От стикеров на мониторе до сертифицированного СЗИ: эволюция управления паролями в российских компаниях
Представьте типичный понедельник в среднестатистической российской компании. Сотрудник бухгалтерии открывает ящик стола, достаёт блокнот с десятком записанных от руки паролей и начинает рабочий день. По соседству разработчик копирует строку с токеном базы данных прямо в корпоративный мессенджер. Коллеге нужно срочно, а возиться с правами доступа некогда. Системный администратор хранит все сервисные учётные записи в таблице Excel на общем сетевом диске. Пароль к самой таблице «123456», потому что «всё равно внутри периметра».
Это не гипотетический сценарий из учебника по безопасности. Это картина реального состояния парольной гигиены в тысячах организаций по всей стране: от небольших ИТ-компаний до структур, обслуживающих критическую инфраструктуру. И пока картина выглядит именно так, злоумышленнику не нужны сложные инструменты. Достаточно немного терпения.
Хроника предсказуемых катастроф
Весной 2025 года началась атака на российскую медицинскую организацию, которую позднее связали с группой Shedding Zmiy. Инцидент заметили только в ноябре 2025 года, а публичный разбор появился в апреле 2026-го. Точкой входа стал корпоративный VPN: доступ к нему открыла учётная запись уволенного сотрудника, которую никто не отключил. Дальше взломали сервер базы данных PostgreSQL. Метод? Обычная учётная запись с простым паролем и встроенные возможности самой СУБД для удалённого выполнения команд. Журналы VPN хранились всего несколько дней, поэтому полностью восстановить хронологию не удалось.
Это не исключение. Посмотрим на цифры. По данным «Лаборатории Касперского», только за первый квартал 2024 года в рунете обнаружили более 19 миллионов выложенных паролей, что в шесть раз больше, чем за тот же период 2023-го. Международный RockYou2024, файл с 9,9 миллиарда уникальных паролей, опубликованный на хакерском форуме летом того же года, хорошо иллюстрирует масштаб накопленной проблемы. Это компиляция реальных паролей из более чем 4000 баз данных за двадцать лет. Перебор по такому словарю резко повышает вероятность успешной атаки против любой организации, где сотрудники переиспользуют пароли или выбирают предсказуемые комбинации.
Исследование ScanFactory, охватившее 125 российских организаций из 18 отраслей за 2022–2025 годы, показало, что более 70% уязвимостей внешнего периметра составляют типовые ошибки: слабые пароли, неправильные конфигурации, устаревшее программное обеспечение. Простые. Предсказуемые. Устранимые.
Как именно утекают корпоративные пароли? Вот три устойчивых паттерна.
Мессенджеры и почта. «Скинь пароль от сервера, буду настраивать». Фраза, которую большинство сисадминов слышали не раз. Пароль летит в Telegram, иногда в личку, иногда в рабочий чат. Хранится там годами. При компрометации аккаунта злоумышленник получает не просто переписку, а полный архив учётных данных.
Репозитории. Разработчики по всему миру регулярно отправляют секреты прямо в код. По данным GitHub, только за 2024 год выявлено более 39 миллионов случаев утечки ключей и паролей в репозиториях. Среди наиболее распространённых находок: ключи API, токены OAuth, учётные данные баз данных.
Таблицы и документы. Общий Excel с паролями на сетевом диске. Феномен настолько распространённый, что давно стал мемом среди специалистов по безопасности. Доступ к такому файлу получает каждый, кто подключился к общей папке. Ни журналирования, ни ролевой модели, ни контроля изменений.
Отдельного внимания заслуживает взлом LastPass в 2022 году. Злоумышленники взломали домашний компьютер одного из сотрудников компании и получили доступ к зашифрованным резервным копиям хранилищ пользователей сервиса. Там хранились учётные данные, закрытые ключи криптокошельков и сид-фразы. Последствия не закрыты до сих пор: блокчейн-аналитики продолжают фиксировать кражи криптовалюты, прямо связанные с той утечкой, уже на сотни миллионов долларов. 30 миллионов пользователей, доверившихся облачному хранилищу паролей, получили многолетнюю головную боль.
(Вот где самое время вспомнить тезис «мои данные в облаке защищены лучше, чем у меня на сервере». Иногда да. Иногда совсем нет.)
