Маркетолог уволился две недели назад. В компании заметили, что у него остался доступ к рекламному кабинету, страницам в соцсетях и сервису рассылки. Сменить пароли некому: список ресурсов, к которым он подключался, нигде не записан. Многим компаниям ситуация знакома: пароли хранятся в чатах, таблицах и заметках, а у кого какие доступы, в команде никто толком не помнит.
В статье разбираем, во что компании обходится хаос с паролями, как выбрать корпоративный менеджер паролей и куда его встроить, чтобы команда им действительно пользовалась.
Почему хранение паролей в компании превращается в проблему
Хранение паролей в компании — это система управления паролями с защищенным хранилищем учетных данных, разграничением прав доступа, журналом изменений и быстрым отзывом доступа при увольнении. Внутрь попадают доступы к CRM, хостингу, рекламным кабинетам, банк-клиенту, корпоративной почте и аналитике.
У одного сотрудника в среднем есть доступ к 10-15 рабочим сервисам. В команде на 30-50 человек таких доступов накапливаются сотни. Их заводят, передают, теряют, дублируют и не всегда отзывают при увольнении.
Слабые и повторяющиеся пароли при этом остаются главной уязвимостью российских компаний: в 73% проверок безопасности специалисты находят учетные записи с одинаковыми или стандартными паролями. Один такой пароль, который сотрудник записал в чат или продублировал в нескольких сервисах, открывает злоумышленнику вход во внутреннюю сеть компании.
Получив такой доступ, злоумышленник добирается до клиентской базы, финансовых документов и переписки — выводит деньги со счетов, шифрует рабочие файлы ради выкупа или продает данные клиентов. За утечку персональных данных компанию штрафуют на несколько миллионов рублей, а при повторном инциденте — до 3% годовой выручки.
Где компании обычно хранят пароли и чем это грозит бизнесу
Где хранить корпоративные пароли, компании выбирают по принципу удобства, а не безопасности. Так появляется несколько привычных способов — и каждый держится до первой утечки, увольнения с потерянными доступами или зараженного компьютера.
- Стикеры и блокноты. Пароль видит каждый, кто проходит мимо стола. Стикер легко уронить, выкинуть вместе с черновиками или сфотографировать со стороны.
- Excel или Google-таблица. Таблица быстро устаревает — кто-то поменял пароль и забыл обновить запись. Ссылка на документ остается у уволенных, а права в таблицах толком не разграничить.
- Сохраненные пароли в браузере. Их часто похищают вредоносные программы для кражи учетных записей. А еще при смене ноутбука часть паролей теряется, потому что синхронизация настроена не у всех.
- Мессенджеры и почта. Пароль, отправленный в чат или письмом, остается в истории навсегда. Если злоумышленник взломает аккаунт сотрудника, он получит и переписку, и все доступы из нее.
- KeePass или похожий файл у одного администратора. Доступы лежат у администратора, остальная команда каждый раз просит пароль. Когда администратор недоступен, никто из коллег не может подключиться к сервисам. Журнал входов и история изменений не ведутся — кто и когда брал пароль, проверить нельзя.
Каждый способ закрывает задачу одной минуты — записать, передать, не забыть. Системный риск проявляется позже и обычно в самый неудобный момент.
Сотрудник увольняется и уносит доступы к рекламным кабинетам и рассылкам, а список этих доступов нигде не зафиксирован. Держатель важного пароля заболел или ушел в отпуск, и отдел не может работать с сервисом, пока человек не выйдет на связь. И главное: в любой момент никто в компании не скажет точно, у кого и к каким системам сейчас есть доступ. Так любая проверка безопасности превращается в формальность.
Что такое корпоративный менеджер паролей
Корпоративный менеджер паролей — это защищенное хранилище всех доступов компании с разграничением прав, журналом действий и быстрым отзывом доступа при увольнении. Личный менеджер хранит пароли одного человека. Корпоративный работает на всю команду: администратор раздает пароли по отделам, управляет правами и видит в журнале, кто из сотрудников и когда обращался к каждой записи.
Любой менеджер паролей для бизнеса строится на четырех принципах.
Централизация. Хранилище собирает все доступы компании в одном защищенном месте — от паролей к CRM и хостингу до рекламных кабинетов. На каждый ресурс приходится одна актуальная запись, и сотрудник находит нужный пароль за секунды по названию или тегу.
