Аналитика программы управления паролями «Пассворк 7»

Автор:
Категория: Обзоры
Просмотров: 155

В деловых организациях недостаточно прочные пароли или невнимательное отношение к их сохранности могут открывать злоумышленникам доступ. Работники иногда выбирают простые, запоминающиеся сочетания символов, например «123456» или «password», и применяют один и тот же пароль для разных систем. см. PDFВ 81% случаев утечек данных причиной становится компрометация учетных записей. Один слабо защищенный пароль может поставить под угрозу всю систему. Кто-то записывает пароли в текстовые файлы, кто-то хранит их в таблицах Excel, а кто-то оставляет стикеры с паролями на рабочем столе. Особенно опасен способ передачи паролей через незащищенные мессенджеры или электронную почту. Такие привычки — прямой путь к кибератаке.

В организациях с большим числом сотрудников и систем контроль прав доступа затруднителен. Увольнение или изменение статуса сотрудника могут оставить доступ к конфиденциальной информации у незаинтересованных лиц.

В России, особенно в государственном секторе, компании обязаны следовать требованиям ФСБ и ФСТЭК, включая использование ГОСТ-шифрования и сертифицированного ПО. Несоблюдение стандартов может привести к штрафам и репутационным потерям. Забытые пароли, восстановление доступа и ручное управление доступом отнимают время у сотрудников и перегружают IT-отделы, что снижает производительность и отвлекает от важных задач.

Решить эту проблему можно с помощью корпоративных менеджеров паролей. Рассмотрим один из таких продуктов – «Пассворк». официальный сайтЭто комплексное решение, которое помогает компаниям защитить данные, упростить процессы и соответствовать строгим требованиям безопасности. Оно создает зашифрованную базу данных с паролями, доступными только авторизованным пользователям. Разработчик предлагает гибкую настройку прав доступа для сотрудников, отделов или групп, включая временный доступ и возможность делиться паролем по одноразовой ссылке. Система интегрируется с корпоративными системами через API, LDAP или SSO, что упрощает администрирование и экономит время ИТ-специалистов. «Пассворк» разрабатывался как универсальное решение для компаний любого масштаба.

Платформа с открытым исходным кодом подлежит аудиту, включая проверку на уязвимости. Данные хранятся только на сервере пользователя и не отправляются в облако. Для шифрования применяются алгоритмы ГОСТ или AES-256. Поддерживается интеграция с Active Directory (AD) и LDAP, а также двухфакторная аутентификация (2ФА).

Варианты

«Пассворк» (сегодня доступна версия 7) состоит из серверной и клиентской частей. Первая может работать под Windows Server и Linux, как в контейнере Docker (в этом случае процесс будет изолирован), так и без него. Данные хранятся в СУБД; если ранние версии работали только с MongoDB, то «Пассворк 7.0» уже поддерживает PostgreSQL. «Пассворк» сертифицирован для установки в среде отечественных ОС Astra Linux, RED Soft, Applite «Атлант», ОС МСВСфера, а также с Debian и Ubuntu. На уровне корпоративной ИТ-инфраструктуры поддерживается горизонтальное масштабирование с репликацией. Для обеспечения отказоустойчивости и автоматического перенаправления обращений к СУБД MongoDB выделяется сервер-арбитр.

Представлена комплексная версия для клиентов с несколькими вариантами.

  • «Команда» — до 10 пользователей, стандартная версия
  • «Старт» — для групп до 25 человек, доступны базовая и полная версии.
  • «Бизнес» рассчитан на до 50 пользователей, доступны стандартная и расширенная версии.
  • «Премиум» — до ста пользователей, версия стандартная и расширенная.
  • «Энтерпрайз» подходит для более чем ста пользователей и имеет стандартную и расширенную версии.

Стоимость использования базовой и продвинутой версий варьируется исходя из количества пользователей: от 29 тысяч рублей за 10 пользователей в год до 185 тысяч рублей за 100 пользователей в год; для крупных организаций разработчик указывает цену по запросу. Даны сравнения функциональных возможностей базовой и продвинутой версий.

Стандартная версия

  • Управление доступом для пользователей.
  • Администрирование прав пользователей через группы
  • Отчёт о деятельности каждого пользователя.
  • Поддержка AD/LDAP
  • Импорт и экспорт данных (в JSON и CSV)
  • Двухфакторная аутентификация
  • Установка параметров безопасности паролей
  • Настраиваемый генератор паролей
  • Слежение за историей изменения паролей
  • Доступ средствами мобильного приложения
  • Доступ средствами расширения браузера
  • Открытый для аудита исходный код

Расширенная версия (в дополнение к стандартной)

  • Авторизация с помощью SAML SSO
  • Синхронизация LDAP-групп и групп в системе управления паролями «Пароль».
  • Управление правами доступа посредством ролей.
  • Отмена лимитов по количеству меток для паролей
  • Настройка репликации и отказоустойчивое решение
  • Установка в филиалы компании
Источник изображения: img.freepik.com

Доступ для клиентов реализован через веб-интерфейс «Пассворк», мобильное приложение и расширение для браузера.

