Менеджер паролей для Битрикс24: от идеи до релиза

Наше приложение «Менеджер паролей» для облачного сервиса Битрикс24 хранит пароли компании и сотрудников в структурированном виде с шифрованием и разграничением прав доступа. Изначально оно создавалось под нужды компании: отдел разработки устал от неорганизованности и предложил идею удобного и безопасного хранения паролей. Мы выпустили приложение в 2015 году и с тех пор пользуемся им ежедневно. Более 500 паролей разбиты по категориям, имеют распределенный доступ по отделам и сотрудникам и по запросу выдаются одной кнопкой.

Директор веб-студии Intensa Кирилл Трофимов рассказал о работе с приложением, функционале и информационной безопасности.

Расскажите о компании: сколько сотрудников, отделов и как строится коммуникация внутри команды?

В компании работает 20 человек в 5 отделах: разработка, дизайн, интернет-маркетинг, управление проектами и административный отдел.

Коммуникация в основном происходит между клиентом, менеджером и специалистом (маркетологом, разработчиком или дизайнером). Они решают вопросы по ведению проектов, работе в сервисах, получению удаленного доступа к административной панели сайта и т. д.

Сколько паролей использует студия для работы?

Мы храним 500+ паролей. Расскажу, как складывается эта цифра. Каждый отдел использует 20−30 различных доступов. Для офис-менеджера это, например, 1С, почта, поставщики, для менеджеров и разработчиков — сайты проектов, у каждого в среднем по 5 паролей. Таким образом проектов, к которым надо хранить доступы, около 100. Также у сотрудников есть личные пароли к рабочим сервисам.

Как раньше хранили и передавали пароли?

Никакой единой системы у нас не было. Часть паролей я хранил под «ключом» и выдавал по запросу через корпоративные мессенджеры, по whatsapp или электронной почте, какие-то писал на стикере и передавал лично. Еще часть оставалась в истории переписки по проекту.

Что делали при потере пароля?

В 90% случаев пароль удавалось восстановить по почте и ситуаций, когда стал недоступен сервис, не было.

Если пароль терялся из-за ухода сотрудника, то связывались и восстанавливать данные. Думаю, нас спасало, что мы со всеми расстаемся в хороших отношениях и даже поддерживаем связь, поэтому проблем еще не возникало.

Какие главные недостатки хранение паролей вне приложения?

Первое — это небезопасно с точки зрения конфиденциальности данных. Получая доступ к серверу, злоумышленник может беспрепятственно украсть всю информации на нем. Но, если вы используете приложение, для расшифровки потребуется мастер-пароль, который знает только администратор.

Ситуация со взломом сервера скорее нештатная, но даже в безобидном положении, когда из компании уходит сотрудник, нельзя быстро понять, к чему у него были доступы и поменять их.

Второй недостаток — отнимает много времени, оперативно получить доступ к проекту из-за отсутствия не удасться, так как нет централизованного хранения. Начинается проверка папок и документов в поиске нужного ключа.

Что стало отправной точкой для создания «Менеджера паролей»?

Рост команды и проектов. Ситуация, когда 50 ресурсов одновременно находятся на поддержке, разработке и продвижении, заставила задуматься о повышении безопасности, скорости работы и комфорте сотрудников.

Сколько времени заняла разработка сервиса?

Первоначальную версию разрабатывали полгода. На это потребовалось 200 рабочих часов программиста. После запуска первой версии — еще 50 на последующую доработку и исправления ошибок.

Какие технологии использовали?

Мы хотели сделать работу с нашим приложением быстрой и удобной, как с десктопной программой, поэтому для реализации использовали JavaScript-фреймворк AngularJS. В момент старта приложения все данные один раз загружаются через Bitrix Rest API в формате JSON и хранятся в памяти браузера. Далее весь функционал работает мгновенно и без задержек: смена категорий, поиск, настройки, просмотр паролей и так далее. Только при обновлении и добавлении данных происходит Ajax-запрос к серверу.

Сколько человек участвовало в разработке и какой функционал был заложен?

