Ког­да мой при­ятель уволь­нял­ся из доволь­но круп­ной айтиш­ной ком­пании, сис­темные адми­нис­тра­торы в тот же день обру­били ему дос­туп ко всем внут­ренним ресур­сам. А вот про нес­коль­ко полез­ных кор­поратив­ных сер­висов в интерне­те забыли, и он успешно поль­зовал­ся ими еще про­дол­житель­ное вре­мя. Подоб­ной ситу­ации быв­ший работо­датель мог бы бла­гопо­луч­но избе­жать, если бы на пред­при­ятии исполь­зовал­ся кор­поратив­ный менед­жер паролей.
 

Сценарии использования

Впро­чем, одной толь­ко опи­сан­ной выше ситу­ацией воз­можнос­ти прак­тичес­кого при­мене­ния менед­жеров паролей в ком­пани­ях не огра­ничи­вают­ся. Пароль­ные менед­жеры при­годят­ся не толь­ко для сис­темати­зации хра­нения учет­ных записей сот­рудни­ков, они могут ока­зать­ся край­не полез­ными в ряде дру­гих слу­чаев. Нап­ример, если в орга­низа­ции тру­дит­ся нес­коль­ко сисад­минов, такая прог­рамма поз­волит им сов­мес­тно работать с учет­ками поль­зовате­лей без необ­ходимос­ти откры­вать общий дос­туп к таб­лицам Google Docs, а так­же пересы­лать пароли в мес­сен­дже­рах или по элек­трон­ной поч­те в откры­том виде.

Дру­гой при­мер: сот­рудник, активно работа­ющий в нес­коль­ких внут­ренних кор­поратив­ных сер­висах, вне­зап­но отпра­вил­ся на боль­нич­ный или ушел в отпуск. Кол­легам сроч­но тре­бует­ся выяс­нить его логин и пароль для дос­тупа к тому или ино­му кор­поратив­ному ресур­су, но обла­датель этой сок­ровен­ной информа­ции — вне зоны дос­тупа. Менед­жер паролей спо­собен лег­ко решить эту задачу.

При наличии подоб­ного ПО зна­читель­но упро­щает­ся про­цеду­ра мас­совой сме­ны паролей, если это­го тре­бует кор­поратив­ная полити­ка безопас­ности. Кро­ме того, неред­ки слу­чаи, ког­да поль­зователь забыва­ет свои учет­ные дан­ные. Обыч­но он обра­щает­ся за решени­ем этой проб­лемы в ИТ‑отдел или тех­ничес­кую под­дер­жку, и спе­циалис­ты вся­кий раз вынуж­дены отвле­кать­ся от дру­гих дел, что­бы сбро­сить пароль. Менед­жер паролей спо­собен зна­читель­но сок­ратить подоб­ные прос­тои. Наконец, с менед­жером паролей упро­щает­ся под­клю­чение нового сот­рудни­ка к кор­поратив­ным сер­висам. Необ­ходимые дан­ные заводят­ся в при­ложе­ние, и в любой момент сис­темный адми­нис­тра­тор может добавить, уда­лить или отре­дак­тировать эту информа­цию. А если сот­рудник не про­ходит испы­татель­ный срок или уволь­няет­ся, прог­рамма поз­волит быс­тро опре­делить, какие учет­ки сле­дует заб­локиро­вать, а какие пароли — сме­нить.

Я про­тес­тировал один из оте­чес­твен­ных менед­жеров паролей — прог­рамму «Пас­сворк» — и хочу поделить­ся сво­ими впе­чат­лени­ями о ней.

 

О «Пассворке» в двух словах

Од­на из важ­ных осо­бен­ностей «Пас­свор­ка» зак­люча­ется в том, что эта прог­рамма хра­нит все дан­ные не в обла­ке, а на локаль­ном сер­вере в спе­циаль­ном зашиф­рован­ном кон­тей­нере, бла­года­ря чему сок­раща­ется потен­циаль­ная веро­ятность уте­чек. Исходный код дос­тупен для ауди­та, поэто­му при желании в нем мож­но покопать­ся, что­бы убе­дить­ся в отсутс­твии бэк­доров и про­чих неп­рият­ных сюр­при­зов.

