АйТи Фреш
Главная / Статьи / Информационная безопасность
Информационная безопасность

Корпоративный менеджер паролей: внедрение Vaultwarden на своём сервере

Автор: Семёнов Евгений Сергеевич, директор ООО «АйТи-Фреш» · 2026-07-06
▷ Смотреть презентацию
Корпоративный менеджер паролей: внедрение Vaultwarden на своём сервере

Я почти в каждой компании до 50 человек вижу один и тот же файл — Excel с паролями от почты, 1С, банк-клиента и админки сайта, который лежит на расшаренном диске и которым пользуются все. Когда увольняется сотрудник, ему в 9 из 10 случаев остаются доступы, которые никто не подумал сменить. Дальше вопрос везения — либо повезёт, либо однажды утром не откроется банк-клиент. Лечится это одинаково: корпоративный менеджер паролей на вашем сервере — self hosted Bitwarden, он же Vaultwarden. Ниже разберу, как проходит установка Vaultwarden и как навести порядок в доступах.

Пароли в Excel, на стикерах и в голове у одного человека

Классическая картина малого бизнеса: часть паролей в файле паролей.xlsx, часть в блокноте у бухгалтера, часть — в браузере на конкретном ноутбуке, который принадлежит конкретному человеку. Если этот человек в отпуске, заболел или уволился — доступа к сервису просто нет ни у кого, пока не пройдёт процедура восстановления пароля через почту, к которой тоже может не быть доступа.

У одного нашего клиента, дистрибьютора стройматериалов на 35 человек, ситуация была почти анекдотичной: администратор сайта уволился в сентябре, а в декабре выяснилось, что домен продлевать некому — пароль от регистратора знал только он, и он же оставил личную почту как контактную. Три дня ушло на восстановление доступа через паспорт директора и переписку с регистратором.

Второй частый сценарий — увольнение сотрудника с доступом к CRM, 1С или облачному хранилищу. По закону работодатель обязан отозвать доступ, но на практике никто не помнит, куда именно у человека был вход. Стикер с паролем от wifi на мониторе — это ещё безобидный случай, гораздо хуже, когда один и тот же пароль от корпоративной почты используется на десятке сервисов, и утечка одного из них кладёт всё сразу.

Отдельная головная боль — секреты для 2FA и коды восстановления. Их обычно вообще нигде не хранят, а зря: без них при смене телефона или переустановке приложения можно на несколько часов, а то и дней остаться без доступа к банк-клиенту или регистратору доменов.

Что это даёт бизнесу

Как проходит внедрение

1
Аудит доступов1 день
Собираем список сервисов, у кого какие пароли есть сейчас, кого включать в организацию, какие нужны группы и коллекции
2
Развёртывание сервера0,5 дня
Поднимаем Vaultwarden в Docker на вашем VPS или физическом сервере, настраиваем TLS-сертификат (Let's Encrypt) и домен вида pass.вашакомпания.ru
3
Настройка организации0,5 дня
Создаём организацию, коллекции по отделам (бухгалтерия, ИТ, продажи), политики паролей и обязательную 2FA для входа
4
Перенос паролей1 день
Переносим существующие пароли из браузеров и Excel в Vaultwarden, раскладываем по коллекциям и владельцам
5
Установка клиентов и обучение0,5 дня
Ставим расширения в браузеры и приложения на телефоны сотрудников, проводим 30-минутный инструктаж по работе и правилам хранения
6
Регламент и передача на сопровождение0,5 дня
Фиксируем письменный регламент — кто заводит новые пароли, как отзываются доступы при увольнении, передаём администрирование вашему ИТ-специалисту или берём на поддержку сами

Что нужно от вас

Как это устроено

Браузер / телефон сотрОфициальный клиент BitVPN или прямой HTTPSVaultwarden в Docker нБаза SQLite с зашифров

Сотрудники ставят обычный клиент Bitwarden — браузерное расширение, приложение на телефон или десктопную программу — и подключают его не к облаку Bitwarden, а к вашему серверу с Vaultwarden. Логины и пароли на сервере лежат в виде зашифрованных блоков, ключ шифрования выводится из мастер-пароля и не покидает устройство сотрудника, поэтому даже при краже базы с сервера содержимое записей без мастер-пароля прочитать нельзя.

