Наше приложение «Менеджер паролей» для облачного сервиса Битрикс24 хранит пароли компании и сотрудников в структурированном виде с шифрованием и разграничением прав доступа. Изначально оно создавалось под нужды компании: отдел разработки устал от неорганизованности и предложил идею удобного и безопасного хранения паролей. Мы выпустили приложение в 2015 году и с тех пор пользуемся им ежедневно. Более 500 паролей разбиты по категориям, имеют распределенный доступ по отделам и сотрудникам и по запросу выдаются одной кнопкой.

Директор веб-студии Intensa Кирилл Трофимов рассказал о работе с приложением, функционале и информационной безопасности.


Расскажите о компании: сколько сотрудников, отделов и как строится коммуникация внутри команды?

В компании работает 20 человек в 5 отделах: разработка, дизайн, интернет-маркетинг, управление проектами и административный отдел.

Коммуникация в основном происходит между клиентом, менеджером и специалистом (маркетологом, разработчиком или дизайнером). Они решают вопросы по ведению проектов, работе в сервисах, получению удаленного доступа к административной панели сайта и т. д.

Сколько паролей использует студия для работы?

Мы храним 500+ паролей. Расскажу, как складывается эта цифра. Каждый отдел использует 20–30 различных доступов. Для офис-менеджера это, например, 1С, почта, поставщики, для менеджеров и разработчиков — сайты проектов, у каждого в среднем по 5 паролей. Таким образом проектов, к которым надо хранить доступы, около 100. Также у сотрудников есть личные пароли к рабочим сервисам.

Как раньше хранили и передавали пароли?

Никакой единой системы у нас не было.
Часть паролей я хранил под «ключом» и выдавал по запросу через корпоративные мессенджеры, по whatsapp или электронной почте, какие-то писал на стикере и передавал лично. Еще часть оставалась в истории переписки по проекту.

Что делали при потере пароля?

В 90% случаев пароль удавалось восстановить по почте и ситуаций, когда стал недоступен сервис, не было.
Если пароль терялся из-за ухода сотрудника, то связывались и восстанавливать данные. Думаю, нас спасало, что мы со всеми расстаемся в хороших отношениях и даже поддерживаем связь, поэтому проблем еще не возникало.

Какие главные недостатки хранение паролей вне приложения?

Первое — это небезопасно с точки зрения конфиденциальности данных. Получая доступ к серверу, злоумышленник может беспрепятственно украсть всю информации на нем. Но, если вы используете приложение, для расшифровки потребуется мастер-пароль, который знает только администратор.

Ситуация со взломом сервера скорее нештатная, но даже в безобидном положении, когда из компании уходит сотрудник, нельзя быстро понять, к чему у него были доступы и поменять их.

Второй недостаток — отнимает много времени, оперативно получить доступ к проекту из-за отсутствия не удасться, так как нет централизованного хранения. Начинается проверка папок и документов в поиске нужного ключа.

Что стало отправной точкой для создания «Менеджера паролей»?

Рост команды и проектов. Ситуация, когда 50 ресурсов одновременно находятся на поддержке, разработке и продвижении, заставила задуматься о повышении безопасности, скорости работы и комфорте сотрудников.

Сколько времени заняла разработка сервиса?

Первоначальную версию разрабатывали полгода. На это потребовалось 200 рабочих часов программиста. После запуска первой версии — еще 50 на последующую доработку и исправления ошибок.

Какие технологии использовали?

Мы хотели сделать работу с нашим приложением быстрой и удобной, как с десктопной программой, поэтому для реализации использовали JavaScript-фреймворк AngularJS.
В момент старта приложения все данные один раз загружаются через Bitrix Rest API в формате JSON и хранятся в памяти браузера. Далее весь функционал работает мгновенно и без задержек: смена категорий, поиск, настройки, просмотр паролей и так далее. Только при обновлении и добавлении данных происходит Ajax-запрос к серверу.

Сколько человек участвовало в разработке и какой функционал был заложен?

