Работа с паролями — вечная головная боль для компаний любого размера. Сотрудники используют огромное количество сервисов, с которыми часто приходится работать совместно. Нужно где-то безопасно хранить пароли от этих сервисов и как-то делиться ими с коллегами, а когда этот процесс не организован, возникают проблемы.
Для решения этих задач есть корпоративный менеджер паролей Пассворк — о нём расскажем в этой статье. Загляните под кат, чтобы понять, в каких кейсах Пассворк полезен, а в каких — очень полезен. Ну и, разумеется, узнать всё о его многочисленных возможностях.
Самый обычный кейс — сотрудник ушёл в отпуск и предусмотрительно отключил телефон, чтобы его не дёргали по рабочим вопросам. Всё бы ничего, но с собой в отпуск он унёс пароль от очень важного сервиса. В его отсутствие понадобился доступ к этому сервису. Где его взять? Проблема.
Ещё более типичный кейс — сотрудник уволился. Соответственно, все пароли, с которыми он имел дело, хорошо бы сменить. Но вот какие именно «все»? Проблема.
Вот ещё — в компанию приходит новый сотрудник. Ему нужны все доступы от рабочих сервисов. Как их выдать оперативно, чтобы человеку не надо было бегать и опрашивать коллег? Проблема.
Или, например: в компании за все пароли отвечает один сисадмин — у него все доступы. А пароли хранятся так, как ему удобно, — в KeePass или в Google Таблицах, например. Компания растёт, обязанностей (и паролей) у админа всё больше, и тут ему в помощь нанимают коллегу. Как безопасно поделиться паролями? Кинуть ссылку на таблицу? Неудобно и опасно. Выложить базу KeePass в облако? Та же ситуация. Проблема, проблема, проблема…
Пассворк нацелен именно на то, чтобы помогать во всех перечисленных кейсах, а также во многих неперечисленных. Поэтому покончим с лирическим вступлением и заглянем под капот, чтобы понять, как Пассворк работает.
Устройство Пассворк: общий план
Главная вещь, которую должен делать менеджер паролей, — хранить пароли. Весь вопрос в том — как.
Пароли внутри Пассворк организованы в иерархическую структуру. На верхнем уровне находятся так называемые сейфы. Внутри сейфов можно создавать папки. А внутри этих папок — другие папки.
Пароли в этой аналогии соответствуют отдельным файлам. Они могут находиться как внутри папок, так и непосредственно в сейфах (в корне диска). Папки и сейфы позволяют содержать пароли организованно, структурированно, а не сваливать их в одну кучу. Однако это не самая важная их функция.
Сейфы и папки позволяют гибко управлять доступом к паролям. Каждому пользователю, индивидуально или с помощью ролей, выдаётся доступ к определённым паролям. Можно дать ему доступ к целым сейфам, к отдельным папкам внутри них или только к индивидуальным паролям.
Кейс сотрудника, ушедшего в отпуск, Пассворк решает тривиально. Пароль хранится в системе, и администратор при необходимости может выдать доступ к нему коллегам отпускника. Или этот доступ будет у них сразу, если их должностные обязанности предполагают работу с данным сервисом.
Для быстрого доступа к паролям есть разделы «Недавние пароли» и «Избранные пароли». А «Входящие» — это пароли, которыми поделились другие пользователи.
Кроме того, Пассворк по умолчанию позволяет создавать личные сейфы. Доступ к ним имеет только сам пользователь. Однако если он станет хранить там рабочие пароли, «проблема отпускника» может возникнуть вновь, поэтому опцию личных сейфов можно глобально отключить.
Пароль — это вам не строка
Сущность пароля в Пассворк заслуживает отдельного рассмотрения. Это не просто переменная типа string с управляемым доступом, это сложная структура с различными данными и метаданными.
Вместе с паролем логично хранить логин, а также URL сервиса, для которого он предназначен. Кроме того, к паролю можно прикрепить секретный ключ TOTP для двухфакторной идентификации, а также небольшой объём произвольных файлов. Например, закрытый ключ RSA.
Кстати, стоит отдельно упомянуть встроенный генератор паролей. Его гибкие и, что немаловажно, сохраняемые настройки позволяют автоматически создавать пароль, подходящий под любые разумные критерии.