Шифрование. Пароли хранятся в зашифрованном виде и в базе, и при передаче. Система шифрует их по стандарту AES-256, поэтому без ключа данные превращаются в нечитаемый набор символов. Даже если злоумышленник доберется до базы, он получит зашифрованную строку, а не сами пароли.
Разграничение прав. Каждый сотрудник получает доступ только к тем паролям, которые нужны ему для работы. Администратор раздает права по отделам, проектам и ролям: маркетолог открывает рекламные кабинеты и сервисы рассылок, а доступы к банк-клиенту остаются у финансового отдела.
Быстрый отзыв. Когда сотрудник увольняется или меняет роль, администратор закрывает ему доступ в одном месте — сразу ко всем паролям, к которым у человека был доступ. Вспоминать, к каким сервисам он подключался, не нужно: система уже хранит этот список и администратор снимает доступ одним действием.
Как устроено безопасное хранение паролей
Собрать все пароли в одном месте поначалу кажется рискованным. На практике держать их в десятке неконтролируемых мест — в чатах, браузерах, таблицах — опаснее. У каждого своя уязвимость, и компания ими не управляет. Безопасное хранение паролей в одном хранилище строится на нескольких механизмах.
- Шифрование AES-256-GCM — стандарт, который применяют в банковских системах и государственных сервисах. Без ключа зашифрованные данные не прочитать.
- Расшифровка на стороне браузера — пароли раскрываются локально, по мастер-паролю сотрудника. На сервере остается только зашифрованная строка.
- Мастер-ключ администратор задает один раз при установке. Дальше система не передает и не хранит его в открытом виде.
- Скрытые поля — пароль отображается звездочками и открывается по нажатию только тому, у кого есть право доступа.
- Встроенный генератор задает длину и сложность пароля, чтобы команда не придумывала базовые пароли, которые легко взломать.
Дополнительный уровень — двухфакторная аутентификация на входе в хранилище. Даже если мастер-пароль попадет к посторонним, без второго фактора — кода из приложения, СМС или аппаратного ключа — доступ к данным злоумышленник не получит. В компании, где к паролям обращаются десятки сотрудников, двухфакторная аутентификация — базовый стандарт.
Абсолютной защиты не дает ни одна система. Единое хранилище убирает большинство типичных уязвимостей, но не заменяет обучение сотрудников и общую культуру безопасности.
Как разграничить доступ к паролям между сотрудниками
В корпоративном хранилище важно не только то, какие пароли там лежат, но и то, у кого из сотрудников есть к ним доступ. Права выстраиваются по иерархии.
Администратор заводит разделы верхнего уровня — обычно по отделам — и назначает ответственного на каждый. Руководитель отдела создает подразделы и сам выдает доступ сотрудникам. Права настраиваются точечно для конкретной записи. В карточке раздела видно, у кого какой уровень доступа. Когда сотрудник уходит из компании, администратор закрывает ему доступ в одном месте — сразу ко всем паролям.
Пример. В компании появился новый маркетолог. Раньше в первый рабочий день руководитель собирал его доступы вручную. Вспоминал, к каким сервисам подключить новичка, искал пароли в переписках и у коллег, пересылал их в чат.
Теперь, когда в компании появился менеджер паролей, руководитель открывает раздел маркетинга в хранилище и за пять — десять минут выдает доступ к нужным сервисам. К рекламным кабинетам, сервисам рассылок и аналитике. Маркетолог сразу видит только свои пароли, копирует их в два клика прямо из карточки, и доступы остаются внутри портала.
Руководитель в любой момент открывает журнал и видит, к каким записям сотрудник обращался. А когда маркетолог переходит в другой проект или увольняется, руководитель закрывает ему доступ одним действием.Как выбрать менеджер паролей для компании
Перед покупкой проверьте несколько критериев и примерьте каждый на свою команду.
Где хранятся пароли. Уточните, где будут находиться данные: в облаке провайдера или на вашем сервере. Облако быстрее запустить, обслуживание берет на себя поставщик. Свой сервер дороже, зато площадку вы контролируете сами. Для закона решает одно: если хранилище работает со сведениями о клиентах и сотрудниках, держать их нужно на серверах в России — и облако, и свой сервер должны находиться внутри страны.
Шифрование. Убедитесь, что система шифрует пароли по стандарту AES-256 и расшифровывает их на устройстве сотрудника, а не на сервере. Тогда, даже если злоумышленник доберется до сервера, он получит набор зашифрованных символов, а не сами пароли.
