Корпоративный менеджер паролей: внедрение Vaultwarden на своём сервере
▷ Смотреть презентациюЯ почти в каждой компании до 50 человек вижу один и тот же файл — Excel с паролями от почты, 1С, банк-клиента и админки сайта, который лежит на расшаренном диске и которым пользуются все. Когда увольняется сотрудник, ему в 9 из 10 случаев остаются доступы, которые никто не подумал сменить. Дальше вопрос везения — либо повезёт, либо однажды утром не откроется банк-клиент. Лечится это одинаково: корпоративный менеджер паролей на вашем сервере — self hosted Bitwarden, он же Vaultwarden. Ниже разберу, как проходит установка Vaultwarden и как навести порядок в доступах.
Пароли в Excel, на стикерах и в голове у одного человека
Классическая картина малого бизнеса: часть паролей в файле паролей.xlsx, часть в блокноте у бухгалтера, часть — в браузере на конкретном ноутбуке, который принадлежит конкретному человеку. Если этот человек в отпуске, заболел или уволился — доступа к сервису просто нет ни у кого, пока не пройдёт процедура восстановления пароля через почту, к которой тоже может не быть доступа.
У одного нашего клиента, дистрибьютора стройматериалов на 35 человек, ситуация была почти анекдотичной: администратор сайта уволился в сентябре, а в декабре выяснилось, что домен продлевать некому — пароль от регистратора знал только он, и он же оставил личную почту как контактную. Три дня ушло на восстановление доступа через паспорт директора и переписку с регистратором.
Второй частый сценарий — увольнение сотрудника с доступом к CRM, 1С или облачному хранилищу. По закону работодатель обязан отозвать доступ, но на практике никто не помнит, куда именно у человека был вход. Стикер с паролем от wifi на мониторе — это ещё безобидный случай, гораздо хуже, когда один и тот же пароль от корпоративной почты используется на десятке сервисов, и утечка одного из них кладёт всё сразу.
Отдельная головная боль — секреты для 2FA и коды восстановления. Их обычно вообще нигде не хранят, а зря: без них при смене телефона или переустановке приложения можно на несколько часов, а то и дней остаться без доступа к банк-клиенту или регистратору доменов.
Что это даёт бизнесу
- Увольнение сотрудника перестаёт быть риском: один клик в админке организации — и все его доступы к общим коллекциям отозваны, менять пароли по всей компании не нужно.
- Пароли больше не хранятся в Excel, почте и на бумаге — их не видно при случайном расшаривании экрана и их не унесут на флешке.
- Каждый сотрудник видит только те пароли, которые нужны для его работы, — доступ раздаётся по группам и коллекциям, а не «всем всё».
- Экономия времени на восстановление доступа: не нужно звонить в поддержку сервиса и подтверждать личность по СМС, если человек забыл пароль от корпоративного аккаунта.
- Аудит и контроль: в журнале событий организации видно, кто и когда входил и менял записи, а встроенные отчёты клиента показывают слабые, повторяющиеся и «засветившиеся» в утечках пароли.
- Данные физически лежат на вашем сервере в России, а не в облаке зарубежного сервиса, что упрощает вопросы по 152-ФЗ и вписывается в корпоративную политику безопасности.
Как проходит внедрение
Что нужно от вас
- VPS или сервер под Docker (подойдёт от 1 vCPU / 1 ГБ RAM — Vaultwarden крайне нетребователен) либо готовность арендовать его у нас
- Домен или поддомен для сервиса, например pass.компания.ru, и доступ к его DNS-записям
- Список сервисов и текущих паролей, которые нужно перенести — хотя бы приблизительный, остальное соберём в ходе аудита
- Назначенный ответственный со стороны клиента, кто в дальнейшем будет заводить новых сотрудников и отзывать доступы уволенных
Как это устроено
Сотрудники ставят обычный клиент Bitwarden — браузерное расширение, приложение на телефон или десктопную программу — и подключают его не к облаку Bitwarden, а к вашему серверу с Vaultwarden. Логины и пароли на сервере лежат в виде зашифрованных блоков, ключ шифрования выводится из мастер-пароля и не покидает устройство сотрудника, поэтому даже при краже базы с сервера содержимое записей без мастер-пароля прочитать нельзя.
