Стек технологий безопасности для рабочих мест будет неполным без программ управления паролями для сотрудников. Почему? Потому что одной из самых частых причин взлома учетных записей являются слабые и скомпрометированные пароли. А с учетом того, что все больше сотрудников работают удаленно, адекватные методы парольного менеджмента становятся еще более важными.
Ниже собрал список доступных для российских компаний вариантов менеджеров паролей (если что, дополняйте в комментариях) и попробовал сравнить их. Начну с двух зарубежных, которые, как ни странно, до сих пор часто встречаю (хотя их и активно импортозамещают).
KeePass
Бесплатное зарубежное решение для хранения паролей. Решение до сих пор распространено в корпоративной среде, но, по сути, это не полноценный менеджер паролей, а локальная база данных с паролями, в которой, для обновления нужно всем пользователям выйти из системы и к которой есть вопросы по сохранности данных.
Сложен в использовании сотрудниками (отсутствует интуитивно понятный дизайн, а некоторые функции проблематично заставить работать), неудобен в администрировании, не позволяет синхронизировать хранилище с другими приложениями и не поддерживает русский язык. Но бесплатен, и это многое оправдывает).
Vault
Vault — также не полноценный менеджер паролей, а, по сути, хранилище любых секретных данных, которое поддерживает различные механизмы авторизации и политики доступа, а также интегрируется с основным поставщиком удостоверений или выбранной облачной платформой. Продукт способен управлять секретами для более чем 100 различных систем, включая базы данных, публичные и частные облака, очереди сообщений и конечные точки SSH. Несмотря на то, что продукт разработан американской компанией, он до сих пор распространен в российских корпорациях. Чаще его используют “в том числе для хранения паролей”.
У продукта есть большие возможности настроек, но он сложен в администрировании и есть риски проблем с оплатой и отключения для РФ.
По стоимости: бесплатно до 25 секретов, далее — от $0.50 за секрет.
Пассворк
Как мне кажется, Пассворк — это первый выпущенный в России корпоративный менеджер паролей.
Есть большие возможности по настройкам, поддержка основных ОС, интеграции (в том числе, с помощью API), классно проработанный интерфейс и собственное мобильное приложение.
Решение существует в двух версиях: «коробочное» (устанавливается на сервер компании, работает без подключения к сети) и «облачное». Доступны расширения для браузеров Google Chrome, Firefox, Microsoft Edge и Safari.
Стоимость стандартной версии на 100 пользователей — 132 000 рублей, но существенная часть функционала доступна только в расширенной версии.
ОдинКлюч
Российская разработка с поддержкой ГОСТового шифрования, удобным интерфейсом и работой на ключевых российских и зарубежных операционных системах.
У компании есть лицензии и сертификаты ФСБ и ФСТЭК, а сам продукт позиционируется как сфокусированный на безопасность: выставлен Bug Bounty (публичная проверка от хакеров), хранит зашифрованную базу с паролями отдельно от ключей расшифровки и использует схему разделения секретов Шамира.
В отличие от некоторых других решений, в архитектуре менеджера паролей не существует “супер-администратора” — пользователя, который имеет самый высокий уровень доступа и которому видны пароли остальных пользователей.
Из интересных функций: настройки по отделам, двухфакторная аутентификация как для серверной, так и для облачной версий, возможность восстановления мастер-пароля (снижает зависимость от администратора). Доступны «облачные» и «коробочные» версии, а также варианты в виде расширения для браузеров.
Стоимость продукта за 100 пользователей составляет от 117 000 рублей в год, включая полный функционал, помощь во внедрении и поддержку.
TeamDo
Интерфейс Российское решение для хранения паролей, чек-листов и документов. Легкое в установке (исходя из информации на сайте, это занимает не более двух часов) и с понятным интерфейсом.
Стоимость на 1 год составляет 88 900 рублей вне зависимости от количества сотрудников.
В базовой версии не предусмотрены интеграции, а также поддержка SSO и LDAP.
BearPass
Отечественный продукт с открытым исходным кодом. Поддерживает ключевые российские операционные системы (по Windows и macOS данных на сайте нет).
Годовая стоимость на 100 пользователей составляет 144 000 рублей. Плюс за дополнительную плату можно получить поддержку во внедрении и обучение. Есть бесплатная версия для команд до пяти человек.
Сравнение менеджеров паролей
У всех описанных решений имеется:
Установка On-Premise
Двухфакторная аутентификация (кроме HashiCorp Vault, но там, при должной настойчивости, можно реализовать через интеграцию с внешними системами)
Поддержка хранения истории паролей (кроме HashiCorp Vault, но там, при должной настойчивости, можно реализовать через версии секретов)
Аудит действий пользователей
По удобству интерфейса — дело вкуса, лучше каждому тестировать. Мне больше понравились Пассворк и ОдинКлюч.
По стоимости (из Российских решений) — самые выгодные на 100 пользователей оказались TeamDo и ОдинКлюч. Если на 50 пользователей, то — ОдинКлюч.
По вниманию к безопасности впечатлил ОдинКлюч, но другие разработчики, естественно, тоже уделяют этому внимание.
По настройкам и интеграциям — отмечу Пассворк и ОдинКлюч, но тут нужно исходить из ваших задач. У них же, в отличие от других решений, предусмотрено ГОСТовое шифрование.
Как выбрать лучший менеджер паролей?
Идеального решения не выделю. Вариантов не так много, так что можно, в каждом случае, внимательно сравнить.
Ключевые критерии: удобство использования и администрирования, достаточный уровень безопасности (от внешних и внутренних угроз), наличие необходимых интеграций, соответствие необходимым стандартам и, естественно, стоимость.
Какой бы менеджер паролей вы не выбрали для своей организации, уровень кибербезопасности и эффективности будет увеличен, но к выбору лучше отнестись внимательно.