Приложением занимался один человек, предварительно собрав обратную связь от команды. В итоге пришли к набору следующих функций:

  • Система распределенных прав доступа и возможность быстро выдавать их. Допустим, пришел новый сотрудник и начинает работу с 3 проектами. При использовании приложения, менеджер одной кнопкой расшаривает доступ на чтение или редактирование. Это экономит время и помогает поддерживать порядок.
  • Возможность структурировать пароли, выделять категории и группы. Например, сделать группировку для менеджера и клиентов так, чтобы только менеджер имел доступ к своей папке с отсортированными ключами.
  • Встроенный генератор паролей помогает мгновенно создать безопасный пароль, который нельзя взломать и получить доступ к конфиденциальной информации.
  • Раздел «Избранное» для быстрого доступа к часто используемым паролям, который открывается по умолчанию при загрузке приложения. Избранные пароли индивидуальны, каждый пользователь настраивает их для себя.
  • Просмотр прав позволяет быстро вспомнить (проверить) все выставленные права доступа для конкретного сотрудника или отдела. В таблице показываются все элементы с полной структурой вложенности и правами доступа для них.
  • Мгновенный поиск по группам и паролям во всех категориях. Результаты выводятся автоматически при вводе символов в поисковую строку.
  • История изменений представлена в виде таблицы, из которой можно понять, кто и что добавлял или менял, а также откатить изменения и удаление.
  • Экспорт паролей для резервирования или перехода на другую систему. Администратор может выгрузить все внесенные в приложение данные в единый HTML-документ.

Самое главное свойство, которым мы наделили наше приложение, это безопасность. Пароли безопасно хранятся не только внутри компании, но и недоступны для злоумышленников извне. Ни у нас, ни у представителей Битрикс24 нет доступа к данным пользователей приложения. «Менеджер паролей» устанавливается в контейнер Битрикс24 и работает как приложение с сервера, непосредственно из корпоративного портала. Данные хранятся в зашифрованном виде и расшифровываются только при загрузке приложения в браузере после ввода мастер-пароля.

Как прошел процесс интеграции?

Интеграция прошла быстро. На первом этапе я создал структуру папок категорий и занес в нее основные доступы.

Далее менеджеры создали проекты и папки, куда добавили действующие пароли. Когда к «Менеджеру паролей» подключили программистов, они также записали свои доступы.

Все ключи распределили по проектам и категориям. На старте их получилось порядка 10. Через 1–2 недели все пользовались приложением и не представляли как можно работать по-другому.

Как теперь происходит процесс передачи паролей?

Все происходит быстро и в безопасном режиме. В компании запрещено передавать пароли в задаче, мессенджере или чате. Мы наладили единый процесс через приложение и ключи нигде не светятся.

В «Менеджере паролей» я настроил общие доступы для отделов. Например, новый разработчик сразу может использовать ряд инструментов отдела: тестирование сервиса и e-mail, BrowserStack, техническая почта и т. д. Если ему нужен доступ к проекту, то менеджер одной кнопкой расшаривает его или специально создает новый. При этом доступ не дается ко всем паролям. Так, например, джуниор-разработчик видит только информацию о тестовом сервере и административной панели, а доступ по SSH есть только у старшего разработчика.

Были ли критические инциденты, когда приложение разрешило ситуацию?

Не могу вспомнить ни одного случая. Были случаи, когда сотрудники случайно удаляли пароли. Часто клиенты теряют или удаляют свои доступы в админку. Но, так как все хранится в приложении, мы расшариваем доступ заново или откатываем изменения с помощью функции «История изменений». В ином случае пришлось бы восстанавливать пароли через почту или писать официальное письмо и доказывать, что аккаунт наш.

Есть ли в плане обновления в сервисе?

Да, в планах сделать:

  • уведомления об изменениях в чат/ленту;
  • экспорт данных в различных форматах;
  • автоматическое резервирование данных;
  • настройку генератора паролей;
  • фильтры в истории изменений.

Можно ли протестировать работу приложения до покупки?

Да, оценить работу приложения можно бесплатно в течении 30 дней. Если возникнут вопросы или предложения по доработке сервиса, можно смело писать их на странице https://passmanager24.userecho.com.

Инструкция по установке и FAQ читайте по ссылкам ниже:

Настраиваю процессы, развиваю команду, забочусь о клиентах
Пишу тексты про digital.


You May Also Like