Vaultwarden — это не самоделка, а зрелое решение для self hosted Bitwarden
Vaultwarden — open source сервер, написанный на Rust, который реализует тот же API, что и официальный сервер Bitwarden. Это значит, что все официальные клиенты Bitwarden — расширения для Chrome, Firefox, Edge, приложения на iOS и Android, десктоп на Windows, macOS и Linux — работают с Vaultwarden без изменений, просто указываете в настройках свой URL сервера вместо vault.bitwarden.com. Проект (изначально bitwarden_rs) развивается с 2018 года, у него активное сообщество и регулярные обновления, что для инструмента хранения паролей критично важно.
Разница с облачным Bitwarden — не в функциях, а в том, где физически лежат данные. Официальная подписка Bitwarden в 2026-м — это примерно 4 доллара на пользователя в месяц за тариф Teams и около 6 за Enterprise при годовой оплате, плюс оплата из России до сих пор проходит только через обходные пути. Vaultwarden даёт по сути тот же набор возможностей — организации, коллекции, 2FA, журнал событий, обмен паролями, отчёты о слабых паролях — без ограничений по числу пользователей, и единственная разовая статья расходов — это работа по установке и сам сервер, на котором всё крутится.
Ложка дёгтя: Vaultwarden — неофициальный проект, и его журнал событий и отчёты чуть беднее, чем в платном Enterprise-облаке Bitwarden. Плюс если Bitwarden когда-нибудь кардинально поменяет протокол API, потребуется время на адаптацию — на практике за годы существования проекта такого не случалось, совместимость поддерживается аккуратно. Мы держим версию сервера актуальной в рамках сопровождения именно для того, чтобы эти риски снимать.
Сколько стоит
Частые вопросы
Чем это отличается от обычного Bitwarden или облачного KeePass?
Облачный Bitwarden хранит ваши пароли на серверах компании Bitwarden за рубежом, а Vaultwarden даёт тот же самый клиентский опыт, но сервер стоит у вас или на арендованном вами VPS в России. KeePass — это просто файл базы без серверной части: синхронизировать его между сотрудниками и раздавать права избирательно неудобно и небезопасно.
Что будет, если сервер с Vaultwarden выйдет из строя?
Мы настраиваем автоматическое резервное копирование базы данных на отдельное хранилище, обычно раз в сутки. При аварии сервер поднимается заново из бэкапа за 15-20 минут, данные при этом теряются максимум за последние сутки — на практике это не критично, так как пароли меняются нечасто.
Можно ли использовать это с 1С, банк-клиентом и другими программами, а не только с сайтами?
Да, в Vaultwarden можно хранить не только логины-пароли для сайтов, но и произвольные заметки, ключи, номера карт и файлы — например, лицензионные ключи 1С или пароли к контейнеру ЭП банк-клиента. Автозаполнение работает для веб-форм в браузере, для остальных программ пароль копируется из карточки вручную. Сам защищённый ключевой контейнер (например, КриптоПро) менеджер паролей не заменяет — он хранит доступы к нему, а не саму подпись.
Сколько сотрудников выдержит один сервер?
Vaultwarden спокойно обслуживает и 10, и 200 пользователей на минимальной конфигурации VPS в 1 vCPU и 1 ГБ оперативной памяти — нагрузка на текстовые записи паролей мизерная. Добавить ресурсов придётся, только если вы захотите хранить в системе много больших файлов-вложений или подключить сотни активных пользователей одновременно.
Оставьте заявку — мы проведём аудит доступов и посчитаем точную стоимость внедрения Vaultwarden под вашу компанию.
Оставить заявку — развернём за 1–2 дня →
Подпишитесь на рассылку ITfresh
Раз в неделю — практические гайды: внедрения, безопасность, 1С, миграции, лайфхаки из реальных проектов.
