АйТи Фреш
Главная / Статьи / Информационная безопасность
Информационная безопасность

Стикер на мониторе — это не парольная политика. Как я переводил клиентов с Excel на Bitwarden

Автор: Семёнов Евгений Сергеевич, директор ООО «АйТи-Фреш» · 2026-07-18
Стикер на мониторе — это не парольная политика. Как я переводил клиентов с Excel на Bitwarden

Раз в квартал у меня случается один и тот же разговор. Приезжаю к новому клиенту настраивать 1С или разбираться с RDP, открываю шкаф под столом бухгалтера — а там файл password.xlsx с паролями от банк-клиента, СБИС и почты директора. Открытым текстом. За десять лет в аутсорсинге я видел это в юрфирмах, клиниках, на производстве — везде одна картина. Сегодня расскажу, как мы решаем эту проблему без бюджета на LastPass Enterprise, который для компании из 20-30 человек попросту неприлично дорог.

Как на самом деле хранятся пароли в малом бизнесе

Стикер на мониторе — это классика, все смеются, все считают, что уж у них-то такого нет. А потом я захожу в переговорку, а там на флипчарте маркером написан пароль от вайфая. Полгода назад. Никто не стёр.

Excel-файл с паролями — вариант посерьёзнее, но не сильно. У одного клиента, торговой компании на 35 человек, такой файл лежал на общем сетевом диске. Читать могли все. В том числе бухгалтер, уволенный три месяца назад, у которого просто не отозвали доступ к шаре. Пароли от банк-клиента и от 1С там тоже были.

Третий вариант — один пароль на всех. Логин admin, пароль Company2020, и им пользуется вся бухгалтерия для входа в СБИС или в личный кабинет ФНС. Когда что-то ломается, узнать, кто именно накосячил, невозможно физически. И увольнение сотрудника ничего не меняет — пароль-то общий, менять его никто не будет, слишком хлопотно.

Почему LastPass Enterprise — это не для вас

LastPass Business стоит от 7 до 8 долларов на пользователя в месяц. Для компании в 30 человек это порядка 20 тысяч рублей в месяц по текущему курсу, то есть 240 тысяч в год. Плюс оплата картой, привязанной к зарубежному банку — а с этим у малого бизнеса в 2026 году свои сложности, тут и рассказывать не надо.

Но дело не только в деньгах. LastPass в 2022 году пережил серьёзный взлом — украли зашифрованные хранилища клиентов вместе с частью метаданных. Формально мастер-пароль защищает данные и без него взломщик ничего не прочитает. Но осадочек, как говорится, остался, и после этого случая ко мне стали чаще обращаться с вопросом «а что понадёжнее».

Я не против платных корпоративных решений в принципе. Если у клиента 200 рабочих мест и выделенный ИБ-отдел — берите Enterprise, там есть SSO, продвинутая отчётность, интеграция с Active Directory на серьёзном уровне. Но для клиники на 15 человек или юрфирмы на 25 это стрельба из пушки по воробьям.

Что такое Bitwarden и почему это разумный выбор

Bitwarden — менеджер паролей с открытым исходным кодом. Есть бесплатный тариф, есть Teams за 4 доллара на пользователя в месяц, есть возможность развернуть собственный сервер вообще без ежемесячных платежей — через Bitwarden self-hosted или его более лёгкий форк Vaultwarden.

На практике для компании до 50 рабочих мест я обычно предлагаю два сценария. Первый — облачный Bitwarden Teams, это условно 3-4 тысячи рублей в месяц на 25 человек, оплата в том числе через посредников за рубли. Второй — свой сервер на том же VPS, где у клиента уже крутится сайт или терминальный сервер, тогда разовые затраты на настройку и всё, дальше бесплатно.

У одного клиента, производственная компания под Москвой, мы подняли Vaultwarden на их же Windows Server рядом с 1С и Veeam для бэкапов. Сертификат через Let's Encrypt, доступ по HTTPS изнутри сети и через VPN снаружи. Итоговые расходы — час моей работы на разворачивание и потом ноль рублей в месяц. Для 40 человек это оказалось выгоднее любого облачного тарифа.

Как проходит миграция на практике

Самая частая ошибка — попытаться сделать всё разом. Собрать все пароли компании, загнать в Bitwarden и в понедельник заставить всех пользоваться. Не работает. Люди привыкли к своим стикерам и Excel-файлам, и лобовая атака вызывает саботаж посильнее, чем внедрение новой 1С.

Мы делаем иначе. Сначала — инвентаризация. Реально страшный этап, потому что выясняется, сколько сервисов вообще используется в компании и кто туда ходит. У юрфирмы на 20 человек как-то насчитали 47 разных логинов: от почты и облака до личного кабинета оператора ЭДО и панели сайта на Bitrix.

Дальше заводим организации в Bitwarden, распределяем по коллекциям — бухгалтерия отдельно, отдел продаж отдельно, доступ к серверам только у меня и у директора. Пароли переносим не все сразу, а по мере смены — то есть каждый следующий вход в сервис становится поводом сгенерировать новый надёжный пароль и сохранить его в хранилище, а не переносить старый огрызок в новую систему.

Обычно на полный переход уходит месяц-полтора. Не потому что технически сложно — расширение для браузера ставится за минуту — а потому что привычки меняются медленно. И это нормально, торопить тут вредно.

