Корпоративный менеджер паролей: Bitwarden вместо стикеров и общего блокнота

У меня есть клиент — небольшая юридическая фирма, восемь человек. Когда я первый раз приехал к ним смотреть на инфраструктуру, на мониторе секретаря висел жёлтый стикер с паролем от корпоративной почты. Той самой, которой все восемь человек пользовались вместе. Я не удивился — я такое вижу каждую неделю, у самых разных компаний.

Как это обычно устроено в небольшой компании

Есть несколько классических сценариев. Первый — стикеры на мониторе или под клавиатурой. Второй — файл на общем сетевом диске, который называется что-то вроде «пароли_компания_обновлённый_финал_v3.xlsx». Третий, самый живучий — пароли в общем чате WhatsApp или Telegram. Их там можно найти обычным поиском по слову «пароль». Попробуйте прямо сейчас, в своём рабочем чате.

Отдельная история с 1С. Там нередко один логин на всех операторов, потому что «так исторически сложилось» и «зачем усложнять». Бухгалтер Марина ушла в декрет — её логин продолжают использовать. Менеджер Коля уволился не по-хорошему — а доступ к CRM у него ещё три месяца остаётся, просто никто не озаботился отозвать. Я не драматизирую. Это реальные ситуации из моей практики, из разных компаний.

Особняком стоят пароли от внешних сервисов: хостинг, кабинет в Яндекс.Директе, личный кабинет на Госуслугах, маркетплейсы. Их вообще никто не помнит — они хранятся в браузере у того, кто когда-то это настраивал. Человек уходит, браузер остаётся, пароли испаряются в никуда. Или не испаряются — и тогда у уволенного сотрудника ещё долго есть доступ к вашему рекламному кабинету с реальными деньгами. Это ещё хуже.

Почему это реально опасно, а не просто неудобно

Расскажу про конкретный случай. Клиент — медицинская клиника, двадцать сотрудников. Уволился старший администратор. Ушёл, скажем мягко, не очень тепло — были взаимные претензии. Через две недели выяснилось, что у него до сих пор есть доступ к системе записи пациентов, к почте клиники и к личному кабинету на сайте. Пароли никто не менял. Обошлось без последствий, но нервов потратили достаточно. Потом провели аудит всех учётных записей — это заняло почти полный рабочий день.

Утечка паролей — это не только про злой умысел уволенного сотрудника. Общий чат в мессенджере синхронизируется на все устройства всех участников. Кто-то читает рабочий чат с личного телефона без пароля на экране блокировки. Потерял телефон в такси — привет, все корпоративные пароли у нашедшего. Файл с паролями на сетевом диске индексируется Windows Search и попадает в историю поиска. Мелочи, да. Но именно из таких мелочей складываются реальные инциденты.

Есть ещё регуляторный угол зрения. Если вы обрабатываете персональные данные — а медклиники, юрфирмы, кадровые агентства, частные школы делают это по определению — то ненадлежащее хранение паролей от систем с ПДн уже нарушение 152-ФЗ. Штрафы пока относительно небольшие. Но Роскомнадзор становится заметно активнее год от года. Лучше не проверять на собственном опыте.

Почему не просто взять 1Password или LastPass

Вопрос логичный. 1Password, LastPass, Dashlane — нормальные продукты, пользоваться можно. Но есть нюансы. Первый — цена. 1Password Teams стоит порядка 4 долларов за пользователя в месяц. По нынешнему курсу это примерно 380 рублей. Для команды из 15 человек — около 5700 рублей в месяц, почти 70 тысяч рублей в год. Это уже ощутимо для малого бизнеса.

LastPass в 2022-2023 годах пережил серию взломов, после которых утекли зашифрованные хранилища пользователей. Репутация сервиса среди специалистов по безопасности упала существенно, и, на мой взгляд, справедливо. Можно, конечно, рассмотреть другие облачные варианты. Но все они хранят данные на серверах иностранных компаний, что для российского бизнеса создаёт как минимум юридическую неопределённость, а практически — зависимость от сервиса, который может в любой момент закрыть доступ для российских пользователей или просто лечь.

