Стек технологий безопасности для рабочих мест будет неполным без программ управления паролями для сотрудников. Почему? Потому что одной из самых частых причин взлома учетных записей являются слабые и скомпрометированные пароли. А с учетом того, что все больше сотрудников работают удаленно, адекватные методы парольного менеджмента становятся еще более важными.
Ниже собрал список доступных для российских компаний вариантов менеджеров паролей (если что, дополняйте в комментариях) и попробовал сравнить их.
Что такое менеджер паролей?
Начну с небольшого ликбеза для неайтишников — это софт, предназначенный для создания, хранения и управления паролями или другой личной информацией, такой как конфиденциальные документы, в одном безопасном месте — зашифрованной базе данных, защищенной мастер-паролем.
Главное преимущество заключается в том, что нужно запомнить только один главный пароль, а не все данные для входа на ресурсы. Это означает, что команда может просто подключиться ко всем своим аккаунтам с помощью функций автосохранения и автозаполнения.
Для личного пользования вы могли использовать менеджеры паролей от Apple и Google. Для компаний — суть схожая, но есть дополнительные административные возможности по управлению доступами, распределениями паролей на отделы и пр., а также большая безопасность.
Зачем бизнесу нужен менеджер паролей?
Без “внешних ограничений” сотрудники обычно используют слабые пароли, которые легко запомнить, а, значит, и взломать. Записывают их где попало, часто забывают и спокойно делиться через месседжеджеры и почту, тем самым создавая риски безопасности для бизнеса.
Обзор решений
Надежный менеджер паролей может обеспечить создание паролей заданной сложности, их надежное (без бумажек на мониторе и блокнота “мои пароли” на рабочем столе) хранение и удобное управление доступами в рамках компании. В результате снижаются риски успешных кибератак на бизнес, экономятся нервы на вспоминание паролей, а жизнь админов делается чуточку лучше. Теперь давайте рассмотрим актуальные для РФ решения для бизнеса.
Начну с двух зарубежных, которые, как ни странно, до сих пор часто встречаю (хотя их и активно импортозамещают).
Бесплатное зарубежное решение для хранения паролей. Решение до сих пор распространено в корпоративной среде, но, по сути, это не полноценный менеджер паролей, а локальная база данных с паролями, в которой, для обновления нужно всем пользователям выйти из системы и к которой есть вопросы по сохранности данных.
Сложен в использовании сотрудниками (отсутствует интуитивно понятный дизайн, а некоторые функции проблематично заставить работать), неудобен в администрировании, не позволяет синхронизировать хранилище с другими приложениями и не поддерживает русский язык. Но бесплатен, и это многое оправдывает).
Vault — также не полноценный менеджер паролей, а, по сути, хранилище любых секретных данных, которое поддерживает различные механизмы авторизации и политики доступа, а также интегрируется с основным поставщиком удостоверений или выбранной облачной платформой. Продукт способен управлять секретами для более чем 100 различных систем, включая базы данных, публичные и частные облака, очереди сообщений и конечные точки SSH (про SSH-клиентов у меня, кстати, недавно был большой обзор). Несмотря на то, что продукт разработан американской компанией, он до сих пор распространен в российских корпорациях. Чаще его используют “в том числе для хранения паролей”.
У продукта есть большие возможности настроек, но он сложен в администрировании и есть риски проблем с оплатой и отключения для РФ.
По стоимости: бесплатно до 25 секретов, далее — от $0.50 за секрет.
Как мне кажется, Пассворк — это первый выпущенный в России корпоративный менеджер паролей.
Есть большие возможности по настройкам, поддержка основных ОС, интеграции (в том числе, с помощью API), классно проработанный интерфейс и собственное мобильное приложение.
Решение существует в двух версиях: «коробочное» (устанавливается на сервер компании, работает без подключения к сети) и «облачное». Доступны расширения для браузеров Google Chrome, Firefox, Microsoft Edge и Safari.
Стоимость стандартной версии на 100 пользователей — 132 000 рублей, но существенная часть функционала доступна только в расширенной версии.
Российская разработка с поддержкой ГОСТового шифрования, удобным интерфейсом и работой на ключевых российских и зарубежных операционных системах.
У компании есть лицензии и сертификаты ФСБ и ФСТЭК, а сам продукт позиционируется как сфокусированный на безопасность: выставлен Bug Bounty (публичная проверка от хакеров), хранит зашифрованную базу с паролями отдельно от ключей расшифровки и использует схему разделения секретов Шамира.
В отличие от некоторых других решений, в архитектуре менеджера паролей не существует “супер-администратора” — пользователя, который имеет самый высокий уровень доступа и которому видны пароли остальных пользователей.
Из интересных функций: настройки по отделам, двухфакторная аутентификация как для серверной, так и для облачной версий, возможность восстановления мастер-пароля (снижает зависимость от администратора). Доступны «облачные» и «коробочные» версии, а также варианты в виде расширения для браузеров.
Стоимость продукта за 100 пользователей составляет от 117 000 рублей в год, включая полный функционал, помощь во внедрении и поддержку.
Интерфейс Российское решение для хранения паролей, чек-листов и документов. Легкое в установке (исходя из информации на сайте, это занимает не более двух часов) и с понятным интерфейсом.
Стоимость на 1 год составляет 88 900 рублей вне зависимости от количества сотрудников.
В базовой версии не предусмотрены интеграции, а также поддержка SSO и LDAP.
Отечественный продукт с открытым исходным кодом. Поддерживает ключевые российские операционные системы (по Windows и macOS данных на сайте нет).
Годовая стоимость на 100 пользователей составляет 144 000 рублей. Плюс за дополнительную плату можно получить поддержку во внедрении и обучение. Есть бесплатная версия для команд до пяти человек.
Сравнение менеджеров паролей
У всех описанных решений имеется:
-
Установка On-Premise
-
Двухфакторная аутентификация (кроме HashiCorp Vault, но там, при должной настойчивости, можно реализовать через интеграцию с внешними системами)
-
Поддержка хранения истории паролей (кроме HashiCorp Vault, но там, при должной настойчивости, можно реализовать через версии секретов)
-
Аудит действий пользователей
По удобству интерфейса — дело вкуса, лучше каждому тестировать. Мне больше понравились Пассворк и ОдинКлюч.
По стоимости (из Российских решений) — самые выгодные на 100 пользователей оказались TeamDo и ОдинКлюч. Если на 50 пользователей, то — ОдинКлюч.
По вниманию к безопасности впечатлил ОдинКлюч, но другие разработчики, естественно, тоже уделяют этому внимание.
По настройкам и интеграциям — отмечу Пассворк и ОдинКлюч, но тут нужно исходить из ваших задач. У них же, в отличие от других решений, предусмотрено ГОСТовое шифрование.
Как выбрать лучший менеджер паролей?
Идеального решения не выделю. Вариантов не так много, так что можно, в каждом случае, внимательно сравнить.
Ключевые критерии: удобство использования и администрирования, достаточный уровень безопасности (от внешних и внутренних угроз), наличие необходимых интеграций, соответствие необходимым стандартам и, естественно, стоимость.
Какой бы менеджер паролей вы не выбрали для своей организации, уровень кибербезопасности и эффективности будет увеличен, но к выбору лучше отнестись внимательно.
Автор: SecNinja