Структура хранения паролей

«Пассворк» организует пароли в структуру с уровнями. Верхним уровнем являются сейфы — защищенные контейнеры. Внутри сейфов располагаются папки, представляющие тематические разделы. Внутри папок находятся вложенные папки, образуя разветвления. И наконец, в папках хранятся сами пароли.

Такая иерархия уровней доступа позволяет организовать пользователям доступ к определенным категориям паролей и управлять их правами: можно выдать соответствующие полномочия сотруднику по отношению к конкретному паролю, папке или всему хранилищу.

Для удобства доступны разделы с функциями.

  • В разделе «Избранное» хранятся популярные пароли.
  • «Недавние» объединяет последние обращения
  • «Входящие» сохраняет пароли, которые пользователь получил от других.

В «Пассворке» каждый пароль представляет собой организованный набор данных.

  • ссылку (URL)
  • ключ для двухфакторной аутентификации (TOTP)
  • вложения (например, SSH- или RSA-ключи)
  • комментарии и заметки
  • цветовые теги и описательные категории

В программе «Паспорт» предустановлен генератор паролей. Пользователь может задать параметры: длину, набор символов и исключить похожие знаки.

Совместная работа

В «Пассворке» можно делиться паролями другими пользователями (с возможностью редактирования или без таковой), создавать публичные ссылки с ограниченным сроком действия и количеством использований, а также просматривать историю доступа к каждому паролю. Это удобно, когда нужно быстро предоставить доступ сотруднику, не зарегистрированному в системе.

Система имеет три уровня доступа для пользователей.

  • пользователь — работает с паролями
  • администратор — управляет правами и пользователями
  • владелец — обладает полным контролем

Каждый шаблон прав, называемый ролью, можно назначить группе пользователей сразу. Можно временно отключать и активировать роли одним кликом. В седьмой версии «Пассворка» появилось возможностью создавать неограниченное количество ролей с индивидуальными правами и настройками, помимо трёх, предусмотренных системой.

Регистрация пользователей может производиться по приглашению (коду), а администратор назначает роли новому сотруднику заранее. Поддерживается синхронизация с LDAP/AD. Доступ ко всем сейфам группы пользователь получает не автоматически, требуется подтверждение администратора сейфа, это предусмотрено разработчиком как дополнительная мера безопасности.

Панель безопасности выявляет риски, связанные с надёжностью, сроком эксплуатации и потерей доступа к паролям.

Пароли

В дополнение к самим паролям «Пассворк» сохраняет метаданные. Каждому паролю можно дать уникальное имя, выбрать цвет и добавить набор тегов (предустановленный набор тегов недоступен для выбора). По имени можно искать, а цвет и теги использовать в качестве фильтров для быстрой навигации по данным. Также к паролю можно прикрепить заметку, например: «При сбое загрузки веб-страниц используйте повторный вход».

История и контроль изменений

«Пассворк» сохраняет все варианты пароля и регистрирует обращения к нему в журналах. Такой подход позволяет восстановить предыдущую версию пароля после нежелательных изменений, например, если кто-то установит некорректный (оскорбительный и т. п.) пароль. Администратор при этом узнает, кто внес изменения.

Передача паролей

«Пассворк» помимо создания, хранения и редактирования паролей предоставляет инструменты для их передачи. Для этого доступны два способа: отправка пароля другому пользователю платформы, после чего он появляется в «Входящих». Отправитель может определить, будет ли доступ предоставлен только для просмотра или с возможностью внесения изменений. Система сохраняет и отображает пользователю и администратору информацию о получателе пароля.

Второй способ служит для передачи пароля незарегистрированным пользователям.
Для этого формируется ссылка с заданными параметрами: устанавливается срок её действия и ограничивается число применений. Все созданные ссылки регистрируются в системе.

Безопасность

Создатели «Пассворка» утверждают, что разработка была проведена с соблюдением принципов безопасного жизненного цикла разработки (SDL), что должно минимизировать риски уязвимостей. Помимо этого, продукт прошел аудиты безопасности в ведущих российских компаниях. Также поддерживается режим Zero Knowledge: все данные шифруются на стороне клиента, и даже сервер не может их расшифровать.

Базовые возможности:

  • поддержка шифрования по AES и ГОСТ
  • Клиентская защита данных (файлы и TOTP).
  • возможность интеграции с API для автоматизации
  • Благодаря открытому исходному коду, поставляемому вместе с дистрибутивом, возможно проведение аудита.

Расширенные возможности:

  • интеграция LDAP/AD
  • обязательная двухфакторная аутентификация (2ФА)
  • индивидуальные настройки доступа
  • Оценка рисков (действует ли уволенному сотруднику доступ к паролям?)
  • Общая запись действий можно выгрузить в систему SIEM или syslog.