Bitwarden выигрывает здесь по двум причинам. Во-первых, это open-source: весь код открыт, проверен независимыми аудиторами, без скрытых закладок. Во-вторых, его можно развернуть на своём сервере. Тогда ваши пароли никуда не уходят — они лежат на вашем железе, в вашей сети, под вашим контролем. Никакой подписки в долларах, никакой зависимости от заокеанского сервиса.

Vaultwarden: Bitwarden, которому не нужен мощный сервер

Официальный Bitwarden самого себя — достаточно тяжёлый. Для self-hosted нужен сервер с 2 ГБ оперативной памяти как минимум, а комфортно он работает от 4 ГБ. Для небольшой компании держать под это отдельный VPS за 2-3 тысячи рублей в месяц — расточительство, особенно если у вас уже нет привычки платить за инфраструктуру.

Есть решение — Vaultwarden, раньше он назывался Bitwarden_RS. Это неофициальная, но полностью совместимая реализация сервера Bitwarden, написанная на Rust. Работает на машине с 256 МБ оперативной памяти — буквально на самом дешёвом VPS за 200-300 рублей в месяц. Поддерживает всё, что нужно малому бизнесу: организации, коллекции паролей, общий доступ, двухфакторная аутентификация, аудит действий.

Formально Vaultwarden не поддерживает некоторые enterprise-функции официального Bitwarden — SSO, расширенные политики паролей. Для команды до 50 человек это несущественно. Мы ставим Vaultwarden практически всем нашим клиентам из малого бизнеса уже три года. Он стабильно работает, легко обновляется через Docker одной командой, и жалоб на него я не слышал ни разу.

Что нужно для установки и сколько это стоит

Начнём с железа. Нужен сервер — VPS у российского провайдера, физическая машина в офисе или виртуалка на вашем гипервизоре, если он есть. Для VPS достаточно минимального тарифа: Selectel, Timeweb, REG.RU, Beget — у всех есть подходящие предложения. Нужно одно ядро CPU, 512 МБ — 1 ГБ оперативной памяти, 10 ГБ на диске. Для 20-30 пользователей с запасом. Стоимость — от 200 до 600 рублей в месяц в зависимости от провайдера и конфигурации.

На сервер ставится Docker и Docker Compose — это бесплатно и занимает пять минут. Нужен домен или поддомен, чтобы выпустить SSL-сертификат: домен у вас скорее всего уже есть, если нет — .ru за 150-200 рублей в год. SSL-сертификат через Let's Encrypt — бесплатно. Nginx как обратный прокси — тоже бесплатно. По сути, платите только за VPS.

По времени: на чистой Ubuntu 22.04 установка Vaultwarden, настройка Nginx, выпуск сертификата и первичная конфигурация занимает у меня около двух часов. Включая создание организации и тестирование входа с телефона. Если вы не сисадмин и делаете это первый раз — умножайте на три, и лучше отложите на день, когда никуда не торопитесь. Дальнейшее обслуживание минимальное: обновление Docker-образа раз в несколько месяцев и бэкап базы данных. База — это одна папка весом несколько мегабайт, её можно бэкапить хоть Veeam-ом, хоть простым скриптом на cron.

Как организовать пароли внутри команды — структура и роли

Bitwarden работает с понятиями «организация» и «коллекции». Организация — это ваша компания. Коллекции — это папки с разграниченным доступом. Например: коллекция «Бухгалтерия» — видят только бухгалтеры; «IT» — только сисадмин и я; «Общее» — все сотрудники. Внутри каждой коллекции — записи: логин, пароль, URL, заметки. Структуру выстраиваете под себя.

Роли пользователей: Owner — владелец, один человек, обычно директор или IT-ответственный. Admin — может управлять коллекциями и пользователями. Manager — управляет своими коллекциями. User — только использует то, к чему есть доступ. На практике это выглядит так: вы как руководитель — Owner, ваш IT-специалист или мы — Admin, рядовые сотрудники — User. Бухгалтер не видит пароли от серверов. Менеджер по продажам не видит данные от банк-клиента. Каждый видит только своё.

