Менеджер паролей для Битрикс24: от идеи до релиза
Наше приложение «Менеджер паролей» для облачного сервиса Битрикс24 хранит пароли компании и сотрудников в структурированном виде с шифрованием и разграничением прав доступа. Изначально оно создавалось под нужды компании: отдел разработки устал от неорганизованности и предложил идею удобного и безопасного хранения паролей. Мы выпустили приложение в 2015 году и с тех пор пользуемся им ежедневно. Более 500 паролей разбиты по категориям, имеют распределенный доступ по отделам и сотрудникам и по запросу выдаются одной кнопкой.
Директор веб-студии Intensa Кирилл Трофимов рассказал о работе с приложением, функционале и информационной безопасности.
Расскажите о компании: сколько сотрудников, отделов и как строится коммуникация внутри команды?
В компании работает 20 человек в 5 отделах: разработка, дизайн, интернет-маркетинг, управление проектами и административный отдел.
Коммуникация в основном происходит между клиентом, менеджером и специалистом (маркетологом, разработчиком или дизайнером). Они решают вопросы по ведению проектов, работе в сервисах, получению удаленного доступа к административной панели сайта и т. д.
Сколько паролей использует студия для работы?
Мы храним 500+ паролей. Расскажу, как складывается эта цифра. Каждый отдел использует 20−30 различных доступов. Для офис-менеджера это, например, 1С, почта, поставщики, для менеджеров и разработчиков — сайты проектов, у каждого в среднем по 5 паролей. Таким образом проектов, к которым надо хранить доступы, около 100. Также у сотрудников есть личные пароли к рабочим сервисам.
Как раньше хранили и передавали пароли?
Никакой единой системы у нас не было. Часть паролей я хранил под «ключом» и выдавал по запросу через корпоративные мессенджеры, по whatsapp или электронной почте, какие-то писал на стикере и передавал лично. Еще часть оставалась в истории переписки по проекту.
Что делали при потере пароля?
В 90% случаев пароль удавалось восстановить по почте и ситуаций, когда стал недоступен сервис, не было.
Если пароль терялся из-за ухода сотрудника, то связывались и восстанавливать данные. Думаю, нас спасало, что мы со всеми расстаемся в хороших отношениях и даже поддерживаем связь, поэтому проблем еще не возникало.
Какие главные недостатки хранение паролей вне приложения?
Первое — это небезопасно с точки зрения конфиденциальности данных. Получая доступ к серверу, злоумышленник может беспрепятственно украсть всю информации на нем. Но, если вы используете приложение, для расшифровки потребуется мастер-пароль, который знает только администратор.
Ситуация со взломом сервера скорее нештатная, но даже в безобидном положении, когда из компании уходит сотрудник, нельзя быстро понять, к чему у него были доступы и поменять их.
Второй недостаток — отнимает много времени, оперативно получить доступ к проекту из-за отсутствия не удасться, так как нет централизованного хранения. Начинается проверка папок и документов в поиске нужного ключа.
Что стало отправной точкой для создания «Менеджера паролей»?
Рост команды и проектов. Ситуация, когда 50 ресурсов одновременно находятся на поддержке, разработке и продвижении, заставила задуматься о повышении безопасности, скорости работы и комфорте сотрудников.
Сколько времени заняла разработка сервиса?
Первоначальную версию разрабатывали полгода. На это потребовалось 200 рабочих часов программиста. После запуска первой версии — еще 50 на последующую доработку и исправления ошибок.
Какие технологии использовали?
Мы хотели сделать работу с нашим приложением быстрой и удобной, как с десктопной программой, поэтому для реализации использовали JavaScript-фреймворк AngularJS. В момент старта приложения все данные один раз загружаются через Bitrix Rest API в формате JSON и хранятся в памяти браузера. Далее весь функционал работает мгновенно и без задержек: смена категорий, поиск, настройки, просмотр паролей и так далее. Только при обновлении и добавлении данных происходит Ajax-запрос к серверу.