Ар­хитек­турно «Пас­сворк» сос­тоит из веб‑сер­вера и набора PHP-скрип­тов, вза­имо­дей­ству­ющих с базой дан­ных MongoDB. Его мож­но уста­новить как на локаль­ный, так и на вир­туаль­ный сер­вер, работа­ющий под управле­нием Windows Server 2016, 2019 или 2022 (пот­ребу­ется так­же Microsoft .NET Framework 4.8) или Linux. Тех­ничес­ки допус­кает­ся уста­нов­ка «Пас­свор­ка» и на нес­коль­ко сер­веров, если, нап­ример, тре­бова­ния безопас­ности пред­при­ятия зап­реща­ют раз­мещать веб‑сер­вер и сер­вер базы дан­ных на одной физичес­кой машине. Что каса­ется сис­темных тре­бова­ний, то они зависят от количес­тва сох­ранен­ных паролей: в самом прос­том слу­чае необ­ходимо 4 Гбайт RAM и 100 Гбайт дис­кового прос­транс­тва, в мак­сималь­ной кон­фигура­ции (10 000 поль­зовате­лей) рекомен­дует­ся от 16 до 32 Гбайт памяти и 200 Гбайт на дис­ке. «Пас­сворк» не толь­ко поз­воля­ет адми­нис­три­ровать поль­зователь­ские учет­ные дан­ные вруч­ную, но и допус­кает интегра­цию с Active Directory и LDAP, что дает воз­можность исполь­зовать его в сетях с кон­трол­лером домена.

В тер­миноло­гии «Пас­свор­ка» зашиф­рован­ное хра­нили­ще, в котором рас­полага­ются поль­зователь­ские дан­ные и вло­жен­ные пап­ки, называ­ется сей­фом. Сей­фы условно делят­ся на хра­нили­ща орга­низа­ции и лич­ные, но воз­можнос­ти у них в целом иден­тичные. Дос­туп к сей­фам огра­ничи­вает­ся слу­чай­ным 256-бит­ным клю­чом. При этом в прог­рамме мож­но соз­дать сра­зу нес­коль­ко поль­зовате­лей с раз­личны­ми ролями и уров­нями при­виле­гий — им будут дос­тупны толь­ко стро­го опре­делен­ные записи. С помощью этой фун­кции мож­но, нап­ример, рас­пре­делить дос­туп по отде­лам и депар­тамен­там: ска­жем, менед­жеры отде­ла про­даж не уви­дят пароли сот­рудни­ков бух­галте­рии, а работ­ники фили­ала не смо­гут рас­поряжать­ся дан­ными пер­сонала цен­траль­ного офи­са.

Пос­ле успешной авто­риза­ции с мас­тер‑паролем поль­зователь «Пасcвор­ка» получит воз­можность ско­пиро­вать свои пароли в буфер обме­на или авто­ризо­вать­ся на раз­личных сай­тах авто­мати­чес­ки с помощью спе­циаль­ного бра­узер­ного пла­гина.

 

Интерфейс и юзабилити

Обыч­но я начинаю обзор прог­рамм сра­зу с поль­зователь­ско­го интерфей­са, потому что уста­нов­ка, как пра­вило, не вызыва­ет никаких слож­ностей. Но не в этом слу­чае. Прог­рамму я решил про­тес­тировать на Windows Server 2022, запус­тил инстал­лятор… А вот даль­ше началось инте­рес­ное: ока­залось, уста­нов­щику недос­таточ­но самого себя и нужен еще какой‑то архив с дис­три­бути­вом, который неиз­вес­тно отку­да берет­ся. Никакой информа­ции по это­му поводу прог­рамма поль­зовате­лю не пре­дос­тавля­ет.

Ес­ли уста­новить фла­жок Download the latest version of Passwork, инстал­лятор пот­ребу­ет Certificate number, тоже без каких‑либо объ­ясне­ний и ссы­лок.

Впро­чем, я доволь­но быс­тро догадал­ся, что этот номер мож­но разыс­кать в лич­ном кабине­те, который соз­дает­ся в про­цес­се регис­тра­ции на сай­те portal.passwork.ru, — но я умный и при­вык еще и не к таким закидо­нам при­ложе­ний. В общем, преж­де чем уста­нав­ливать прог­рамму, нуж­но, оче­вид­но, вдум­чиво озна­комить­ся с ману­алом — с нас­коку уста­нов­ку «Пас­свор­ка» оси­лят толь­ко самые сме­калис­тые сис­темные адми­нис­тра­торы.

info

К сло­ву, в Windows 10 этот менед­жер паролей дей­стви­тель­но не работа­ет — вер­нее, он куда‑то уста­нав­лива­ется, но знач­ка при­ложе­ния на рабочем сто­ле и в глав­ном меню не появ­ляет­ся, да и поиск по дис­кам резуль­тата не дает. Любопыт­но, что прог­рамма все‑таки отоб­ража­ется в спис­ке уста­нов­ленных при­ложе­ний, но вот попыт­ка уда­лить ее в Windows 10 завер­шает­ся ошиб­кой. Ины­ми сло­вами, для пол­ноцен­ного исполь­зования «Пас­свор­ка» дей­стви­тель­но необ­ходим Windows Server вер­сии 2016 и выше.

