Вопрос хранения паролей для любого пользователя крайне важен. Нужно чтобы хранилище было всегда под рукой и хорошо защищалось. Надеюсь, что уважаемые читатели не имеют один пароль на все аккаунты, потому как и у меня, у них есть есть некое собрание файлов (записей), где хранятся доступы.
Хранить пароли в текстовых файлах или в одном текстовом документе удобно, но небезопасно, потому передо мной встал вопрос о том, какой инструмент управления паролями выбрать. К тому же, одной из первых задач на новом месте работы стал поиск корпоративного менеджера паролей, который компания могла разместить на собственном сервере. Получилось, что потребности личные совпали с потребностями профессиональными. С обеими задачами удалось справиться, полученным опытом и рекомендациями хочу поделиться в этом посте.
Пассворк - корпоративный менеджер паролей
Требования к корпоративному менеджеру, которые мне озвучили, можно разделить на две группы: обязательные и желательные. Обязательными требованиями были:
- информация должна размещаться на серверах компании.
- возможность создавать группы паролей в разрезе каждого клиента с разграничением доступа к информации.
- хороший уровень защиты и шифрования данных.
Вторая группа включала в себя интеграцию с LDAP, объединение пользователей в группы и наличие клиентов под Windows/Linux/macOS/смартфон.
Предварительный поиск привел к восьми вариантам, после тестирования по установке и настройке осталось три варианта, они были презентованы команде. После знакомства команда выбрала один - Пассворк. Он внедрен теперь в нашу компанию и активно используется. Почему мы остановились на Пассворке?
- отечественный разработчик: это значит, что он не ограничит доступ к продукту и обновлениям, не отзовет лицензии и не исчезнет в тумане, как это произошло с рядом иностранных компаний.
- полностью русская локализация: не нужно довольствоваться не полностью переведенным интерфейсом, все доступно и понятно сразу из «коробки»
- наличие мобильной и веб-версии: есть приложения для смартфонов, доступ из веб-браузера, десктопные версии для Windows/Linux/macOS обещают в 2023 году.
- адекватная техническая поддержка: когда возникли проблемы с сертификатами для HTTPS, то помогли очень быстро, привели и скриншоты и конкретный код, который помог решить вопрос.
- наличие нескольких способов установки и подробная документация: имеется база знаний, доступ к которой получаешь даже в рамках тестирования, в ней все разложено по полочкам, так что никаких проблем с установкой и предварительной настройкой возникнуть не должно.
Пассворк является платным решением, для 25 сотрудников стоимость лицензии составляет 39 000 рублей в год. По истечении года лицензию можно не продлевать, но тогда невозможно будет получать актуальные обновления. Если ваша команда ищет корпоративный менеджер паролей, то могу порекомендовать Пассворк.
Никаких ссылок не оставляю, дабы не возникло подозрений в том, что это реклама. Софт легко находится в поисковике, есть демо-доступ на 5 пользователей, после которого уже сами решите стоит или нет его внедрять.
Pass - персональный менеджер паролей
С программой Pass познакомился благодаря Youtube-каналам по Linux-тематике (несколько авторов рассказали, что использует его). Софт доступен только на Linux и в стандартном виде работает через командную строку (доступны также расширения, которые добавляют возможность взаимодействия через графический интерфейс или интеграцию Pass в браузер).
Есть такое понятие, как асимметричное шифрование. Оно основано на паре ключей - приватном и публичном. Любая информация (файлы, сообщения и пр.) при помощи публичного ключа шифруется, расшифровка происходит при наличии приватного ключа. Приватный ключ хранится в защищенном месте, доступ к нему должны иметь только вы. Если потеряете приватный ключ (или, например, удалите), то расшифровать файлы не сможете. Pass является инструментом при помощи которого происходит та самая шифровка/дешифровка файлов с паролями.
Алгоритм работы с Pass прост:
- генерируете публичный и приватный ключ, сохраняете их в формате удобном для переноса и хранения.
- устанавливаете Pass и создаете хранилище для паролей.
- после добавляете новые пароли и они сохраняются в зашифрованном виде (формат gpg).
- при необходимости просмотра содержимого файла с паролями, используете приватный ключ и дешифруете файл.
- имеющиеся файлы с паролями можно хранить как в облаке, так и в приватном Git-репозитории.
Если кто-то получит доступ к перечню файлов с паролями, то прочитать их этот человек не сможет. При этом, даже заполучив приватный ключ, злоумышленнику придется подобрать к нему так называемую пасс-фразу.
Pass-phrase - это набор символов и цифр, без неё доступ к приватному ключу невозможен. Пасс-фраза не сохраняется на компьютере, ее нужно запомнить (или на случай плохой памяти, где-то записать). Выходит, что использование Pass одновременно и удобное, и безопасное. В скором времени запишу видео о том, как работать с менеджером паролей Pass, вместе пройдем путь от установки до получения зашифрованных вариантов паролей.
Напишите в комментариях о своих методиках хранения паролей, может вы знаете иные приложения для организации хранения конфиденциальной информации. Конечно же, не забываем подписываться и ставить лайки, каналу и мне нужна поддержка и обратная связь.
