Внедрение менеджера паролей: как корпоративный инструмент победил хаос и утечки

В этом кейсе мы рассказываем, как заменили неудобный корпоративный инструмент хранения паролей на безопасную и современную систему управления учетными данными. Этот продукт позволил выстроить централизованное управления доступом для сотрудников компании, которая обслуживает несколько десятков B2B-клиентов.

Кому будет полезен этот кейс:

• Руководителям ИТ отделов, которые сталкиваются с тем, что сотрудники хранят пароли в блокнотах, Excel или Telegram;
• Специалистам по информационной безопасности, которые ищут баланс между безопасностью и удобством использования в условиях множественных подключений;
• Организациям, которые хотят внедрить корпоративный менеджер паролей на собственных серверах без передачи данных наружу;
• Тем, кто планирует миграцию с устаревшей системы на новую с большим объёмом данных.

Исходная ситуация: хаос с паролями и риск утечек

Однако пользователи жаловались на неудобство:

• работа только через веб интерфейс — ни мобильного клиента, ни десктопной версии;
• нет автоподстановки паролей на сайтах и в приложениях;
• неудобный доступ с телефона — фактически отсутствовал.

И это привело к тому, что сотрудники начали искать обходные пути. Кто-то вёл список паролей в обычном «Блокноте» на рабочем столе. Кто-то — в Excel или Word. Другие отправляли пароли сами себе в Telegram, хранили на флешках или записывали на бумажных стикерах. Некоторые пользовались локальными сторонними сервисами или встроенным сохранением в браузере.

Получился парадокс: инструмент есть, но он неудобен, поэтому сотрудники всё равно пользуются небезопасными методами. А это прямые риски утечки данных клиентов и нарушения внутренней политики конфиденциальности.

Мы поняли: нужен новый инструмент. И важно не просто внедрить его технически, а сделать так, чтобы им пользовались все сотрудники без исключения.

Задача: безопасный менеджер паролей с мобильным клиентом.

Нам предстояло решить несколько задач одновременно:

1. Закрыть потребности пользователей — дать автоподстановку паролей, приложения для компьютера и телефона, быстрый доступ.
2. Не потерять старые возможности — разграничение прав доступа, каталоги, интеграции с внешними сервисами (их было несколько, и они уже работали со старым менеджером).
3. Обеспечить полную безопасность — никакой передачи данных наружу, только развёртывание на собственном сервере, соответствие регламенту безопасности.
4. Перенести почти 5000 записей из старой системы в новую, сохранив все права доступа (разные отделы и инженеры должны видеть только свои пароли).

При этом важно было не просто внедрить технологию, а перевести всех сотрудников на новый инструмент с минимальным дискомфортом.

Главная цель — получить надежный, но простой в использовании продукт, который подходит под условия бизнеса.

Реализация: от выбора решения до отпечатка пальца

Мы разбили проект на несколько этапов.

1. Поиск и выбор менеджера паролей

Наш отдел перспективных технологий безопасности провёл исследование. всех популярных Open Source проектов с хорошими рейтингами. Ключевые критерии:

• возможность установки на собственный сервер;
• наличие десктопных и мобильных клиентов;
• безопасность и стабильность;
• регулярные обновления и активная поддержка;
• гибкая настройка прав доступа и ролей для разных клиентов.

Подходящих решений оказалось очень мало. В итоге выбрали самый популярный и надёжный вариант.

Название менеджера паролей мы сознательно не публикуем. Причина проста: идеального для всех инструмента не существует. Для каждого клиента мы подбираем решение под его конкретные требования:

• Passwork — российский корпоративный менеджер паролей с возможностью развёртывания на своём сервере.
• Kaspersky Password Manager — решение от «Лаборатории Касперского» с синхронизацией между устройствами и хранением на стороне клиента.
• Bitwarden — популярный менеджер паролей с открытым исходным кодом. Доступен в виде облачного сервиса либо в версии для установки на своих серверах.
• Vaultwarden — облегчённая реализация Bitwarden, написанная на языке Rust. Также разворачивается у себя и полностью совместима со всеми клиентами Bitwarden.

