В корпоративной среде использование слабых паролей или их небрежное хранение может стать лазейкой для злоумышленников. Сотрудники нередко выбирают для паролей легкие запоминающиеся комбинации вроде «123456» или «password», часто используют один и тот же пароль для множества систем. Согласно Verizon Data Breach Investigations Report 2024 (см. PDF), 81% утечек данных связаны с тем, что учетные записи скомпрометированы. Один слабый пароль — и вся система под угрозой. Кто-то записывает пароли в текстовые файлы, кто-то хранит их в таблицах Excel, а кто-то оставляет стикеры с паролями прямо на рабочем столе. Еще хуже, когда пароли передаются через незащищенные мессенджеры или электронную почту. Такие привычки — открытые двери для кибератак.

В крупных компаниях, где насчитываются сотни сотрудников и десятки систем, отследить, кто и к чему имеет доступ, становится ещё сложнее. Увольнение сотрудника или смена роли могут привести к тому, что доступ к важным данным остаётся у тех, кому он уже не положен. А администраторы с неограниченными правами могут случайно или намеренно стать причиной утечки данных.

В России, особенно в государственном секторе, компании обязаны соблюдать требования ФСБ и ФСТЭК, включая использование ГОСТ-шифрования и сертифицированного программного обеспечения. Несоблюдение этих стандартов грозит штрафами и репутационными потерями. Забытые пароли, их восстановление и ручное управление доступом отнимают время у сотрудников и перегружают IT-отделы. Это снижает производительность и отвлекает от более важных задач.

Вариантом (или составляющей) решения этой проблемы может быть использование корпоративного менеджера паролей. Именно такой программный продукт мы сегодня и рассмотрим: «Пассворк» (официальный сайт) — это комплексное решение, которое, как заявляется, помогает компаниям защитить свои данные, упростить процессы и соответствовать строгим требованиям безопасности. Оно создает зашифрованную базу данных, где все пароли хранятся в одном месте и доступны только авторизованным пользователям. Разработчик говорит о гибкой и удобной настройке прав доступа для сотрудников, отделов или групп, включая поддержку временного доступа и возможность поделиться паролем через одноразовую ссылку. Система интегрируется с корпоративными системами через API, LDAP или SSO, это должно упростить администрирование и сэкономить время ИТ-специалистов. При этом «Пассворк» разрабатывался как универсальное решение для компаний разного масштаба, от небольших стартапов до крупных корпораций.

Платформа имеет открытый исходный код, доступный для аудита, включая проверку на наличие уязвимостей. Данные хранятся только на сервере клиента и не передаются в облако. Для шифрования используются алгоритмы ГОСТ или AES-256. Поддерживаются интеграция с Active Directory (AD) и LDAP, а также двухфакторная аутентификация (2ФА).

Варианты

«Пассворк» (сегодня доступна версия 7) представлен серверной и клиентской частями. Первая может работать под Windows Server и под Linux, как внутри докера (в этом случае процесс будет изолирован), так и без него. Данные хранятся в СУБД, причём если первые версии умели работать только с MongoDB, то «Пассворк 7.0» уже поддерживает PostgreSQL. «Пассворк» сертифицирован для установки в среде отечественных ОС Astra Linux, RED Soft, Applite «Атлант», ОС МСВСфера, а также с Debian и Ubuntu. На уровне корпоративной ИТ-инфраструктуры поддерживается горизонтальное (одноранговое) масштабирование с репликацией. Для обеспечения отказоустойчивости и автоматического перенаправления обращений к СУБД MongoDB выделяется сервер-арбитр.

Клиентская часть реализована в виде коробочного решения, у него есть несколько вариантов:

• «Команда» — до 10 пользователей, стандартная версия
• «Старт» — до 25 пользователей, стандартная и расширенная версии
• «Бизнес» — до 50 пользователей, стандартная и расширенная версии
• «Премиум» — до 100 пользователей, стандартная и расширенная версии
• «Энтерпрайз» — более 100 пользователей, стандартная и расширенная версии

Цены на использование стандартной и расширенной версий различаются в зависимости от числа пользователей (от 29 тысяч рублей за 10 пользователей в год до 185 тысяч рублей за 100 пользователей в год; более крупным организациями разработчик называет цену по запросу). Приведем сравнения функциональности стандартной и расширенной версий.