Vaultwarden — это не самоделка, а зрелое решение для self hosted Bitwarden

Vaultwarden — open source сервер, написанный на Rust, который реализует тот же API, что и официальный сервер Bitwarden. Это значит, что все официальные клиенты Bitwarden — расширения для Chrome, Firefox, Edge, приложения на iOS и Android, десктоп на Windows, macOS и Linux — работают с Vaultwarden без изменений, просто указываете в настройках свой URL сервера вместо vault.bitwarden.com. Проект (изначально bitwarden_rs) развивается с 2018 года, у него активное сообщество и регулярные обновления, что для инструмента хранения паролей критично важно.

Разница с облачным Bitwarden — не в функциях, а в том, где физически лежат данные. Официальная подписка Bitwarden в 2026-м — это примерно 4 доллара на пользователя в месяц за тариф Teams и около 6 за Enterprise при годовой оплате, плюс оплата из России до сих пор проходит только через обходные пути. Vaultwarden даёт по сути тот же набор возможностей — организации, коллекции, 2FA, журнал событий, обмен паролями, отчёты о слабых паролях — без ограничений по числу пользователей, и единственная разовая статья расходов — это работа по установке и сам сервер, на котором всё крутится.

Ложка дёгтя: Vaultwarden — неофициальный проект, и его журнал событий и отчёты чуть беднее, чем в платном Enterprise-облаке Bitwarden. Плюс если Bitwarden когда-нибудь кардинально поменяет протокол API, потребуется время на адаптацию — на практике за годы существования проекта такого не случалось, совместимость поддерживается аккуратно. Мы держим версию сервера актуальной в рамках сопровождения именно для того, чтобы эти риски снимать.

Сколько стоит

от 30 000 ₽
В эту сумму входит аудит доступов, развёртывание сервера, настройка организации и коллекций, перенос существующих паролей, установка клиентов и обучение сотрудников. Итоговая цена зависит от количества рабочих мест, числа сервисов для переноса и от того, нужен ли вам сервер с нуля или используем уже имеющийся VPS — точная смета составляется после короткого аудита. Ежемесячное сопровождение — обновления, бэкапы, добавление новых сотрудников — обсуждается отдельно и обычно укладывается в 3-5 тысяч рублей в месяц (без учёта аренды VPS, если сервер наш — это ещё примерно от 300-500 ₽ в месяц).
Рассчитать стоимость →

Частые вопросы

Чем это отличается от обычного Bitwarden или облачного KeePass?
Облачный Bitwarden хранит ваши пароли на серверах компании Bitwarden за рубежом, а Vaultwarden даёт тот же самый клиентский опыт, но сервер стоит у вас или на арендованном вами VPS в России. KeePass — это просто файл базы без серверной части: синхронизировать его между сотрудниками и раздавать права избирательно неудобно и небезопасно.

Что будет, если сервер с Vaultwarden выйдет из строя?
Мы настраиваем автоматическое резервное копирование базы данных на отдельное хранилище, обычно раз в сутки. При аварии сервер поднимается заново из бэкапа за 15-20 минут, данные при этом теряются максимум за последние сутки — на практике это не критично, так как пароли меняются нечасто.

Можно ли использовать это с 1С, банк-клиентом и другими программами, а не только с сайтами?
Да, в Vaultwarden можно хранить не только логины-пароли для сайтов, но и произвольные заметки, ключи, номера карт и файлы — например, лицензионные ключи 1С или пароли к контейнеру ЭП банк-клиента. Автозаполнение работает для веб-форм в браузере, для остальных программ пароль копируется из карточки вручную. Сам защищённый ключевой контейнер (например, КриптоПро) менеджер паролей не заменяет — он хранит доступы к нему, а не саму подпись.

Сколько сотрудников выдержит один сервер?
Vaultwarden спокойно обслуживает и 10, и 200 пользователей на минимальной конфигурации VPS в 1 vCPU и 1 ГБ оперативной памяти — нагрузка на текстовые записи паролей мизерная. Добавить ресурсов придётся, только если вы захотите хранить в системе много больших файлов-вложений или подключить сотни активных пользователей одновременно.

Наведите порядок в паролях компании за 1-2 дня
Оставьте заявку — мы проведём аудит доступов и посчитаем точную стоимость внедрения Vaultwarden под вашу компанию.
Оставить заявку — развернём за 1–2 дня →

Подпишитесь на рассылку ITfresh

Раз в неделю — практические гайды: внедрения, безопасность, 1С, миграции, лайфхаки из реальных проектов.

© ООО «АйТи-Фреш» · Москва · Все статьи