Что касается метаданных — паролю можно дать имя, присвоить цвет и набор тегов. Всё это не только для красоты и визуального удобства: по имени можно производить поиск, а цвет и теги указывать в качестве фильтров. Также к паролю можно прикрепить заметку, например: «Сайт глючный, вход только со второго раза».
Пассворк хранит все предыдущие редакции пароля и логирует все обращения к нему. К примеру, если злонамеренный сотрудник решит набедокурить и заменит пароль на «hahaha losers», нетрудно будет восстановить прошлую версию, а также выяснить, кто это сделал.
Что интересного можно сделать с паролем, кроме как создать или изменить? Конечно же, поделиться им. Права доступа, заданные администратором, — это хорошо. Но каждый раз дёргать администратора, чтобы дать кому-то пароль, контрпродуктивно.
В Пассворк есть две опции «дележа» паролей. Можно отправить пароль другому пользователю Пассворк, пароль появится у него во «Входящих». При этом доступ можно выдать как с возможностью редактирования, так и в read-only. Список тех, кому был отправлен пароль, сохраняется, его могут посмотреть пользователи или администратор.
Вторая опция — поделиться паролем с кем-то, кто не пользуется Пассворк. Для этого формируется специальная ссылка. Можно настроить, сколько эта ссылка проживёт и сколько раз ей можно будет воспользоваться. Все созданные ссылки на пароль тоже сохраняются в системе.
Пользователи и роли
Пользователи бывают трёх категорий. Обычный пользователь (сотрудник) может работать с паролями, и на этом его полномочия заканчиваются. Администратор может управлять правами доступа, присваивать роли, создавать и приглашать новых пользователей — в общем, обладает почти безграничной властью. Выше него владелец, который может всё.
Концепция ролей знакома каждому, кто имел дело с мало-мальски сложными многопользовательскими приложениями. Вместо того чтобы настраивать доступы каждому пользователю индивидуально, можно создать готовые шаблоны — роли, а затем присваивать их пользователям.
Пользователю можно присвоить несколько ролей. При этом будет использоваться наивысший уровень доступа.
Интересная фича Пассворк — роль можно временно «выключить», приостановив соответствующие доступы одним кликом. И так же в один клик её можно активировать вновь.
Администратор может создавать пользователей вручную, но во многих случаях проще делегировать эту задачу самим пользователям. Для регистрации юзеру достаточно перейти по пригласительной ссылке, ввести код — и готово.
Админ может даже сгенерировать несколько разных инвайт-кодов: каждый под собственный набор ролей. Введя код, пользователь автоматически получит эти роли.
Кроме того, в расширенной лицензии можно настроить автоматическую синхронизацию групп пользователей из LDAP/AD с ролями в Пассворк.
Юзабилити
Вбивать случайно сгенерированные секьюрные пароли вручную — удовольствие очень на любителя. К счастью, у Пассворк на этот случай есть расширения для всех основных браузеров.
Есть и мобильные приложения под Android и iOS.
Наконец, в Пассворк доступна аутентификация через SSO.
Если для вашей организации важен подход «one ring to rule them all» — Пассворк хорошо в него интегрируется.
Продвинутое администрирование
Помимо настройки доступов, пользователей и ролей, администраторам доступны и другие интересные опции. Например, интеграция с AD/LDAP. Про импорт пользователей в расширенной лицензии уже говорилось выше. Но даже стандартная лицензия позволяет использовать LDAP для авторизации.
Обязательная двухфакторная авторизация, возможность создавать корпоративные и личные сейфы и многое другое — всё это настраивается на двух уровнях. Есть настройки по умолчанию и кастомные настройки для пользователей и ролей, берущие приоритет над дефолтными. Например, можно сделать обязательной двухфакторную авторизацию для всех, но отключить её для отдела, не имеющего доступа к действительно важным паролям. Или вы сможете установить разные языки интерфейса и запретить создание сейфов для отдельных пользователей и ролей.
Конечно, самое важное в пароле — его безопасность. Ей в Пассворк посвящена целая отдельная панель. На ней можно централизованно анализировать все пароли организации на возможные риски.
Например, панель отслеживает, к каким паролям отдельные сотрудники официально лишились доступа. Если кто-то, кто не должен знать пароль, знает его, это уже риск. И панель сразу о нём сообщает, чтобы пароль можно было оперативно сменить.