Стандартная версия

• Настройка прав доступа для каждого пользователя
• Управление правами пользователей с помощью групп
• Предоставление отчетов об активности каждого пользователя
• Поддержка AD/LDAP
• Импорт и экспорт данных (в JSON и CSV)
• Двухфакторная аутентификация
• Установка параметров безопасности паролей
• Настраиваемый генератор паролей
• Слежение за историей изменения паролей
• Доступ средствами мобильного приложения
• Доступ средствами расширения браузера
• Открытый для аудита исходный код

Расширенная версия (в дополнение к стандартной)

• Авторизация с помощью SAML SSO
• Сопоставление групп LDAP с группами в «Пассворке»
• Разграничение прав администрирования с помощью ролей
• Снятие ограничений на количество ярлыков для паролей
• Настройка репликации и отказоустойчивое решение
• Установка в филиалы компании

Клиентский доступ организован в виде веб-версии «Пассворка», мобильного приложения и браузерного расширения.

Структура хранения паролей

«Пассворк» хранит пароли в иерархической структуре. Верхний уровень — это сейфы, защищенные контейнеры. Внутри сейфов находятся папки (тематические разделы). Внутри папок — вложенные папки (разветвления). Наконец, в папках — пароли.

Подобная иерархия уровней вложения даёт организовать доступ пользователей к тем или иным категориям паролей и управлять их правами: можно предоставить соответствующие права сотруднику к одному паролю, папке или целому сейфу.

Для быстрого доступа предусмотрены функциональные разделы:

• «Избранное» содержит часто используемые пароли
• «Недавние» объединяет последние обращения
• «Входящие» хранит те пароли, которыми с пользователем поделились

В «Пассворке» каждый пароль — это структурированный объект. Вместе с логином пользователя можно хранить дополнительные сведения:

• ссылку (URL)
• ключ для двухфакторной аутентификации (TOTP)
• вложения (например, SSH- или RSA-ключи)
• комментарии и заметки
• цветовые теги и описательные категории

В «Пассворке» есть встроенный генератор паролей. Среди параметров, которые он позволяет задать: длина, наличие или отсутствие тех или иных символов и исключение похожих знаков.

Совместная работа

В «Пассворке» предусмотрена возможность делиться паролем с другими пользователями системы (с возможностью редактирования или без таковой), создавать публичные ссылки с ограниченным сроком действия и числом использований, а также просматривать, кто получил доступ к каждому паролю. Это требуется, когда срочно нужно предоставить доступ сотруднику, который не зарегистрирован в системе.

Пользователи и их роли определяются тремя уровнями доступа к системе:

• пользователь — работает с паролями
• администратор — управляет правами и пользователями
• владелец — обладает полным контролем

Каждая роль — это шаблон прав, который можно назначить сразу группе пользователей. Причем роли можно временно отключать и активировать одним кликом. В седьмой версии «Пассворка» появилась возможность создавать неограниченное количество ролей с индивидуальными правами и настройками, дополнительно к трём, предусмотренным системой.

Пользователи могут регистрироваться сами по приглашению (коду), а администратор может заранее задать, какие роли получит новый сотрудник. Как было упомянуто, поддерживается синхронизация с LDAP/AD. При этом пользователь не получает доступ ко всем сейфам группы автоматически, для этого требуется подтверждение администратора сейфа (разработчиком это предусмотрено как дополнительная мера безопасности).

Панель безопасности определяет риски, связанные с надежностью, возрастом и утратами доступа к паролям.

Пароли

Помимо самих паролей, «Пассворк» хранит метаданные. Каждому паролю можно присвоить уникальное имя, выбрать цвет и добавить набор тегов (создать предварительно набор тегов и затем выбирать из закрытого списка нельзя). По имени можно выполнять поиск, а цвет и теги — использовать в качестве фильтров для быстрого доступа к нужным данным. Кроме того, к паролю можно прикрепить заметку, например: «При некорректной загрузке веб-страниц используйте повторный вход».

История и контроль изменений

«Пассворк» хранит все версии пароля и фиксирует обращения к нему в журналах. Это позволяет восстановить предыдущую версию пароля после нежелательных изменений, например, если кто-то заменит его на некорректный (оскорбительный и т. п.). Администратор при этом видит, кто именно внес изменения.

Передача паролей

Помимо создания, хранения и редактирования паролей, «Пассворк» имеет инструменты для их передачи. Система предлагает два способа. Первый способ — отправка пароля другому пользователю платформы. У получается он появляется во «Входящих», при этом отправитель может выбрать, будет ли доступ предоставлен только для просмотра (read-only) или с возможностью внесения изменений. Система сохраняет (и показывает пользователю и администратору) информацию о том, кому был отправлен пароль.

Второй способ предназначен для передачи пароля лицам, не зарегистрированным в «Пассворке». Для этого создается специальная ссылка с настраиваемыми параметрами: можно указать срок действия ссылки и ограничить количество ее использований. Все созданные ссылки фиксируются в системе.