Организационная часть важнее технической

Технически Bitwarden поднимается за вечер. А вот без правил компания через полгода снова скатится к общим паролям — просто теперь в красивой оболочке.

Первое правило — мастер-пароль. Один на всю жизнь, длинный, из нескольких слов, который человек реально может запомнить, но никто не подберёт перебором. Я обычно советую фразу из четырёх случайных слов — что-то вроде «фонарь-табуретка-грусть-42» — это надёжнее восьми случайных символов и запоминается легче.

Второе — обязательная двухфакторная аутентификация на сам Bitwarden. Иначе весь смысл теряется: получили мастер-пароль фишингом — получили доступ ко всему. Третье — назначить ответственного администратора, обычно это сам директор или бухгалтер с доверенным доступом, который управляет приглашениями и мгновенно отзывает доступ при увольнении. Именно мгновенно, а не «как получится» — это тот пункт, из-за которого вся история и затевалась.

Подводные камни, на которые я наступал

Сопротивление старших сотрудников — самое частое. У одного клиента главный бухгалтер, работающая 15 лет, наотрез отказывалась ставить расширение в браузер, говорила, что и так помнит все пароли. Помогло не давление, а личный разговор и демонстрация: показал ей, за сколько секунд можно перебором подобрать пароль вроде её любимого «Buhgalteria2023». После этого сама попросила настроить генератор паролей.

Второй камень — self-hosted решение требует, чтобы кто-то следил за обновлениями сервера. Забыли обновить Vaultwarden полгода — рискуете дырой в безопасности. Тут без outsourcing-партнёра или штатного айтишника, который реально этим занимается, а не для галочки, никак.

Третий момент — резервное копирование самого хранилища паролей. Звучит как каламбур, но это критично: если сервер с Bitwarden упадёт без бэкапа, вы потеряете доступ вообще ко всему — от банк-клиента до КриптоПро для отчётности. Мы всегда настраиваем автоматическое копирование базы через тот же Veeam или простой cron-скрипт с выгрузкой на отдельный диск, минимум раз в сутки.

Что в итоге получает клиент

После внедрения в компании появляется единый список: кто, куда и с каким паролем заходит. Это не абстрактная «безопасность», это конкретная экономия времени. Директор клиники недавно уволила администратора и за пять минут отозвала её доступ ко всем 12 сервисам одним нажатием — раньше на это уходил день, а часть паролей потом всё равно приходилось менять руками, потому что забывали про какой-то сервис.

Плюс автоматический аудит слабых и повторяющихся паролей — Bitwarden сам подсвечивает, где сотрудники используют один и тот же пароль в трёх местах. У той же торговой компании выяснилось, что пароль от 1С совпадал с паролем от личной почты бухгалтера. Слили бы почту фишингом — получили бы доступ и к базе с проводками.

Финансово вопрос решается на порядок дешевле корпоративных решений: self-hosted вариант обходится в разовую настройку плюс копейки на сервер, который у компании чаще всего уже и так есть под другие задачи. Никакого зарубежного биллинга, никакой привязки к валютным колебаниям.

Частые вопросы

Сколько реально стоит внедрение Bitwarden в компании на 20-30 человек?
Если разворачивать self-hosted на уже существующем сервере — это разовые несколько тысяч рублей за настройку и дальше ноль ежемесячно. Облачный тариф Teams обойдётся примерно в 3-4 тысячи рублей в месяц на 25 сотрудников. Для сравнения, аналогичный охват в LastPass Business — это десятки тысяч рублей ежемесячно плюс валютный биллинг.

Безопасно ли хранить пароли от банк-клиента и 1С в облаке?
Bitwarden шифрует данные на устройстве пользователя ещё до отправки на сервер — то есть даже сам сервис не видит ваши пароли в открытом виде. Но если хочется полного контроля, самостоятельный сервер на своей инфраструктуре снимает вопрос вообще: данные физически не покидают периметр компании.

Что будет, если сотрудник забудет мастер-пароль?
Восстановить мастер-пароль без резервных ключей действительно нельзя — в этом и суть шифрования. Поэтому при настройке мы всегда включаем для организации функцию восстановления аккаунта администратором и обязательно объясняем сотрудникам, что мастер-пароль надо не забывать, а не то, что его можно легко сбросить, как обычный пароль от почты.

Нужен ли штатный айтишник, чтобы это поддерживать?
Для облачного тарифа — нет, администрирование сводится к управлению пользователями через веб-панель, с этим справляется бухгалтер или сам директор. Для self-hosted варианта нужен кто-то, кто следит за обновлениями сервера и бэкапами — это как раз то, что мы обычно берём на абонентское обслуживание у клиентов без своего айтишника.

Наведём порядок с паролями в вашей компании за одну неделю
Приезжаем, проводим инвентаризацию доступов и разворачиваем Bitwarden под ваш бюджет — от бесплатного варианта до собственного сервера.
Бесплатная консультация →

Подпишитесь на рассылку ITfresh

Раз в неделю — практические гайды для руководителя и сисадмина: безопасность, 1С, миграции, резервные копии, лайфхаки из реальных проектов.

© ООО «АйТи-Фреш» · Москва · Все статьи