Стек технологий безопасности для рабочих мест будет неполным без программ управления паролями для сотрудников. Почему?

Потому что одной из самых частых причин взлома учетных записей являются слабые и скомпрометированные пароли. А с учетом того, что все больше сотрудников работают удаленно, адекватные методы парольного менеджмента становятся еще более важными.

Ниже собрал список доступных для российских компаний вариантов менеджеров паролей (если что, дополняйте в комментариях) и попробовал сравнить их.

Что такое менеджер паролей?

Начну с небольшого ликбеза для неайтишников — это софт, предназначенный для создания, хранения и управления паролями или другой личной информацией, такой как конфиденциальные документы, в одном безопасном месте — зашифрованной базе данных, защищенной мастер-паролем.

Главное преимущество заключается в том, что нужно запомнить только один главный пароль, а не все данные для входа на ресурсы. Это означает, что команда может просто подключиться ко всем своим аккаунтам с помощью функций автосохранения и автозаполнения.

Для личного пользования вы могли использовать менеджеры паролей от Apple и Google. Для компаний — суть схожая, но есть дополнительные административные возможности по управлению доступами, распределениями паролей на отделы и пр., а также большая безопасность.

Зачем бизнесу нужен менеджер паролей?

Без «внешних ограничений» сотрудники обычно используют слабые пароли, которые легко запомнить, а, значит, и взломать. Записывают их где попало, часто забывают и спокойно делиться через мессенджеры и почту, тем самым создавая риски безопасности для бизнеса.

Обзор решений

Надежный менеджер паролей может обеспечить создание паролей заданной сложности, их надежное (без бумажек на мониторе и блокнота «мои пароли» на рабочем столе) хранение и удобное управление доступами в рамках компании. В результате снижаются риски успешных кибератак на бизнес, экономятся нервы на вспоминание паролей, а жизнь админов делается чуточку лучше. Теперь давайте рассмотрим актуальные для РФ решения для бизнеса.

Начну с двух зарубежных, которые, как ни странно, до сих пор часто встречаю (хотя их и активно импортозамещают).

1. KeePass

Бесплатное зарубежное решение для хранения паролей. Решение до сих пор распространено в корпоративной среде, но, по сути, это не полноценный менеджер паролей, а локальная база данных с паролями, в которой, для обновления нужно всем пользователям выйти из системы и к которой есть вопросы по сохранности данных.

Сложен в использовании сотрудниками (отсутствует интуитивно понятный дизайн, а некоторые функции проблематично заставить работать), неудобен в администрировании, не позволяет синхронизировать хранилище с другими приложениями и не поддерживает русский язык. Но бесплатен, и это многое оправдывает).

2. HashiCorp Vault

Vault — также не полноценный менеджер паролей, а, по сути, хранилище любых секретных данных, которое поддерживает различные механизмы авторизации и политики доступа, а также интегрируется с основным поставщиком удостоверений или выбранной облачной платформой. Продукт способен управлять секретами для более чем 100 различных систем, включая базы данных, публичные и частные облака, очереди сообщений и конечные точки SSH (про SSH-клиентов у меня, кстати, недавно был большой обзор). Несмотря на то, что продукт разработан американской компанией, он до сих пор распространен в российских корпорациях. Чаще его используют “в том числе для хранения паролей”.

У продукта есть большие возможности настроек, но он сложен в администрировании и есть риски проблем с оплатой и отключения для РФ.

По стоимости: бесплатно до 25 секретов, далее — от $0.50 за секрет.

3. Passwork

Как мне кажется, Пассворк — это первый выпущенный в России корпоративный менеджер паролей.

Есть большие возможности по настройкам, поддержка основных ОС, интеграции (в том числе, с помощью API), классно проработанный интерфейс и собственное мобильное приложение.

Решение существует в двух версиях: «коробочное» (устанавливается на сервер компании, работает без подключения к сети) и «облачное». Доступны расширения для браузеров Google Chrome, Firefox, Microsoft Edge и Safari.

Стоимость стандартной версии на 100 пользователей —  132 000 рублей, но существенная часть функционала доступна только в расширенной версии.

4. ОдинКлюч

Российская разработка с поддержкой ГОСТового шифрования, удобным интерфейсом и работой на ключевых российских и зарубежных операционных системах.

У компании есть лицензии и сертификаты ФСБ и ФСТЭК, а сам продукт позиционируется как сфокусированный на безопасность: выставлен Bug Bounty (публичная проверка от хакеров), хранит зашифрованную базу с паролями отдельно от ключей расшифровки и использует схему разделения секретов Шамира. 

В отличие от некоторых других решений, в архитектуре менеджера паролей не существует “супер-администратора” —  пользователя, который имеет самый высокий уровень доступа и которому видны пароли остальных пользователей. 

Из интересных функций: настройки по отделам, двухфакторная аутентификация как для серверной, так и для облачной версий, возможность восстановления мастер-пароля (снижает зависимость от администратора). Доступны «облачные» и «коробочные» версии, а также варианты в виде расширения для браузеров.

Стоимость продукта за 100 пользователей составляет от 117 000 рублей в год, включая полный функционал, помощь во внедрении и поддержку.

5. TeamDo

Интерфейс Российское решение для хранения паролей, чек-листов и документов. Легкое в установке (исходя из информации на сайте, это занимает не более двух часов) и с понятным интерфейсом.

Стоимость на 1 год составляет 88 900 рублей вне зависимости от количества сотрудников.

В базовой версии не предусмотрены интеграции, а также поддержка SSO и LDAP.

6. BearPass

Отечественный продукт с открытым исходным кодом. Поддерживает ключевые российские операционные системы (по Windows и macOS данных на сайте нет).

Годовая стоимость на 100 пользователей составляет 144 000 рублей. Плюс за дополнительную плату можно получить поддержку во внедрении и обучение. Есть бесплатная версия для команд до пяти человек.

Сравнение менеджеров паролей

У всех описанных решений имеется:

• Установка On-Premise

• Двухфакторная аутентификация (кроме HashiCorp Vault, но там, при должной настойчивости, можно реализовать через интеграцию с внешними системами)  

• Поддержка хранения истории паролей (кроме HashiCorp Vault, но там, при должной настойчивости, можно реализовать через версии секретов) 

• Аудит действий пользователей

По удобству интерфейса — дело вкуса, лучше каждому тестировать. Мне больше понравились Пассворк и ОдинКлюч. 

По стоимости (из Российских решений) — самые выгодные на 100 пользователей оказались TeamDo и ОдинКлюч. Если на 50 пользователей, то — ОдинКлюч.

По вниманию к безопасности впечатлил ОдинКлюч, но другие разработчики, естественно, тоже уделяют этому внимание.

По настройкам и интеграциям — отмечу Пассворк и ОдинКлюч, но тут нужно исходить из ваших задач. У них же, в отличие от других решений, предусмотрено ГОСТовое шифрование. 

Как выбрать лучший менеджер паролей?

Идеального решения не выделю. Вариантов не так много, так что можно, в каждом случае, внимательно сравнить. 

Ключевые критерии: удобство использования и администрирования, достаточный уровень безопасности (от внешних и внутренних угроз), наличие необходимых интеграций, соответствие необходимым стандартам и, естественно, стоимость. 

Какой бы менеджер паролей вы не выбрали для своей организации, уровень кибербезопасности и эффективности будет увеличен, но к выбору лучше отнестись внимательно.