Помните кейс про уволенного сотрудника? Как только у него отберут доступ, пароли, которые он до этого видел, будут автоматически помечены как небезопасные.
Помимо истории изменений отдельного пароля, администратор может также посмотреть общий лог активности. Необязательно смотреть его глазами в веб-интерфейсе: можно настроить, чтобы вся информация автоматически отправлялась в syslog или Window Event Logger для интеграции с SIEM.
Наконец, куда без импорта и экспорта данных.
Совсем продвинутое администрирование
У Пассворк есть возможности, которые пригодятся не всем, но на всякий случай знать про них полезно.
Одна из них — режим работы Zero Knowledge. В этом режиме все пароли шифруются end-to-end. Даже если злоумышленник получит полный доступ к базе данных — он не сможет её расшифровать без пользовательских мастер-паролей. В этот режим и обратно нельзя переключаться динамически, нужно выбрать его сразу при развёртывании инстанса. Так что о режиме собственной безопасности стоит задуматься заранее.
В плане шифрования Пассворк поддерживает как международный AES, так и отечественный ГОСТ. Кроме того он входит в Единый реестр отечественного ПО, то есть подходит для госкомпаний.
Пассворк распространяется как в виде готового Docker-контейнера, так и в виде дистрибутива для Linux и Windows Server. Выбирайте вариант, который гармоничнее сочетается с вашим IT-ландшафтом.
Если не хочется, чтобы менеджер паролей внезапно отвалился из-за, например, технической неисправности сервера, для повышенной надёжности можно настроить отказоустойчивый кластер. Аналогично настраивается репликация БД.
С Пассворк можно работать через API, — это не особенно нужно обычному пользователю, зато полезно для автоматизации и Continuous Integration. API поддерживает все CRUD-операции с паролями. Разумеется, в пределах прав пользователя, чей токен используется для авторизации. Также есть небольшая JS-библиотека для упрощения работы с API.
А исходный код Пассворк распространяется вместе с дистрибутивом. Ваша организация может провести независимый аудит и убедиться в отсутствии уязвимостей.
И напоследок не техническая, но всё равно приятная фича: на Пассворк действуют специальные сниженные расценки при установке в несколько филиалов одной компании.
Заключение
После такого всестороннего обзора решение кажется универсальным. Ещё подробнее познакомиться с решением можно, попробовав бесплатную демоверсию на сайте Пассворк. Есть ли у вашей компании проблемы, с которыми Пассворк мог бы помочь? А может быть, есть и такие проблемы, для которых функционала Пассворк недостаточно? Хотите ли вы услышать больше о каких-то возможностях, только кратко упомянутых в статье? Делитесь своими мнениями и задавайте вопросы в комментариях.
Работа с паролями — вечная головная боль для компаний любого размера. Сотрудники используют огромное количество сервисов, с которыми часто приходится работать совместно. Нужно где-то безопасно хранить пароли от этих сервисов и как-то делиться ими с коллегами, а когда этот процесс не организован, возникают проблемы.
Для решения этих задач есть корпоративный менеджер паролей Пассворк — о нём расскажем в этой статье. Загляните под кат, чтобы понять, в каких кейсах Пассворк полезен, а в каких — очень полезен. Ну и, разумеется, узнать всё о его многочисленных возможностях.
Самый обычный кейс — сотрудник ушёл в отпуск и предусмотрительно отключил телефон, чтобы его не дёргали по рабочим вопросам. Всё бы ничего, но с собой в отпуск он унёс пароль от очень важного сервиса. В его отсутствие понадобился доступ к этому сервису. Где его взять? Проблема.
Ещё более типичный кейс — сотрудник уволился. Соответственно, все пароли, с которыми он имел дело, хорошо бы сменить. Но вот какие именно «все»? Проблема.
Вот ещё — в компанию приходит новый сотрудник. Ему нужны все доступы от рабочих сервисов. Как их выдать оперативно, чтобы человеку не надо было бегать и опрашивать коллег? Проблема.