Безопасность

Разработчики «Пассворка» говорят, что он создан с учетом принципов безопасной разработки (Secure Development Lifecycle, SDL), что должно минимизировать риски уязвимостей, а также что продукт прошел аудиты безопасности в крупнейших российских предприятиях. Кроме того, поддерживается режим Zero Knowledge — все данные шифруются на стороне клиента, и даже сервер не может их прочитать.

Базовые возможности:

• поддержка шифрования по AES и ГОСТ
• шифрование на стороне клиента (включая файлы и TOTP)
• возможность интеграции с API для автоматизации
• можно провести аудит благодаря открытому исходному коду (поставляется с дистрибутивом)

Расширенные возможности:

• интеграция LDAP/AD
• обязательная двухфакторная аутентификация (2ФА)
• индивидуальные настройки доступа
• мониторинг рисков (знает ли уволенный сотрудник действующий пароль)
• общий лог активности — можно экспортировать в SIEM-систему или syslog

Также у «Пассворка» есть API для автоматизации операций с паролями, хранилищами, пользователями и другими объектами системы. Через API доступны:

• создание, получение, обновление, удаление паролей
• создание сейфов и управление доступом к ним
• создание структуры папок внутри сейфа
• создание, настройка прав доступа пользователей
• объединение пользователей в группы для упрощения управления доступом
• временный доступ к паролям через ссылки
• работа с файлами, прикрепленными к паролям
• поиск паролей по различным критериям
• управление ярлыками со ссылками на пароли в других хранилищах
• восстановление удаленных объектов из корзины
• журналирование активности пользователей

Шифрование

У разработчика «Пассворка» есть лицензия ФСБ на работу с криптографией и две действующие лицензии ФСТЭК России. Критически важные данные (пароли, конфиденциальные поля, вложения) шифруются на стороне клиента перед отправкой на сервер.

Мастер-пароль, который знает только пользователь, никогда не передается на сервер. На основе мастер-пароля с использованием PBKDF2 (Password-Based Key Derivation Function 2) генерируется мастер-ключ

• С использованием SHA-256 рассчитывается хеш мастер-ключа. Хеш передается на сервер для подтверждения подлинности клиента
• Для каждого хранилища генерируется уникальный ключ, который используется для шифрования паролей и других данных в этом хранилище
• Для обмена ключами используется асимметричное шифрование (RSA). У каждого пользователя есть пара ключей, публичный и личный
• Для криптографии используется симметричное шифрование AES в CBC с PKCS7-паддингом

В соответствии с архитектурой Zero Knowledge, API «Пассворка» реализует криптографические операции на стороне клиента до отправки на сервер. Серверная часть «Пассворка» работает с зашифрованными данными и дополнительно применяет собственный уровень шифрования.

Python-коннектор

• Помогает работать с криптографией и авторизацией
• Управление сессиями
• Автоматическое продление сессии по обновленному токену
• Шифрование и дешифрование
• Готовые методы для основных операций с API
• Универсальный вызов для произвольных запросов

Процесс авторизации выглядит следующим образом. Пользователь активирует опцию «Сгенерировать пару». Сервер возвращает два токена: токен доступа и токен обновления.

• Токен доступа (Access Token) — основной токен для авторизации запросов. Имеет ограниченный срок действия
• Токен обновления (Refresh Token) — долгоживущий токен для получения нового токена доступа без повторной аутентификации

Python-коннектор автоматически обрабатывает истечение срока действия токена и выполняет обновление без вмешательства пользователя; это позволяет сохранять и восстанавливать сессии, что удобно для долгосрочной автоматизации.

Конкуренты

Сравним «Пассворк» с альтернативными отечественными решениями по опциям безопасности и возможностям.

Выводы

«Пассворк» закрывает сразу несколько критичных уязвимостей: он шифрует данные «на клиенте», поддерживает алгоритмы ГОСТ‑ и AES‑256, журналирует каждое действие и встраивается в существующие AD/LDAP‑схемы, избавляя ИТ‑отдел от ручной рутины. В российских реалиях важным плюсом являются лицензии ФСБ/ФСТЭК и возможность хранить базу исключительно на сервере компании, что упрощает соответствие регуляторике.

При этом нужно понимать, что внедрение даже технически зрелого продукта не решит вопрос безопасности «по щелчку». Чтобы потенциал «Пассворка» раскрылся, нужны четкие политики жизненного цикла паролей, периодические аудиты, обучение персонала и интеграция отчетности с SIEM. Кроме того, при выборе решения стоит взвесить стоимость владения и сравнить функциональность с альтернативами: у конкурентов могут быть, например, бесплатные стартовые тарифы. Тем не менее, для организаций, которым критичны сертификация, прозрачный исходный код и гибкая модель масштабирования, «Пассворк» выглядит сбалансированным компромиссом между удобством, контролем и нормативными требованиями.