«Пассворк» предоставляет API для автоматизации действий с паролями, хранилищами, пользователями и другими элементами системы.

  • Процессы управления паролями: генерация, выдача, изменение, удаление.
  • создание сейфов и управление доступом к ним
  • Организация папков в сейфе.
  • Назначение и управление разрешениями для пользователей.
  • Группировка пользователей для удобства контроля доступа.
  • Прови́зио́нный доступ к паролям по ссылкам.
  • работа с файлами, прикрепленными к паролям
  • поиск паролей по различным критериям
  • Управление ярлыками с привязкой к паролям из внешних менеджеров.
  • восстановление удаленных объектов из корзины
  • журналирование активности пользователей

Шифрование

Разработчик «Пассворка» обладает лицензией ФСБ для работы с криптографией и двумя действующими лицензиями ФСТЭК России. Критически важные данные (пароли, конфиденциальные поля, вложения) шифруются на стороне клиента до отправки на сервер.

Только пользователь владеет мастер- паролем, который никогда не передаётся на сервер. По его основанию с помощью PBKDF2 (Password-Based Key Derivation Function 2) создаётся мастер-ключ.

  • Мастер-ключ шифруется с помощью алгоритма SHA-256. Полученный хеш отправляется на сервер для проверки личности клиента.
  • Для каждой базы данных создаётся уникальный ключ, применяемый к зашифрованию паролей и другой информации внутри этой базы данных.
  • Асимметричное шифрование RSA применяется для обмена ключами. Каждый пользователь располагает парой ключей: публичным и личным.
  • В криптографии применяют симметричный алгоритм шифрования AES в режиме CBC с подстановкой PKCS7.

В рамках архитектуры Zero Knowledge API «Пассворка» выполняет криптографические операции на стороне клиента, перед отправкой данных на сервер. Серверное приложение «Пассворка» обрабатывает зашифрованную информацию и использует дополнительный уровень шифрования.

Python-коннектор

  • Помогает работать с криптографией и авторизацией
  • Управление сессиями
  • Автопродление сеанса с использованием нового токена.
  • Шифрование и дешифрование
  • Готовые методы для основных операций с API
  • Универсальный вызов для произвольных запросов

Процесс авторизации Пользователь включает функцию «Создать пару». Сервер отвечает двумя токенами: токеном доступа и токеном обновления.

  • Токен доступа – это главный токен, используемый для проверки авторизации запросов. Срок его действия ограничен.
  • Токен обновления используется для получения нового токена доступа без повторной авторизации, и действует длительное время.

Python-коннектор самостоятельно обновляет токен при истечении его срока действия, не требуя участия пользователя. Благодаря этому возможно сохранение и восстановление сессий, что ценно для долгосрочных автоматизаций.

Конкуренты

Проанализируем «Пассворк» в сравнении с российскими аналогами по функциям защиты и возможностям.

«Пассворк» «ОдинКлюч» TeamDo BearPass
Шифрование ГОСТ и AES-256 ГОСТ AES+RSA AES-256
Дополнительные меры безопасности аудит действий,
два уровня шифрования,

Ключи для сервера размещены автономно от базы данных. 		схема разделения секретов Шамира,
ключи хранятся отдельно от базы,
программа Bug Bounty,
аудит действий		 аудит действий аудит действий
Открытый исходный код да нет нет да
Поддержка двухфакторной аутентификации да (собственное приложение) да да да
Лицензии ФСБ/ФСТЭК да да нет нет
Где хранятся пароли сервер компании сервер компании или облако сервер компании или облако сервер компании или облако
Мобильное приложение да нет нет нет
Браузерные расширения да да да да
Подходит для крупных корпораций да да ориентирована на SMB да
Персональный менеджер c «Расширенной лицензией» не заявлено не заявлено в плане «Корпорация»
Бесплатная версия 30-дневный триал нет 14-дневный триал да (до 5 пользователей)

Выводы

Программа «Пассворк» устраняет несколько ключевых проблем: шифрует данные на пользовательских устройствах, использует алгоритмы ГОСТ и AES-256, регистрирует каждое действие и интегрируется в существующие системы AD/LDAP, избавляя отдел ИТ от рутинной работы. В российских условиях преимуществами являются лицензии ФСБ/ФСТЭК и возможность хранения базы данных только на сервере компании, что упрощает выполнение требований нормативно-правовых актов.

Введение даже готового продукта не обеспечит безопаснось мгновенно. Для реализации потенциала «Пассворка» необходимы четкие правила работы с паролями, регулярные проверки, обучение сотрудников и интеграция отчетности с SIEM. При выборе решения следует оценить общую стоимость владения и сравнить функциональность с другими вариантами, которые могут предлагать бесплатные стартовые пакеты. Тем не менее, для организаций, которым важны сертификация, открытый исходный код и гибкая модель масштабирования, «Пассворк» кажется разумным компромиссом между удобством, контролем и нормативными требованиями.