Или, например: в компании за все пароли отвечает один сисадмин — у него все доступы. А пароли хранятся так, как ему удобно, — в KeePass или в Google Таблицах, например. Компания растёт, обязанностей (и паролей) у админа всё больше, и тут ему в помощь нанимают коллегу. Как безопасно поделиться паролями? Кинуть ссылку на таблицу? Неудобно и опасно. Выложить базу KeePass в облако? Та же ситуация. Проблема, проблема, проблема…
Пассворк нацелен именно на то, чтобы помогать во всех перечисленных кейсах, а также во многих неперечисленных. Поэтому покончим с лирическим вступлением и заглянем под капот, чтобы понять, как Пассворк работает.
Устройство Пассворк: общий план
Главная вещь, которую должен делать менеджер паролей, — хранить пароли. Весь вопрос в том — как.
Пароли внутри Пассворк организованы в иерархическую структуру. На верхнем уровне находятся так называемые сейфы. Внутри сейфов можно создавать папки. А внутри этих папок — другие папки.
Пароли в этой аналогии соответствуют отдельным файлам. Они могут находиться как внутри папок, так и непосредственно в сейфах (в корне диска). Папки и сейфы позволяют содержать пароли организованно, структурированно, а не сваливать их в одну кучу. Однако это не самая важная их функция.
Сейфы и папки позволяют гибко управлять доступом к паролям. Каждому пользователю, индивидуально или с помощью ролей, выдаётся доступ к определённым паролям. Можно дать ему доступ к целым сейфам, к отдельным папкам внутри них или только к индивидуальным паролям.
Кейс сотрудника, ушедшего в отпуск, Пассворк решает тривиально. Пароль хранится в системе, и администратор при необходимости может выдать доступ к нему коллегам отпускника. Или этот доступ будет у них сразу, если их должностные обязанности предполагают работу с данным сервисом.
Для быстрого доступа к паролям есть разделы «Недавние пароли» и «Избранные пароли». А «Входящие» — это пароли, которыми поделились другие пользователи.
Кроме того, Пассворк по умолчанию позволяет создавать личные сейфы. Доступ к ним имеет только сам пользователь. Однако если он станет хранить там рабочие пароли, «проблема отпускника» может возникнуть вновь, поэтому опцию личных сейфов можно глобально отключить.
Пароль — это вам не строка
Сущность пароля в Пассворк заслуживает отдельного рассмотрения. Это не просто переменная типа string с управляемым доступом, это сложная структура с различными данными и метаданными.
Вместе с паролем логично хранить логин, а также URL сервиса, для которого он предназначен. Кроме того, к паролю можно прикрепить секретный ключ TOTP для двухфакторной идентификации, а также небольшой объём произвольных файлов. Например, закрытый ключ RSA.
Кстати, стоит отдельно упомянуть встроенный генератор паролей. Его гибкие и, что немаловажно, сохраняемые настройки позволяют автоматически создавать пароль, подходящий под любые разумные критерии.
Что касается метаданных — паролю можно дать имя, присвоить цвет и набор тегов. Всё это не только для красоты и визуального удобства: по имени можно производить поиск, а цвет и теги указывать в качестве фильтров. Также к паролю можно прикрепить заметку, например: «Сайт глючный, вход только со второго раза».
Пассворк хранит все предыдущие редакции пароля и логирует все обращения к нему. К примеру, если злонамеренный сотрудник решит набедокурить и заменит пароль на «hahaha losers», нетрудно будет восстановить прошлую версию, а также выяснить, кто это сделал.
Что интересного можно сделать с паролем, кроме как создать или изменить? Конечно же, поделиться им. Права доступа, заданные администратором, — это хорошо. Но каждый раз дёргать администратора, чтобы дать кому-то пароль, контрпродуктивно.
В Пассворк есть две опции «дележа» паролей. Можно отправить пароль другому пользователю Пассворк, пароль появится у него во «Входящих». При этом доступ можно выдать как с возможностью редактирования, так и в read-only. Список тех, кому был отправлен пароль, сохраняется, его могут посмотреть пользователи или администратор.
Вторая опция — поделиться паролем с кем-то, кто не пользуется Пассворк. Для этого формируется специальная ссылка. Можно настроить, сколько эта ссылка проживёт и сколько раз ей можно будет воспользоваться. Все созданные ссылки на пароль тоже сохраняются в системе.
Пользователи и роли
Пользователи бывают трёх категорий. Обычный пользователь (сотрудник) может работать с паролями, и на этом его полномочия заканчиваются. Администратор может управлять правами доступа, присваивать роли, создавать и приглашать новых пользователей — в общем, обладает почти безграничной властью. Выше него владелец, который может всё.