Сколько человек участвовало в разработке и какой функционал был заложен?
Приложением занимался один человек, предварительно собрав обратную связь от команды. В итоге пришли к набору следующих функций:
- Система распределенных прав доступа и возможность быстро выдавать их. Допустим, пришел новый сотрудник и начинает работу с 3 проектами. При использовании приложения, менеджер одной кнопкой расшаривает доступ на чтение или редактирование. Это экономит время и помогает поддерживать порядок.
- Возможность структурировать пароли, выделять категории и группы. Например, сделать группировку для менеджера и клиентов так, чтобы только менеджер имел доступ к своей папке с отсортированными ключами.
- Встроенный генератор паролей помогает мгновенно создать безопасный пароль, который нельзя взломать и получить доступ к конфиденциальной информации.
- Раздел «Избранное» для быстрого доступа к часто используемым паролям, который открывается по умолчанию при загрузке приложения. Избранные пароли индивидуальны, каждый пользователь настраивает их для себя.
- Просмотр прав позволяет быстро вспомнить (проверить) все выставленные права доступа для конкретного сотрудника или отдела. В таблице показываются все элементы с полной структурой вложенности и правами доступа для них.
- Мгновенный поиск по группам и паролям во всех категориях. Результаты выводятся автоматически при вводе символов в поисковую строку.
- История изменений представлена в виде таблицы, из которой можно понять, кто и что добавлял или менял, а также откатить изменения и удаление.
- Экспорт паролей для резервирования или перехода на другую систему. Администратор может выгрузить все внесенные в приложение данные в единый HTML-документ.
Как прошел процесс интеграции?
Интеграция прошла быстро. На первом этапе я создал структуру папок категорий и занес в нее основные доступы.
Далее менеджеры создали проекты и папки, куда добавили действующие пароли. Когда к «Менеджеру паролей» подключили программистов, они также записали свои доступы.
Все ключи распределили по проектам и категориям. На старте их получилось порядка 10. Через 1−2 недели все пользовались приложением и не представляли как можно работать по-другому.
Как теперь происходит процесс передачи паролей?
Все происходит быстро и в безопасном режиме. В компании запрещено передавать пароли в задаче, мессенджере или чате. Мы наладили единый процесс через приложение и ключи нигде не светятся.
В «Менеджере паролей» я настроил общие доступы для отделов. Например, новый разработчик сразу может использовать ряд инструментов отдела: тестирование сервиса и e-mail, BrowserStack, техническая почта и т. д. Если ему нужен доступ к проекту, то менеджер одной кнопкой расшаривает его или специально создает новый. При этом доступ не дается ко всем паролям. Так, например, джуниор-разработчик видит только информацию о тестовом сервере и административной панели, а доступ по SSH есть только у старшего разработчика.
Были ли критические инциденты, когда приложение разрешило ситуацию?
Не могу вспомнить ни одного случая. Были случаи, когда сотрудники случайно удаляли пароли. Часто клиенты теряют или удаляют свои доступы в админку. Но, так как все хранится в приложении, мы расшариваем доступ заново или откатываем изменения с помощью функции «История изменений». В ином случае пришлось бы восстанавливать пароли через почту или писать официальное письмо и доказывать, что аккаунт наш.
Есть ли в плане обновления в сервисе?
Да, в планах сделать:
- уведомления об изменениях в чат/ленту;
- экспорт данных в различных форматах;
- автоматическое резервирование данных;
- настройку генератора паролей;
- фильтры в истории изменений.
Можно ли протестировать работу приложения до покупки?
Да, оценить работу приложения можно бесплатно в течении 30 дней. Если возникнут вопросы или предложения по доработке сервиса, можно смело писать их на странице https://passmanager24.userecho.com.
Инструкция по установке и FAQ читайте по ссылкам ниже: