпоративный менеджер паролей и сравним четыре популярных в этой категории продукта.

Безопасность паролей сегодня

Статистика показывает, что ситуация с парольной безопасностью ухудшается с каждым годом. Прогресс не стоит на месте, цифровизация все сильнее пронизывает нашу жизнь и рабочие процессы. Растет как количество точек входа в персональные аккаунты, так и число паролей, которые нужно придумывать — для социальных сетей, почты, мобильных банков, приложений, интернет-магазинов, и многого другого.

Так как запомнить несколько десятков разных паролей, да еще и сложных, практически невозможно, чаще всего пользователи прибегают к одному из двух вариантов:

• используют простые пароли

Каждый год в рейтингах самых популярных паролей побеждают одни и те же банальные варианты: 123456, qwerty, 111111, password, guest, и так далее. Следует ли говорить, что все подобные пароли проверяются хакерской программой в первую же минуту при брутфорсе аккаунта.

• используют сложный пароль, но один на все случаи

Этот вариант, несомненно, лучше использования простых паролей. Но только до той секунды, пока ваш сложный пароль не оказался скомпрометирован. После этого он из защищающего навесного замка сам превратится в отмычку. Если хакер взломает хотя бы один из сервисов, например, почтовый ящик или аккаунт в соцсети — то при отсутствии двухфакторной аутентификации он без проблем сможет завладеть и остальными аккаунтами.

Как обстоят дела у компаний

Все вышесказанное касается частных пользователей. Но ситуация с компаниями обстоит не лучше. Еще в середине 2020 года эксперты «Ростелеком-Солар» (чей корпоративный блог, кстати, один из самых популярных в категории "Безопасность") констатировали, что около 80% российских компаний не соблюдают базовых правил парольной защиты — и практически в каждой тестируемой корпоративной сети тестерам безопасности удалось получить привилегии администратора.

Если сравнивать эти цифры с докладом 2009 (!) года «Анализ проблем парольной защиты в российских компаниях» Дмитрия Евтеева (Positive Technologies), мы увидим, что за последние 10 лет ситуация даже ухудшилась — тогда небезопасными были признаны всего 74% корпоративных паролей.

При этом последствия использования слабых паролей на производстве могут быть гораздо критичнее, чем для частных лиц. Индивид может лишиться своих персональных и платежных данных, что безусловно неприятно. Однако организация рискует не только данными всех своих сотрудников, но и коммерческой тайной, разработками — а в каких-то случаях и более серьезными вещами./.

Корпоративные решения

Существует довольно дорогостоящие, но эффективные IDM-решения (Identity Management). Но что делать, если бюджетов и времени для внедрения таких продуктов нет?

В этом случае оптимальным по соотношению «цена/качество» решением проблемы станет парольный менеджер — программа, хранящая пароли в зашифрованном виде, как в сейфе, откуда их можно достать по требованию.

Для компаний, особенно если численность сотрудников превышает несколько десятков, парольные менеджеры полезны сразу по ряду причин:

• Прозрачность ситуации с доступами к разным сервисам сотрудников из разных подразделений и их разграничение;

• Приведение всех сотрудников к единому высокому знаменателю кибербезопасности;

• Легкий и при этом надежный контроль доступов при найме и увольнении сотрудников;

И, как следствие всего этого:

• Снижение риска утечек данных до минимума.

При этом далеко не всякий парольный менеджер подходит для корпоративного использования. Идеальный кандидат по моему мнению выглядел бы так:

• обладающий коробочным вариантом (on premise, не только облачным решением), чтобы можно было хранить пароли на собственных серверах;

• основанный на Open Source, чтобы его могли анализировать профессионалы и дорабатывать энтузиасты; быстрый, безопасный, надежный.

Про мелочи вроде надежного шифрования стандарта AES-256 даже и говорить не стоит — это сегодня обязательное условие. Плюс специфическое требование времени: из-за известных геополитических событий часть сервисов ушла с российского рынка, или ее стало очень сложно оплачивать. Поэтому решение в идеале должно быть отечественным, а лучше всего — входить в реестр российского ПО.

Итак, кого же выбрать? Мы сравнили четыре возможных кандидата на роль корпоративного менеджера паролей и отметили их сильные стороны.

Passwork

Этот парольный менеджер разрабатывался преимущественно для бизнеса и целей IT, однако он может подойти и для персональных нужд.

Защищенные данные хранятся в виртуальных сейфах-контейнерах, которые могут быть как личными, так и корпоративными. Сейфы второго типа доступны для совместной работы внутри одной организации. Распределением доступов и настройкой их уровней в этом случае занимается администратор.

При этом в архитектуре системы есть одна потенциально небезопасная особенность: пользователю с самым высоким уровнем доступа (супер-администратору) доступны персональные пароли пользователей с более низким статусом в системе.

Passwork существует в двух версиях, «облачной» и «коробочной» — последняя устанавливается на серверы самой компании и работает в полностью автономном режиме даже без подключения к сети. Также доступны варианты парольного менеджера в виде расширения для браузеров Google Chrome, Firefox, Microsoft Edge и Safari.

Сайт продукта: www.passwork.ru

Bitwarden

Один из старейших игроков рынка, Bitwarden — простой в использовании и при этом весьма функциональный парольный менеджер с открытым исходным кодом, который имеет клиенты для всех платформ.

Следует отметить, что у программы не слишком впечатляющее десктопное приложение, однако весьма удобные плагины в браузер и вариант для Android. Помимо собственно паролей Bitwarden позволяет хранить цифры банковских карт, персональную информацию и защищенные заметки. Продукт использует end-to-end шифрование.

Присутствует также функция проверки, был ли конкретный пароль скомпрометирован.

У программы есть бесплатная версия, а также премиум-подписка с расширенными возможностями. Корпоративная версия пароль-менеджера дает возможность безопасно делиться данными, разграничивать уровни доступа и группы пользователей, пользоваться защищенным файловым хранилищем, и содержит другие полезные функции.

Сайт продукта: www.bitwarden.com

Passbolt

Интересный новичок из экзотического Люксембурга Passbolt обладает 100% открытым исходным кодом под AGPL-лицензией. Программа использует асимметричное сквозное шифрование при поддержке OpenPGP. Ключи хранятся на стороне пользователя. Продукт регулярно тестируется профессионалами на предмет безопасности.

Набор функционала здесь стандартный для высококачественных менеджеров паролей: высокоуровневое шифрование, прозрачность, гибкое разграничение прав и уровней доступа. Passbolt предназначен в первую очередь для команд и использования в компаниях и на промышленных предприятиях.

Этот продукт можно использовать на мобильных устройствах и в качестве браузерного расширения, синхронизируя пароли в реальном времени. Полноценная десктоп-версия на текущий момент находится в разработке.

Сайт продукта: www.passbolt.com

BearPass

«Коробочный» open source менеджер паролей, предназначенный специально для корпоративного использования. Акцент делается на безопасность: BearPass устанавливается на внутренние серверы компании. Открытость кода позволяет просмотреть его целиком и при желании доработать.

Все пароли хранятся централизованно и надежно защищены алгоритмами шифрования стандарта AES-256. Система аналитики позволяет отслеживать небезопасные и скомпрометированные пароли, в том числе через мониторинг даркнета — при этом сам пароль никуда не передается в открытом виде. Заглянув в журнал, всегда можно увидеть, кто и когда совершил те или иные действия.

При этом доступа к персональным паролям нет даже у администратора, который распределяет статусы в системе. Сейфы в этом парольном менеджере шифруются мастер-паролем на стороне клиента, и их невозможно взломать, даже если получить полный контроль над сервером.

Присутствует интеграция с популярными у больших корпораций стандартами авторизации LDAP и SSO. Это и неудивительно — без этого современный менеджер паролей для бизнеса уже немыслим.

Интересно, что обновления для этого продукта доступны даже с истекшей лицензией (кроме платных функций, разумеется), что позволяет поддерживать уровень безопасности в любой ситуации.

Еще одной приятной “фишкой” этого парольника является функция “автозаполнения” форм авторизации через расширение для Chrome — это дополнительно защищает от кейлоггеров.

Для небольших команд продукт бесплатен.

Сайт продукта: www.bearpass.ru

Сравнительная таблица

С точки зрения безопасности важнейшей, наверное, является возможность локального развертывания. Если парольный менеджер установлен на внутренних серверах компании, это дает полный контроль, независимый от внешних факторов. Такая процедура более сложна, чем облачная установка, однако результат того стоит.

“Опенсорсность” программы также значима, она позволяет провести аудит исходного кода в любой момент, что обеспечивает прозрачность.

Все четыре рассмотренных варианта по-своему хороши. В условиях нынешних российских реалий наибольшее количество преимуществ у отечественных Passwork и BearPass.

Заключение

В условиях геополитической турбулентности риски кибератак, в том числе фишинговых, возросли многократно, и будут расти еще — поэтому бизнесу необходимо позаботиться о своей безопасности начиная с ее фундамента: защищенных паролей для каждого из сотрудников.

Выбор какого-то конкретного продукта остается целиком и полностью вашим решением. Но какой-то выбрать и использовать — необходимо.