Концепция ролей знакома каждому, кто имел дело с мало-мальски сложными многопользовательскими приложениями. Вместо того чтобы настраивать доступы каждому пользователю индивидуально, можно создать готовые шаблоны — роли, а затем присваивать их пользователям.
Пользователю можно присвоить несколько ролей. При этом будет использоваться наивысший уровень доступа.
Интересная фича Пассворк — роль можно временно «выключить», приостановив соответствующие доступы одним кликом. И так же в один клик её можно активировать вновь.
Администратор может создавать пользователей вручную, но во многих случаях проще делегировать эту задачу самим пользователям. Для регистрации юзеру достаточно перейти по пригласительной ссылке, ввести код — и готово.
Админ может даже сгенерировать несколько разных инвайт-кодов: каждый под собственный набор ролей. Введя код, пользователь автоматически получит эти роли.
Кроме того, в расширенной лицензии можно настроить автоматическую синхронизацию групп пользователей из LDAP/AD с ролями в Пассворк.
Юзабилити
Вбивать случайно сгенерированные секьюрные пароли вручную — удовольствие очень на любителя. К счастью, у Пассворк на этот случай есть расширения для всех основных браузеров.
Есть и мобильные приложения под Android и iOS.
Наконец, в Пассворк доступна аутентификация через SSO.
Если для вашей организации важен подход «one ring to rule them all» — Пассворк хорошо в него интегрируется.
Продвинутое администрирование
Помимо настройки доступов, пользователей и ролей, администраторам доступны и другие интересные опции. Например, интеграция с AD/LDAP. Про импорт пользователей в расширенной лицензии уже говорилось выше. Но даже стандартная лицензия позволяет использовать LDAP для авторизации.
Обязательная двухфакторная авторизация, возможность создавать корпоративные и личные сейфы и многое другое — всё это настраивается на двух уровнях. Есть настройки по умолчанию и кастомные настройки для пользователей и ролей, берущие приоритет над дефолтными. Например, можно сделать обязательной двухфакторную авторизацию для всех, но отключить её для отдела, не имеющего доступа к действительно важным паролям. Или вы сможете установить разные языки интерфейса и запретить создание сейфов для отдельных пользователей и ролей.
Конечно, самое важное в пароле — его безопасность. Ей в Пассворк посвящена целая отдельная панель. На ней можно централизованно анализировать все пароли организации на возможные риски.
Например, панель отслеживает, к каким паролям отдельные сотрудники официально лишились доступа. Если кто-то, кто не должен знать пароль, знает его, это уже риск. И панель сразу о нём сообщает, чтобы пароль можно было оперативно сменить.
Помните кейс про уволенного сотрудника? Как только у него отберут доступ, пароли, которые он до этого видел, будут автоматически помечены как небезопасные.
Помимо истории изменений отдельного пароля, администратор может также посмотреть общий лог активности. Необязательно смотреть его глазами в веб-интерфейсе: можно настроить, чтобы вся информация автоматически отправлялась в syslog или Window Event Logger для интеграции с SIEM.
Наконец, куда без импорта и экспорта данных.
Совсем продвинутое администрирование
У Пассворк есть возможности, которые пригодятся не всем, но на всякий случай знать про них полезно.
Одна из них — режим работы Zero Knowledge. В этом режиме все пароли шифруются end-to-end. Даже если злоумышленник получит полный доступ к базе данных — он не сможет её расшифровать без пользовательских мастер-паролей. В этот режим и обратно нельзя переключаться динамически, нужно выбрать его сразу при развёртывании инстанса. Так что о режиме собственной безопасности стоит задуматься заранее.
В плане шифрования Пассворк поддерживает как международный AES, так и отечественный ГОСТ. Кроме того он входит в Единый реестр отечественного ПО, то есть подходит для госкомпаний.
Пассворк распространяется как в виде готового Docker-контейнера, так и в виде дистрибутива для Linux и Windows Server. Выбирайте вариант, который гармоничнее сочетается с вашим IT-ландшафтом.
Если не хочется, чтобы менеджер паролей внезапно отвалился из-за, например, технической неисправности сервера, для повышенной надёжности можно настроить отказоустойчивый кластер. Аналогично настраивается репликация БД.