Права доступа. Хорошее хранилище раздает доступ по отделам, проектам и отдельным сотрудникам, а права наследуются по структуре компании. Так маркетолог открывает только свои сервисы и не подключается к банковским данным компании.
Отзыв доступа. Посмотрите, как быстро система закрывает доступ уволенному. В удобном решении администратор отзывает все пароли сотрудника одним действием, а не обходит каждый сервис вручную.
Генератор паролей. Он сам создает длинные и сложные пароли по заданным правилам.
Простота для сотрудников. Оцените, удобно ли пользоваться хранилищем каждый день. Если найти и скопировать пароль сложнее, чем спросить коллегу в чате, команда вернется к чатам, а хранилище останется пустым.
Интеграции. Узнайте, связывается ли хранилище с сервисами, в которых работает команда: порталом, задачами и CRM. Когда пароли лежат рядом с рабочими инструментами, сотрудник не переключается между окнами ради одного доступа. Крупной компании пригодится единый вход по корпоративной учетной записи.
Российское решение из реестра. Если компания работает с госзаказчиками или подпадает под требования импортозамещения, выбирайте продукт из реестра отечественного ПО. С ним проще пройти проверку службы безопасности.
Почему отдельный менеджер паролей часто не приживается в компании
Компания выбирает корпоративный менеджер паролей, настраивает его, проводит инструктаж, а через месяц сотрудники снова пишут пароли в чаты.
Причина в переключении контекста. Сотрудник работает в CRM, и ему нужен доступ к рекламному кабинету. Пароль лежит в отдельном сервисе. Чтобы его взять, надо свернуть CRM, открыть сторонний сайт, найти запись, скопировать, вернуться и вставить. Спросить пароль у коллеги в чате — быстрее. Так удобство побеждает любые протоколы безопасности.
Менеджер паролей приживается только там, где у сотрудника нет повода переключаться между программами. То есть внутри той самой системы, в которой команда работает каждый день.
Как хранить пароли прямо в Битрикс24
Если команда уже работает в Битрикс24, логично хранить пароли внутри платформы — рядом с задачами, CRM и рабочими файлами.
Хранение паролей в Битрикс24 берет на себя модуль SecKeep. Его создали в TANAiS — студии веб-разработки и интеграций для бизнеса. Модуль встраивается в систему и работает по тем же правилам, что и остальные инструменты Битрикс24.
Вот как работает SecKeep в Битрикс24:
- Хранит разные типы доступов. Модуль заводит отдельную карточку под каждый случай: доступ на сайт, FTP и SSH, база данных, Битрикс-ключ, произвольные данные. У каждого типа свои поля, поэтому сотрудник не вписывает все в одну строку.
- Открывает пароль в два клика. Слева сотрудник видит дерево разделов по отделам и проектам, в центре — список паролей, справа — карточку записи. Логин и пароль он копирует прямо из карточки, без переходов на сторонние сайты.
- Находит запись по названию и тегам. Поиск работает внутри системы, поэтому нужный доступ находится за секунды даже в большом хранилище.
- Раздает права по структуре компании. Доступ к разделам администратор настраивает так же, как и к другим инструментам Битрикс24, — по отделам, проектам и сотрудникам.
- Не требует обучения. Интерфейс повторяет привычную логику Битрикс24, поэтому команда осваивает модуль без отдельного курса.
Подключить SecKeep можно из каталога решений для Битрикс24 — модуль встроится в систему рядом с «Задачами», CRM, звонками и «Диском». Так все важные данные будут храниться в одном месте и у сотрудников не останется причин пересылать пароли друг другу в мессенджерах и по почте.
Как перейти на корпоративный менеджер паролей
Переход проходит спокойнее, если следовать шагам. Собрали ключевые этапы:
- Проведите аудит. Выясните, где сейчас лежат пароли: в чатах, таблицах, браузерах, заметках, на устройствах конкретных сотрудников.
- Составьте список всех нужных ресурсов. Сайты, сервисы, кабинеты, серверы — все, что требует пароля.
- Сгруппируйте сервисы по отделам и проектам — маркетинг, разработка, бухгалтерия. Эти группы станут разделами в хранилище, и каждый сотрудник найдет пароли в своем разделе.
- Выберите решение под свою задачу. Сравните варианты по конкретным критериям: где хранятся данные, какое шифрование, как разграничиваются права, как быстро отзывается доступ при увольнении и есть ли журнал обращений.
- Перенесите пароли в хранилище — списком из CSV или из браузера, а доступы из чатов и таблиц — вручную. Каждый перенесенный пароль сразу проверьте.
- Настройте права на каждый раздел и назначьте ответственного по отделу. Так руководители будут сами выдавать и закрывать доступы своим сотрудникам, без участия администратора.
- Смените пароли, которые хоть раз отправляли в чаты или на почту: пересылка делает их скомпрометированными. Новые соберите встроенным генератором паролей.
- Зафиксируйте одно правило для команды: доступы выдают и запрашивают только через хранилище. Пароль в чате с этого момента — нарушение, а не привычка.
- Через две — четыре недели откройте журнал обращений и загляните в старые таблицы. Если чаты и файлы с паролями опустели — переход состоялся. Если нет — найдите сотрудников, которые все еще пользуются чатом, и помогите им освоить новый инструмент.
Миграцию лучше вести поэтапно — отладить процесс на одном отделе, потом распространить на всю компанию.
Частые вопросы
В специализированном корпоративном хранилище с шифрованием, разграничением прав и аудитом действий. Безопаснее всего решение, встроенное в рабочую среду компании: тогда сотрудники будут реально им пользоваться.
Excel не шифрует данные и не контролирует права доступа — таблица доступна всем, у кого есть ссылка, включая уволенных сотрудников. Из браузера пароли извлекают инфостилеры: один зараженный компьютер открывает доступ ко всем сохраненным паролям.
Это защищенное хранилище для всех паролей компании с шифрованием, разграничением прав по ролям и отделам, аудитом действий и возможностью быстро отозвать доступ при увольнении сотрудника.
Личный хранит пароли одного пользователя. Корпоративный — пароли всей компании с администрированием: кто что видит, кто может изменить, кто отвечает за раздел. Это разные классы инструментов.
Хранить пароли в 20 неконтролируемых местах намного опаснее. Современные корпоративные хранилища используют шифрование класса AES-256-GCM с расшифровкой на стороне клиента — без ключа прочитать данные не получится.
В корпоративном менеджере паролей доступ привязан к аккаунту сотрудника. При увольнении администратор удаляет или деактивирует аккаунт и человек теряет доступ ко всем паролям компании сразу.
Да. Есть специализированные модули, которые встраиваются в портал, например SecKeep от TANAiS. Пароли лежат внутри Битрикс24, рядом с задачами и CRM, без переключения между системами.
Последовательно: сначала составить реестр всех ресурсов, сгруппировать по отделам, затем перенести данные — импортом из CSV или вручную. Пароли, которые передавали через мессенджеры, обязательно нужно сменить: они считаются скомпрометированными.
Стандарт — AES-256 и его варианты, в первую очередь AES-256-GCM. Важно, чтобы расшифровка происходила на стороне клиента, а не на сервере: тогда даже при взломе сервера злоумышленник получит только зашифрованные данные.
Для команды до 50 человек — от одного рабочего дня: настройка, структура, первичный импорт, инструктаж сотрудников. Поэтапное внедрение через один отдел снижает риск ошибок при переносе данных.
Что в итоге
- Слабые и повторяющиеся пароли остаются главной уязвимостью компаний: через один такой пароль злоумышленник заходит во внутреннюю сеть, забирает данные клиентов и выводит деньги, а компания платит штраф за утечку.
- Стикеры, чаты, браузеры и таблицы компания не контролирует: пароль из браузера крадет вирус, доступ из чата остается у уволенного, а проверить доступы к нужным сервисам в масштабе всей компании невозможно.
- Корпоративный менеджер паролей собирает доступы в одном месте: шифрует пароли по стандарту AES-256-GCM, дает каждому сотруднику только нужные записи, закрывает доступ уволенному одним действием и защищает данные с помощью двойной аутентификации.
- Отдельный менеджер паролей часто не приживается в компании: сотруднику лень переключаться между программами, и он возвращается к чатам в мессенджерах. Поэтому хранилище паролей должно находиться там же, где команда работает каждый день.
- Команде в Битрикс24 удобнее хранить пароли прямо внутри платформы — рядом с задачами и CRM. Эту задачу закрывает модуль SecKeep от TANAiS: он встраивается прямо в систему и переключаться между программами не нужно.
- Чтобы начать внедрение менеджера паролей, выпишите, где лежат пароли — в чатах, таблицах, браузерах и у конкретных людей. Это займет около часа и покажет, насколько велик риск утечки прямо сейчас.