Приложением занимался один человек, предварительно собрав обратную связь от команды. В итоге пришли к набору следующих функций:

  • Система распределенных прав доступа и возможность быстро выдавать их. Допустим, пришел новый сотрудник и начинает работу с 3 проектами. При использовании приложения, менеджер одной кнопкой расшаривает доступ на чтение или редактирование. Это экономит время и помогает поддерживать порядок.
Изображение
  • Возможность структурировать пароли, выделять категории и группы. Например, сделать группировку для менеджера и клиентов так, чтобы только менеджер имел доступ к своей папке с отсортированными ключами.
Изображение
  • Встроенный генератор паролей помогает мгновенно создать безопасный пароль, который нельзя взломать и получить доступ к конфиденциальной информации.
  • Раздел «Избранное» для быстрого доступа к часто используемым паролям, который открывается по умолчанию при загрузке приложения. Избранные пароли индивидуальны, каждый пользователь настраивает их для себя.
  • Просмотр прав позволяет быстро вспомнить (проверить) все выставленные права доступа для конкретного сотрудника или отдела. В таблице показываются все элементы с полной структурой вложенности и правами доступа для них.
  • Мгновенный поиск по группам и паролям во всех категориях. Результаты выводятся автоматически при вводе символов в поисковую строку.
  • История изменений представлена в виде таблицы, из которой можно понять, кто и что добавлял или менял, а также откатить изменения и удаление.
  • Экспорт паролей для резервирования или перехода на другую систему. Администратор может выгрузить все внесенные в приложение данные в единый HTML-документ.
Изображение

Как прошел процесс интеграции?

Интеграция прошла быстро. На первом этапе я создал структуру папок категорий и занес в нее основные доступы.

Изображение
Изображение

Далее менеджеры создали проекты и папки, куда добавили действующие пароли. Когда к «Менеджеру паролей» подключили программистов, они также записали свои доступы.

Все ключи распределили по проектам и категориям. На старте их получилось порядка 10. Через 1−2 недели все пользовались приложением и не представляли как можно работать по-другому.

Как теперь происходит процесс передачи паролей?

Все происходит быстро и в безопасном режиме. В компании запрещено передавать пароли в задаче, мессенджере или чате. Мы наладили единый процесс через приложение и ключи нигде не светятся.

В «Менеджере паролей» я настроил общие доступы для отделов. Например, новый разработчик сразу может использовать ряд инструментов отдела: тестирование сервиса и e-mail, BrowserStack, техническая почта и т. д. Если ему нужен доступ к проекту, то менеджер одной кнопкой расшаривает его или специально создает новый. При этом доступ не дается ко всем паролям. Так, например, джуниор-разработчик видит только информацию о тестовом сервере и административной панели, а доступ по SSH есть только у старшего разработчика.

Изображение

Были ли критические инциденты, когда приложение разрешило ситуацию?

Не могу вспомнить ни одного случая. Были случаи, когда сотрудники случайно удаляли пароли. Часто клиенты теряют или удаляют свои доступы в админку. Но, так как все хранится в приложении, мы расшариваем доступ заново или откатываем изменения с помощью функции «История изменений». В ином случае пришлось бы восстанавливать пароли через почту или писать официальное письмо и доказывать, что аккаунт наш.

Изображение

Есть ли в плане обновления в сервисе?

Да, в планах сделать:

  • уведомления об изменениях в чат/ленту;
  • экспорт данных в различных форматах;
  • автоматическое резервирование данных;
  • настройку генератора паролей;
  • фильтры в истории изменений.

Можно ли протестировать работу приложения до покупки?

Да, оценить работу приложения можно бесплатно в течении 30 дней. Если возникнут вопросы или предложения по доработке сервиса, можно смело писать их на странице https://passmanager24.userecho.com.

Инструкция по установке и FAQ читайте по ссылкам ниже:

Кирилл Трофимов
Генеральный директор
Зелёный свет?

Разработка и развитие интернет-магазинов

Мы помогаем увеличивать выручку интернет-магазинов за счет быстрой и отлаженной аутсорс-разработки, рекламы и аналитики.

16

лет работы

150+

проектов

100%

команды
в штате

90%

клиентов с нами
дольше 3 лет

Оставить заявку