С Пассворк можно работать через API, — это не особенно нужно обычному пользователю, зато полезно для автоматизации и Continuous Integration. API поддерживает все CRUD-операции с паролями. Разумеется, в пределах прав пользователя, чей токен используется для авторизации. Также есть небольшая JS-библиотека для упрощения работы с API.
А исходный код Пассворк распространяется вместе с дистрибутивом. Ваша организация может провести независимый аудит и убедиться в отсутствии уязвимостей.
И напоследок не техническая, но всё равно приятная фича: на Пассворк действуют специальные сниженные расценки при установке в несколько филиалов одной компании.
Заключение
После такого всестороннего обзора решение кажется универсальным. Ещё подробнее познакомиться с решением можно, попробовав бесплатную демоверсию на сайте Пассворк. Есть ли у вашей компании проблемы, с которыми Пассворк мог бы помочь? А может быть, есть и такие проблемы, для которых функционала Пассворк недостаточно? Хотите ли вы услышать больше о каких-то возможностях, только кратко упомянутых в статье? Делитесь своими мнениями и задавайте вопросы в комментариях.
Комментарии (30)
propell-ant
00.00.0000 00:00А отпечаток пальца можно использовать в качестве второго фактора в 2FA?
Vivaldi23
00.00.0000 00:00Надо прикрутить Webauthn - и хоть отпечаток, хоть Windows hello, хоть FIDO-ключ.
KorP
00.00.0000 00:00+1Была бы ещё однопользовательская лицензия тысячи за 2, для энтузиастов :)
marinichev
00.00.0000 00:00+3Vaultwarden - open source. Разворачивается спокойно в докере. Web интерфейс, аддоны для браузеров, мобильное приложение, автозаполнение.
Tarnella
00.00.0000 00:00Пассворк штука хорошая но страдает общим для всех менеджером паролей концептуальным недостатком: обособленность. Для администрирования как правило в каком-то виде существует база данных IT-инфраструктуры предприятия. Если это набор файлов в виде электронных таблиц, схем и текстовых описаний, проблем нет (кроме проблемы поддерживать эту разрозненную базу в актуальном состоянии в ручном режиме), одним хранилищем больше, одним меньше. А если это централизованная база на какой-то платформе, то включение в процесс пассворка, дублирование структуры удвоит работы по администрированию. Целесообразнее интегрировать менеджер паролей в единую базу, а пассворк, насколько мне известно, такого не умеет.
nikitron2021
00.00.0000 00:00не храни в одном месте, его взломают обязательно
Vivaldi23
00.00.0000 00:00Если данные при хранении зашифрованы AES-256, а учетки под стойкой к фишингу 2фа через физические ключи, то нужно иметь уж очень высокую ценность БД, чтобы оправдать затраты на подобную атаку.
jahma48
00.00.0000 00:00Заметил, что функция автозаполнения в пассворке работает странно.
В некоторых формах заполняется и логин и пароль, в некоторых только пароль, в некоторых -- ни то, ни другое. Подозреваю, конечно, что проблема в написании самих этих форм, но 1password с этими же формами справлялся.
По этим формам обращался в поддержку, сказали что приняли, будут работать.
Если что, это были банк клиенты для бизнеса ГПБ ДБО, Райфа и Открытия.Еще у меня есть один ресурс, где если passwork сам заполняет логин и пароль и нажимает свой виртуальный Enter -- я получаю пустую страницу и никуда не авторизовываюсь, в то время, как если я туда ручками скопирую логин и пароль из passwork и сам нажму "Войти" -- все сработает.
Это на servicedesk.softlinegroup.com, ну так, для сведения
p07a1330
00.00.0000 00:00Еще у меня есть один ресурс, где если passwork сам заполняет логин и пароль и нажимает свой виртуальный Enter -- я получаю пустую страницу и никуда не авторизовываюсь, в то время, как если я туда ручками скопирую логин и пароль из passwork и сам нажму "Войти" -- все сработает.
Вероятнее всего на той странице переопределн клик на кнопку как button, а не как submit
Сталкивался с таким когда делал controlled формы
intet
00.00.0000 00:00Как решается проблема, что полностью легла сеть? И серверы/ПК остались изолированы. Пароли остануться в изолированных серверах и починить сеть можно будет только если скопировать пароли куда нибудь?
arshanskiyav
00.00.0000 00:00Открыть на телефоне?
Я с keepass именно так делаю и перебиваю пароль ручками
maslyaev
00.00.0000 00:00+6ИМХО, менеджер паролей может быть только оупенсорсным. Без вариантов.
OneManStudio
00.00.0000 00:00Имхо, все зависит от задачи. Большинство паролей никому не нужны и не имеют никакой ценности или доступа, хотя бы потому что нет доступа к ресурсам к которым эти логины и пароли предназначены.
В вашем же случае все находится в крайности что если есть пароль, то он может быть только от квартиры где деньги лежат и все знают где она находится и могут туда теперь свободно попасть, а это далеко не всегда так.
Если вам этот кейс не подходит, имхо проходите мимо. Если боитесь за утечку - запросите сертификацию фстэк на соответствие НДВ. Будет спрос - будет и предложение.
johnfound
00.00.0000 00:00+2Большинство паролей никому не нужны и не имеют никакой ценности или доступа, хотя бы потому что нет доступа к ресурсам к которым эти логины и пароли предназначены.
Но тогда и пароль не нужен. Зачем усложнять систему и поддержку системы???
Lopar
00.00.0000 00:00+1Верное утверждение. Всякий веб и крупные игроки уже отходят от этого стандарта в пользу внешних или одноразовых аутентификаторов.
OneManStudio
00.00.0000 00:00Вместе с паролем логично хранить логин, а также URL сервиса, для которого он предназначен.
Серьезно? Может все таки отображать, а не хранить в одном месте? Вроде же давно придумали соль и прочие радости.
johnfound
00.00.0000 00:00+1Вообще-то если знают двое, знает и свинья. Пароль из-за своей сути должен быть известным только одному. Или утечка произойдет рано или поздно. Если нужно предоставить доступ более одному человеку, то каждый должен иметь свой пароль.
Abyss777
00.00.0000 00:00Расскажите это парням из Mikrotik например, где на SwOS есть только один пользователь и ему можно задать только один пароль. Куча всяких железяк, на которых нет пользователей (или он один - admin), а просто пароль.
А если тому единственному знающему эти пароли "снег башка попадёт" ?johnfound
00.00.0000 00:00Я вполне понимаю, что раз есть такая практика, то есть и причины. Но это никак не делает эту практику правильной. Я не знаю как исправить конкретно Mikrotik, но убежден, что это возможно.
Lopar
00.00.0000 00:00«Парни из Микротика» как и другие вендоры это предусмотрели и завезли нормальных пользователей в небюджетные модели. Боитесь всё потерять на ключевом устройстве? Возьмите для ключевого места устройство классом повыше.
Getofffrommonkey
00.00.0000 00:00Можете немного подробней про микротик, потому что насколько я помню, там есть и возможность создавать создавать пользователей, создавать группы пользователей с разными правами, авторизовывать пользователя по ssh ключу или использовать radius сервер для авторизации
Abyss777
00.00.0000 00:00В RouterOS всё это есть, но есть несколько моделей свитчей на которых стоит очень облегченная SwOS - там нет.
intentionbo
00.00.0000 00:00абсолютно верно. для каждого пользователя свой аккаунт
так же в статье указаны странные, можно сказать надуманные кейсы. каждый админ обязан отправлять доступы вышестоящему начальнику, проектному менеджеру или тимлиду. не должно быть такого, чтобы пароль знал только один админ. статья выглядит как заказная, чисто ради рекламы пассворка
и вообще, доверять хранение паролей черному ящику от кого-то не очень верное решение. админ должен сам придумать решение, которое будет проще, надёжнее и удобнее. а то смахивает на "ключик положите под коврик"
helby255
00.00.0000 00:00+2Есть еще хороший вариант: vaultwarden (opensource). Делегирование доступа к паролям, личные хранилища, генератор паролей, дополнительные поля. Для меня есть, все что необходимо.
densan
00.00.0000 00:00Некоторыми возможностями сабжа обладает бесплатная версия passbolt.
На работе, иногда появляется инициатива перейти на коммерческие продукты, но получив ценник за 2К пользователей инициатива пропадает.
Время от времени, команда passbolt из коммерческой версии в бесплатную переносят часть функционала.
chemtech
Где ссылка на сайт?