Проблема выбора: между неудобством и риском
Когда ИТ-руководитель осознаёт проблему и начинает искать решение, рынок предлагает несколько очевидных путей. Каждый со своими неочевидными подводными камнями.
Путь первый: KeePass. Популярный бесплатный инструмент, знакомый, наверное, каждому сисадмину с опытом больше пяти лет. Шифрование надёжное, данные хранятся локально, никакого облака. Звучит как идеальное решение для параноика. Работает отлично, пока вы один.
Стоит добавить второго пользователя, и начинаются вопросы. Как синхронизировать базу между сотрудниками? Как разграничить доступ, чтобы разработчик видел только свои пароли, а не учётные данные бухгалтерии? Как отозвать доступ уволенного сотрудника, если у него осталась копия файла базы? Как отследить, кто и когда просматривал пароль от корневой учётной записи?
В базовой конфигурации KeePass не отвечает ни на один из этих вопросов: продукт проектировался как персональный инструмент, а не как корпоративная система управления доступом. Энтузиасты выстраивают схемы с синхронизацией через сетевой диск и самодельными политиками, но это не масштабируется и не аудируется. Плюс реальные уязвимости: CVE-2023-32784 позволяла извлечь мастер-пароль прямо из памяти процесса (закрыта в версии 2.54, но сколько команд обновились вовремя?), а CVE-2023-24055 давала возможность через манипуляцию конфигурационным файлом выгрузить всю базу в открытом виде. Правда, для этого нужен доступ на запись к конфигу, а при скомпрометированном рабочем месте это вполне реально.
Путь второй: западные облачные сервисы. 1Password, Dashlane и аналоги. Удобные, зрелые продукты с корпоративными функциями, поддержкой Active Directory (службы каталогов) и подробным аудитом. До 2022 года многие российские компании спокойно ими пользовались.
Потом ситуация изменилась. Западные сервисы начали ограничивать доступ под давлением санкций или уходить с российского рынка. Компании, работающие в регулируемых отраслях, оказались перед неприятным выбором: продолжать использовать инструмент, данные в котором физически хранятся на серверах в иностранной юрисдикции, или срочно искать замену.
Для организаций с государственными информационными системами, объектами критической информационной инфраструктуры (КИИ) или системами обработки персональных данных это не вопрос предпочтений. Подобный подход может прямо конфликтовать с требованиями к аттестации систем, моделями угроз и внутренними регламентами. Особенно для ГИС и КИИ первой категории. Роскомнадзор зафиксировал 135 случаев утечки персональных данных россиян в 2024 году. А поправки к Федеральному закону № 152-ФЗ и изменения в КоАП РФ, введённые ФЗ № 420 в ноябре 2024-го, подняли штрафы за повторные утечки до 500 миллионов рублей. Регуляторный риск стал финансово ощутимым.
Что должен уметь корпоративный менеджер паролей
Прежде чем переходить к конкретным решениям, стоит сформулировать требования. Не маркетинговые буклеты, а реальный список того, что нужно ИТ-отделу для нормальной работы.
Развёртывание на собственной инфраструктуре. Данные должны физически находиться на серверах компании. Для организаций, работающих с государственными системами и объектами КИИ первой категории, это требование аттестации, а не пожелание.
Интеграция со службой каталогов. Новый сотрудник появляется в Active Directory и автоматически получает нужные права в менеджере паролей. Уволенный сотрудник деактивируется в AD, и доступ к корпоративным секретам закрывается немедленно, а не «когда руки дойдут». Без нормальной интеграции с LDAP/AD любой корпоративный менеджер паролей превращается в ещё один инструмент для ручного управления. История с медицинским учреждением и незакрытой учётной записью уволенного сотрудника ровно об этом.
Ролевая модель доступа. Разработчик видит пароли от тестовых сред, но не от производственных баз данных. Бухгалтер работает со своим набором учётных записей. Системный администратор управляет инфраструктурными учётными данными. Руководитель безопасности видит аудит всего. Каждый получает только то, что нужно для работы.