Что туда класть. Всё. Пароли от 1С, от интернет-банков, от Госуслуг, от хостинга, от рекламных кабинетов в Яндексе и VK, от корпоративной почты, от роутера и Wi-Fi в офисе, от IP-телефонии, от CRM и ERP. Пароли от серверов — SSH-ключи тоже можно хранить в поле заметок. Данные для входа на сайты поставщиков и партнёров. Всё, что сейчас лежит в стикерах, чатах и Excel-файлах. Один раз перенесли — и больше не возвращаетесь к старым привычкам.

Что происходит после внедрения — реальный опыт

Первая реакция сотрудников — сопротивление. «Зачем это, и так работали». Потом — удивление, что расширение в браузере само подставляет логин и пароль на нужном сайте. Потом — привыкание. Полный переход обычно занимает две-три недели. Кто-то подсаживается быстро, кто-то ещё месяц переспрашивает пароли у коллег — это нормально. Главное, что система уже стоит и работает.

Конкретный пример. У клиента — торговая компания, 12 человек — пароль от личного кабинета Wildberries знали все менеджеры, он жил в общем чате. После внедрения Bitwarden пароль сменили, положили в коллекцию «Маркетплейсы», доступ оставили только двум ответственным сотрудникам. Это заняло три минуты. Вопрос «а какой там пароль от ВБ?» в рабочем чате больше не появляется.

Один момент, который руководители особенно ценят: когда сотрудник увольняется, достаточно удалить его из организации в Bitwarden — и он теряет доступ ко всем корпоративным паролям разом. Не нужно вспоминать, к чему конкретно у него был доступ. Не нужно обзванивать руководителей отделов и собирать информацию. Удалили пользователя — готово. Тихо. Без суеты. Это, пожалуй, одна из главных ценностей системы для руководителя — контроль без необходимости контролировать каждую мелочь вручную.

Частые вопросы

Нужен ли системный администратор, чтобы поставить Vaultwarden?
Если у вас есть базовые навыки работы с Linux и вы не боитесь терминала — справитесь сами по подробной инструкции. Это не сложнее, чем настроить роутер по инструкции: Docker, три конфигурационных файла, Nginx. Если слова «обратный прокси» и «SSL-сертификат» вызывают тревогу — лучше отдать установку специалисту. Мы в АйТи-Фреш делаем это под ключ за фиксированную стоимость, работа занимает один рабочий день вместе с переносом паролей и обучением сотрудников.

Что будет, если сервер с Bitwarden упадёт?
Клиентские приложения Bitwarden кешируют пароли локально — то есть даже если сервер недоступен, сотрудники видят и используют пароли на устройствах, где уже выполнен вход. Добавлять новые записи не получится, синхронизации не будет, но критичные данные никуда не денутся. Дополнительная страховка — ежедневный бэкап базы данных. Это один файл весом в несколько мегабайт, его можно хранить на Яндекс.Диске или любом другом хранилище.

Насколько безопасно хранить в Bitwarden пароли от банков и 1С?
Bitwarden использует шифрование AES-256: данные шифруются на вашем устройстве ещё до отправки на сервер. Это значит, что даже если кто-то получит физический доступ к серверу, он увидит только зашифрованный набор байт — без мастер-пароля расшифровать невозможно. При self-hosted варианте данные вообще не покидают вашу инфраструктуру. Это объективно безопаснее, чем Excel-файл на сетевом диске или пароли в мессенджере.

Работает ли Bitwarden на телефоне и в браузере?
Да, и это одно из главных удобств. Официальные приложения Bitwarden есть для iOS и Android, они бесплатны. При настройке указываете адрес своего сервера вместо облачного — и работаете как обычно. Приложение умеет автозаполнять пароли как в браузере, так и в приложениях на телефоне. Расширения для Chrome, Firefox, Edge и Safari тоже есть и работают отлично.