2. Тестирование в малой рабочей группе

Сначала систему установили и дали попробовать двум трём инженерам. Они же начали подключать коллег из смежных подразделений. Обратная связь была положительной: интерфейс понятен, расширения для браузеров работает стабильно. Мы поняли, что движемся в правильном направлении.

3. Проектирование структуры и прав доступа

Самая нетривиальная задача — перенос почти 5000 записей из старой системы.

TeamPass выгружал данные в формате, который совсем не подходил для импорта в новую систему. Вручную переформатировать такой объём было невозможно.

Тогда мы использовали нейросеть ChatGPT. Поставили задачу: написать скрипт на PHP, который преобразует экспорт из TeamPass в необходимый формат. Нейросеть сгенерировала около 100 строк кода.

Скрипт отработал идеально, был проверен на безопасность и защиту от утечки паролей. Данные были перенесены полностью и без ошибок.

Это отличный пример того, как нейросети помогают решать реальные производственные задачи, экономя дни ручной работы.

4. Настройка интеграций с внешними системами

У заказчика уже было несколько внешних сервисов, которые брали пароли из старого менеджера. Мы не могли просто выключить старую систему — нужно было сохранить все связи.

Мы разработали новые скрипты интеграции, протестировали их, доработали. Добились, чтобы всё работало корректно и без задержек.

5. Постепенный перевод сотрудников

Самый деликатный этап. Люди не любят менять привычки. Многие соглашались, что новый инструмент хорош, но продолжали пользоваться старым.

Мы действовали поэтапно:

• Сначала перевели на новую систему небольшие группы сотрудников;
• Оперативно исправляли мелкие недочеты и настраивали права доступа под конкретные отделы;
• Когда всё было отлажено, перевели старую систему в режим «только чтение». Теперь новые пароли можно создавать только в безопасной среде.

После этого мы внедрили новый менеджер повсеместно.

6. Финальная доработка: отпечаток пальца и Windows Hello

Почему это важно:

• Можно выставить короткий таймаут блокировки — 3-5 минут. Хранилище закрывается автоматически, но открывается за секунду.
• Безопасность растёт — при этом сам мастер-пароль остаётся ключом шифрования, просто его не надо вводить 50 раз в день.
• Особенно ценно для сотрудников, которые часто переключаются между задачами или работают на выезде — телефон под рукой, ноутбук открывается по отпечатку.

Почему это сработало

Многие компании пытаются внедрить корпоративный менеджер паролей через приказ «сверху». Но без удобства сотрудники всё равно находят обходные пути. Мы пошли другим путём.

Наши принципы, которые сработали в этом проекте:

• Удобство первично. Сначала мы сделали инструмент, который приятно использовать. Только потом добавили «обязаловку».
• Поэтапное внедрение. Не пытались перевести всех в один день. Сначала малая группа, потом больше, потом все.
• Быстрая реакция на обратную связь. Любая неполадка или неудобство — исправляли сразу.
• Сохранение старого функционала. Не ломали интеграции, не отбирали привычные возможности.
• Технологический бонус. Отпечаток пальца на стационарных ПК — это то, что вызвало искренний восторг у сотрудников.

В результате мы не просто заменили программу. Мы изменили культуру обращения с паролями в компании. Люди перестали искать обходные пути, потому что новый инструмент оказался удобнее.

---

Компания «СТЕК» — ИТ-аутсорсер с 20-летним стажем. Мы не только успешно внедряем современные решения внутри собственной инфраструктуры, но и помогаем нашим клиентам навести порядок с паролями, доступом и безопасностью.

Напишите нам, и мы проведём бесплатную консультацию по вашему сценарию. Расскажем, какой инструмент подойдёт именно вам и сколько времени займёт миграция.