Полный журнал действий. Кто просматривал пароль от корневой учётной записи в пятницу вечером? Когда сменили пароль от базы данных? Кто скопировал учётные данные VPN за последние 30 дней? Без ответов на эти вопросы расследование инцидента превращается в гадание на кофейной гуще.
Шифрование на стороне клиента. Даже если злоумышленник получит доступ к серверу, данные должны оставаться зашифрованными. Пароли не должны существовать в открытом виде нигде, кроме памяти конкретного клиентского приложения в момент использования.
Совместимость с отечественными операционными системами. Astra Linux, РЕД ОС, «Альт». Для государственных и окологосударственных структур это не экзотика, а штатная среда. Продукт должен там работать.
И последнее, о чём раньше можно было не думать, а теперь нельзя игнорировать: сертификация регулятора.
Когда сертификат перестаёт быть формальностью
Представьте другой сценарий: регулятор приходит с проверкой на объект КИИ. Первый вопрос: каким инструментом управляете привилегированными учётными данными? «KeePass на сетевой папке» уже не ответ, это начало долгого разговора. «Зарубежный облачный сервис»: ещё хуже. «Несертифицированное решение отечественного производителя»: лучше, но всё равно придётся обосновывать каждое отступление от модели угроз. А «сертифицированное средство защиты информации с четвёртым уровнем доверия ФСТЭК» снимает один из ключевых вопросов при выборе инструмента для регулируемого контура. Остаются аттестация, регламенты и корректное внедрение, но разговор о самом продукте закрыт.
30 апреля 2026 года российский разработчик «Пассворк» получил сертификат ФСТЭК России № 5063 по четвёртому уровню доверия. Это наивысший уровень сертификации для коммерческих средств защиты информации в стране. По данным самой компании и открытых публикаций профильных изданий, «Пассворк» стал первым менеджером паролей в России с подобным документом.
Что это означает на практике? Четвёртый уровень доверия открывает применение продукта в государственных информационных системах до первого класса защищённости включительно, в системах обработки персональных данных до первого уровня защищённости, в значимых объектах КИИ до первой категории. Иными словами, везде, где требования к защите информации максимальные.
До появления «Пассворка» с сертификатом организации, работающие в регулируемых отраслях, оказывались перед неприятным выбором: либо использовать несертифицированное решение и каждый раз обосновывать это перед регулятором, либо хранить пароли в таблицах и блокнотах. Что, как ни странно, формально не запрещено, просто небезопасно. Теперь этой дилеммы нет.
Путь к сертификату занял несколько лет. В июне 2024 года компания получила лицензии ФСТЭК на деятельность по технической защите конфиденциальной информации и на разработку средств защиты. Параллельно шла работа с лицензией ФСБ на криптографические технологии. Сертификация включала многомесячную работу команды разработки, внутренней службы безопасности и независимых аудиторов.
Что умеет «Пассворк»
Сертификат сертификатом, но что с функциональностью? Продукт закрывает весь чеклист, описанный выше.
Данные хранятся исключительно на серверах компании-заказчика. Шифрование происходит на стороне клиента перед отправкой на сервер: мастер-пароль никогда не передаётся по сети. Алгоритм шифрования можно выбрать: ГОСТ или AES-256, в зависимости от требований конкретной системы. Ключи строятся через PBKDF2 на основе мастер-пароля, хеш которого вычисляется через SHA-256.
Интеграция с LDAP и Active Directory позволяет синхронизировать учётные записи без ручной работы. Поддерживается единая авторизация (SSO). Администратор настраивает права доступа до уровня отдельных папок и сейфов, а журнал фиксирует каждое действие с паролем: просмотр, копирование, изменение, удаление.
Встроенный аудит безопасности отслеживает устаревшие, слабые и скомпрометированные пароли, выводя уведомления. Это важная деталь: по данным Verizon DBIR 2025, 88% атак типа «взлом веб-приложений» (Basic Web Application Attacks) связаны с украденными учётными данными.
«Пассворк» работает на PHP, поддерживает установку на Windows Server и Linux, как через Docker, так и без него. Совместимость с Astra Linux, РЕД ОС, МСВСфера, «Атлант» и SelectOS подтверждена сертификатами совместимости. Безопасность кода проверяет площадка Standoff Bug Bounty, через которую, по данным компании, работают более 30 000 независимых исследователей.