Пос­ле вво­да номера сер­тифика­та инстал­ляция прош­ла как по мас­лу, на рабочем сто­ле появил­ся зна­чок при­ложе­ния. По двой­ному щел­чку на этом знач­ке запус­кает­ся нас­тро­енный по умол­чанию бра­узер, и в нем откры­вает­ся окно пер­воначаль­ных нас­тро­ек «Пас­свор­ка».

В пер­вую оче­редь сле­дует выб­рать язык интерфей­са (рус­ский в ком­плек­те име­ется), затем, пос­ле про­вер­ки парамет­ров, прог­рамма под­клю­чит­ся к базе дан­ных, поп­росит ввес­ти имя хос­та и ключ шиф­рования (его мож­но сге­нери­ровать авто­мати­чес­ки и луч­ше где‑нибудь сох­ранить), а так­же пот­ребу­ет заг­рузить лицен­зион­ный ключ, который поль­зователь получа­ет пос­ле опла­ты лицен­зии. Пос­ледний шаг — регис­тра­ция основно­го адми­нис­тра­тора в прог­рамме. Пос­ле это­го наконец мож­но озна­комить­ся с интерфей­сом «Пас­свор­ка».

Офор­мле­ние прог­раммы доволь­но‑таки лаконич­ное: сле­ва рас­полага­ется спи­сок уже нас­тро­енных сей­фов, стро­ка поис­ка, а так­же ссыл­ки на раз­делы «Недав­ние» (здесь отоб­ража­ются недав­но прос­мотрен­ные пароли), «Избран­ные» (здесь мож­но сох­ранить ссыл­ки на избран­ные пароли) и «Вхо­дящие» (тут появ­ляют­ся пароли, отправ­ленные дру­гими поль­зовате­лями «Пас­свор­ка»). Пра­вая часть окна отве­дена под основное рабочее прос­транс­тво. Что­бы завес­ти новый кон­тей­нер для хра­нения паролей, дос­таточ­но нажать кноп­ку «Соз­дай­те ваш пер­вый сейф».

Вво­дим наз­вание сей­фа, и вуаля — новый циф­ровой кон­тей­нер соз­дан. Теперь мож­но добавить в него пароль, ука­зав наз­вание будущей записи. Помимо собс­твен­но логина, пароля и URL, каж­дая запись может содер­жать теги, прик­реплен­ные фай­лы (объ­емом до 100 Кбайт), тек­сто­вую замет­ку, и, кро­ме того, ее мож­но обоз­начить каким‑либо цве­том из пред­ложен­ной палит­ры.

Па­роли отоб­ража­ются спис­ком, при выборе каж­дого из них в пра­вой час­ти окна появ­ляет­ся допол­нитель­ное поле, демонс­три­рующее детали этой записи.

Спра­ва от каж­дого поля име­ется кноп­ка, нажав которую ты ско­пиру­ешь содер­жимое это­го самого поля в буфер обме­на. Мож­но перес­лать «кар­точку» с логином и паролем любому зарегис­три­рован­ному в «Пас­свор­ке» поль­зовате­лю (он уви­дит дан­ные в сво­ей пап­ке «Вхо­дящие») либо сге­нери­ровать ссыл­ку, которой получит­ся поделить­ся даже с неав­торизо­ван­ным поль­зовате­лем. При этом мож­но заранее задать вре­мя жиз­ни такой ссыл­ки.

Удоб­но? Впол­не. Неудобс­тво вызыва­ет раз­ве что отсутс­твие всплы­вающих под­ска­зок при наведе­нии кур­сора мыши на кноп­ки при­ложе­ния — об их наз­начении при­ходит­ся догады­вать­ся. Впро­чем, кно­пок нем­ного, поэто­му отсутс­твие кон­текс­тных под­ска­зок вряд ли сто­ит отно­сить к серь­езным недос­таткам.

Внут­ри каж­дого сей­фа мож­но соз­давать вло­жен­ные пап­ки, в них — дру­гие вло­жен­ные пап­ки, а в каж­дой из них сох­ранять пароли. Таким обра­зом учет­ные записи мож­но сор­тировать по типам или по наз­начению. Для каж­дой пап­ки мож­но ука­зать поль­зовате­лей «Пас­свор­ка», которые получат к ней дос­туп. Дан­ные из сей­фов и папок мож­но экспор­тировать в фай­лы фор­мата JSON или CSV и, соот­ветс­твен­но, импорти­ровать в «Пас­сворк» ранее выг­ружен­ную из него информа­цию. Записи, к сло­ву, экспор­тиру­ются в откры­том виде, поэто­му хра­нить выг­ружен­ные из «Пас­свор­ка» фай­лы нуж­но очень береж­но.

