Компании всё больше полагаются на облачные сервисы — офис становится плоским. Теперь критично, как и где вы и ваши сотрудники храните пароли. Чтобы украсть важную информацию, не нужно приходить к вам в офис. Достаточно взломать почту или профиль в социальной сети одного из сотрудников. А там явки, пароли, расчленёнка…

Ваши сотрудники хранят пароли абы как

Защитить свою компанию от взлома можно если, кроме прочего, разумно подойти к хранению паролей.

 

Вот несколько простых мер:

  • Запретить писать пароли на бумажках, в блокнотах, вывешивать на видном месте в офисе и пересылать по электронной почте/мэссенджерах.
  • Научить сотрудников составлять сильные пароли вместо «1234567890» и «aadmin».
  • Запретить использовать один и тот же пароль для множества сервисов.
  • Менять пароли при увольнении сотрудника.
  • Регулярно менять пароли к критичным базам данных.

Возникает новая проблема. Безопасные пароли запомнить сложно, а записать нельзя. Что же с ними делать? Многие составляют табличку в Google Sheets и дают доступ всем заинтересованным. Решение рабочее, но тоже неважное. Особенно «здорово» искать пароль в этой табличке, находить, и только потом обнаруживать, что он неактуальный. Да и с разграничением доступов по ролям сотрудников не разгонишься.

Разумный выход — использовать менеджер паролей.

Менеджер паролей — это программа, которая шифрует и хранит ваши пароли в надёжном месте. Два в одном: безопасные пароли, которыми удобно пользоваться. Остаётся запомнить единственный пароль — к самому менеджеру.

Менеджеров паролей много, они обычно достаточно сложные для восприятия и настройки (надо нанять «программиста»?) и их постоянно ругают. Большие компании давно знают, как решать такие проблемы. У них есть свои специалисты по безопасности и специальные решения. Владельцу же малого и среднего бизнеса легко потеряться в технических деталях. Я потратил немного времени и разобрался в этой теме. Вот что я узнал.

Какие бывают менеджеры паролей

Такие программы бывают для личного и корпоративного использования. Есть локальные версии (все данные хранятся на вашем компьютере или локальном диске) и облачные. Локальные, говорят, безопаснее. Это, например, Keepas и Roboform. C ними вам придётся везде таскать с собой или разместить где-то на сервере файл с паролями. Последнее резко снижает эффективность применения локального менеджера, так как ваш сервер скорее всего недостаточно защищен. Kinda defeats the purpose. Поэтому облачные.

И, естественно, нас интересуют менеджеры с возможностью корпоративного использования. Что это значит. Нам нужно управлять, какие пароли кому из сотрудников доступны; настраивать, на сколько сложными должны быть пароли; безопасно делиться ими между сотрудниками одного отдела и т. п.

Преимуществ у корпоративного менеджера паролей предостаточно:

  • Экономия времени и сил сотрудников, которым теперь нужно запомнить только один пароль.
  • Используются безопасные пароли.
  • Пароли не передаются в личной переписке, по вайберу или в личке в фейсбуке.
  • Экономия времени администратора в случаях «не могу зайти в ХХХ, помогите восстановить пароль».
  • Легко изменить пароли, когда кто-то уволился.
  • Легко передать пароли новому сотруднику.

Из облачных сервисов с корпоративным функционалом мне известны два: LastPass и Dashlane. Хотите подробностей? Посмотрите сравнение Лайфхакера (перевод на ЦП) или просто погуглите. Если отбросить инди-разработки* небольших компаний, остаются только упомянутые выше ЛастПасс и Дешлейн. Если еще учесть, что последний в два раза дороже, понятно, почему мой выбор пал на ЛастПасс.

*На том же ЦП как-то пиарился сервис Passwork, но поводов доверять им меньше, чем тому же ЛастПасс. Хотя стоит немного дешевле.

Возможности и недостатки ЛастПасс

Ранее я написал короткий обзор возможностей ЛастПасс в Enterprise версии. С тех пор я перешел на платный аккаунт, настроил его для всех сотрудников, включил некоторые политики и двуфакторную авторизацию.

хранение паролей без менеджера

такое было и у нас раньше

Особых недостатков, кроме устаревшего дизайна интерфейса, я не нашел. Это самый старый и самый крупный менеджер. Конечно, они лакомый кусок для хакеров. Их даже взломали в июне, но только ничего толком не украли и никто не пострадал. Зато нерадивые журналисты раздули из этого новость и все теперь знают, что «ЛастПасс — это небезопасно» и продолжают записывать пароли на клейких листиках.

Резюме

Владельцам и руководителям бизнеса стоит задуматься о политике цифровой безопасности в своих компаниях. Неправильное хранение и передача паролей — серьёзная угроза безопасности. Я рекомендую внедрить корпоративный менеджер паролей. Это удобно, безопасно и экономит время. Для себя я выбрал сервис LastPass, хотя существуют альтернативы. Разобраться во всём этом несложно, но владельцу бизнеса нужно потратить на это некоторое время. Я уже разобрался и могу помочь с внедрением. Напишите мне на почту, если интересно.