Техническую зрелость продукта подтвердило партнёрство со СберТехом: после двустороннего тестирования совместимости с СУБД Platform V Pangolin DB компании подписали сертификат совместимости. Для корпораций, выстраивающих импортозамещённую инфраструктуру, где каждый компонент стека должен работать с сертифицированной СУБД, это практически значимый сигнал.
Сравнение подходов к управлению паролями
| Критерий | KeePass | Западные облачные сервисы | «Пассворк» (on-premise) |
|---|---|---|---|
| Хранение данных | Локально / сетевая папка | Облако иностранного провайдера | Серверы компании |
| Интеграция с AD/LDAP | Нет в базовой модели | Есть | Есть |
| Ролевая модель и аудит | Нет | Есть | Есть |
| Шифрование на стороне клиента | Да | Зависит от сервиса | Да (ГОСТ или AES-256) |
| Сертификат ФСТЭК | Нет | Нет | 4-й уровень доверия, № 5063 |
| Применимость в ГИС / КИИ | Под вопросом | Регуляторный риск / требует отдельного обоснования | До 1-го класса / категории |
| Совместимость с отечественными ОС | Частично | Ограниченно | Astra Linux, РЕД ОС и др. |
| Стоимость | Бесплатно | Подписка в валюте | Коммерческая лицензия (рубли) |
Немного о том, чего сертификат не решает
Было бы нечестно закончить на ноте безоговорочного оптимизма. Любой инструмент, сколь угодно технически совершенный, не решает проблему сам по себе.
Внедрение корпоративного менеджера паролей без сопутствующих мер напоминает установку бронированной двери при открытом окне. Нужна политика жизненного цикла паролей: как часто менять, что делать при увольнении сотрудника. Нужны регулярные аудиты: не просто смотреть в интерфейс, а проверять, что все пароли действительно мигрировали из Excel и мессенджеров в централизованное хранилище. Нужно обучение персонала, потому что человек, привыкший хранить пароли на стикере, не начнёт пользоваться новым инструментом автоматически.
Менеджер паролей закрывает один слой задачи. Многофакторная аутентификация (МФА), единая авторизация, ротация секретов и мониторинг аномалий составляют соседние слои, без которых полная картина не складывается. Для привилегированных учётных записей сисадминов и DevOps дополнительно стоит смотреть в сторону PAM-систем (управление привилегированным доступом), которые решают смежные, но более узкоспециализированные задачи.
Полезно интегрировать отчётность менеджера паролей с SIEM-системой. Тогда подозрительная активность вокруг привилегированных учётных данных попадёт в поле зрения команды безопасности, а не останется записью в журнале, который никто не читает.
Стоит честно оценить и стоимость владения. У «Пассворка» нет бесплатного тарифа: коммерческий продукт корпоративного класса требует бюджета. Небольшие команды, не работающие с регулируемыми контурами, могут начать с облачного решения. Но для организаций, которым нужен сертифицированный ФСТЭК корпоративный менеджер паролей с развёртыванием на собственной инфраструктуре, круг вариантов сегодня крайне узок.
С чего начать прямо сейчас
Российский рынок средств защиты информации проходит плановое импортозамещение уже несколько лет. Большинство классов продуктов закрыто отечественными сертифицированными решениями. Менеджеры паролей оставались исключением: классом, где сертифицированного решения попросту не существовало. Теперь это изменилось.
Практический план для тех, кто решил навести порядок, выглядит примерно так. Сначала инвентаризация: где и как сейчас хранятся корпоративные секреты. Потом ликвидация Excel-таблиц и паролей в мессенджерах. Параллельно стоит подключить МФА везде, где она доступна. Затем выбор инструмента под конкретный регуляторный контур: если организация работает с ГИС, ИСПДн или объектами КИИ, выбор неизбежно упирается в требование сертификата.
Где-то в бухгалтерии до сих пор лежит блокнот с паролями. В корпоративном чате хранится токен от производственной базы данных. Бывший сотрудник, возможно, до сих пор может войти в VPN. Злоумышленнику не нужны сложные инструменты. Нужна только нерасторопность на другой стороне.
18+ Реклама ООО «Пассворк». ИНН 2901311774, erid:2SDnjeGGKTx