Нас­трой­ки прог­раммы доволь­но обширны: они поз­воля­ют добавить новых поль­зовате­лей, нас­тро­ить двух­фактор­ную аутен­тифика­цию, интегра­цию с LDAP или SSO. В раз­деле сис­темных нас­тро­ек дос­тупно огромное количес­тво парамет­ров как самой прог­раммы, так и учет­ных записей поль­зовате­ля: тут мож­но задать тре­бова­ния к паролю авто­риза­ции, сде­лать обя­затель­ным исполь­зование 2ФА.

В раз­деле «Панель безопас­ности» мож­но оце­нить уро­вень надеж­ности хра­нящих­ся в «Пас­свор­ке» паролей. Раз­дел «Исто­рия дей­ствий» поз­воля­ет отсле­дить все опе­рации, которые выпол­няли в сис­теме поль­зовате­ли.

На­конец, раз­дел «Фоновые задачи» дает воз­можность пла­ниро­вать тас­ки с исполь­зовани­ем встро­енно­го пла­ниров­щика Windows или Cron в Linux, нап­ример очи­щать уста­рев­шие сес­сии в MongoDB.

 

Общие впечатления

В качес­тве кор­поратив­ного менед­жера паролей (каковым он, собс­твен­но говоря, и явля­ется) «Пас­сворк» оста­вил у меня бла­гоп­рият­ное впе­чат­ление — он доволь­но прост в исполь­зовании, работа­ет быс­тро, а име­ющих­ся в прог­рамме фун­кций впол­не дос­таточ­но для ком­фор­тной и безопас­ной работы с кол­легами. Ради удобс­тва поль­зовате­лей пре­дус­мотре­ны мобиль­ные вер­сии при­ложе­ния для iOS и Android, а так­же рас­ширения для быс­трой авто­риза­ции в бра­узе­рах Chrome, Firefox, Edge и Safari.

«Пас­сворк» име­ет три встро­енные темы офор­мле­ния: свет­лую, тем­ную и сме­шан­ную (основное прос­транс­тво прог­раммы свет­лое, левая панель­ка чер­ная) — в таком вари­анте «Пас­сворк», к сло­ву, чем‑то напоми­нает при­выч­ный WordPress. Одна­ко глав­ное дос­тоинс­тво «Пас­свор­ка», отли­чающее эту прог­рамму от пер­сональ­ных пароль­ных менед­жеров, — мно­гополь­зователь­ский режим с под­дер­жкой раз­гра­ниче­ния дос­тупа и набора ролей. Эти фун­кции прос­то незаме­нимы для боль­ших ком­паний, но могут ока­зать­ся полез­ны и для сред­него раз­мера фирм, в которых тру­дит­ся нес­коль­ко десят­ков человек: «Пас­сворк» нам­ного удоб­нее и безопас­нее прос­той элек­трон­ной таб­лицы. Кро­ме того, это при­ложе­ние вхо­дит в еди­ный реестр рос­сий­ско­го прог­рам­мно­го обес­печения, поэто­му его мож­но исполь­зовать на государс­твен­ных пред­при­ятиях, к которым предъ­явля­ются осо­бые тре­бова­ния со сто­роны регуля­торов.

Сто­имость прог­раммы зависит от количес­тва поль­зовате­лей, которых мож­но зарегис­три­ровать в «Пас­свор­ке», — цены начина­ются от 24 000 руб­лей в год с лицен­зией на десять юзе­ров, в сум­му уже вклю­чена под­писка на обновле­ния и тех­поддер­жку сро­ком на 1 год, в даль­нейшем эта услу­га ста­новит­ся плат­ной от 16 800 руб­лей за год. При этом важ­но отме­тить, что под­писка рас­простра­няет­ся толь­ко на обновле­ния и тех­поддер­жку, а само ПО с окон­чани­ем под­писки про­дол­жит работать. Еще боль­ше информа­ции — на сай­те раз­работ­чиков, где так­же мож­но зап­росить бес­плат­ную демовер­сию для тес­тирова­ния.

Рек­лама. ООО «Пас­сворк». ИНН 2901311774. Erid: 2SDnjdTnWyN

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    2 комментариев
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии