Логотип
Баннер в шапке 1
Баннер в шапке 2

Пассворк Менеджер паролей

Продукт
Разработчики: Пассворк (Passwork)
Дата последнего релиза: 2023/06/27
Технологии: ИБ - Аутентификация

Содержание

[Свернуть]

Основная статья: Пароли

«Пассворк» – менеджер паролей для бизнеса и госкомпаний. Программа упрощает совместную работу с паролями, отслеживает все действия и изменения паролей, а также предоставляет администраторам полный контроль над правами пользователей. «Пассворк» внесён в официальный реестр российского ПО.

2025: Устранение шести уязвимостей

Эксперты PT SWARM Алексей Писаренко, Алексей Соловьев и Олег Сурнин помогли устранить шесть уязвимостей в парольном менеджере Passwork, которые в случае их успешной эксплуатации могли привести к потере доступа к паролям. Об этом Positive Technologies сообщили 13 февраля 2025 года. Программа Passwork входит в единый реестр российского ПО, ее используют крупные компании России банковской, строительной, промышленной и других отраслей. Вендор был уведомлен об угрозе в рамках политики ответственного разглашения и выпустил обновление ПО.

Уязвимости BDU:2024-08016 — BDU:2024-08021 получили оценки от 8,1 до 5,8 балллов по шкале CVSS 3.1, что соответствует среднему и высокому уровнями опасности. В случае если нарушителям удалось бы успешно проэксплуатировать уязвимости, атаки могли потенциально привести к утечке информации, а также к нелегитимным изменениям данных профиля в результате выполнения произвольных фоновых (то есть без взаимодействия с пользователем) запросов в браузере жертвы. Недостатки были устранены разработчиками Passwork в версии 6.4.3, опубликованной 14 ноября 2024 года.

«
Эксплуатация BDU:2024-08018 (оценка 7,6 балла по шкале CVSS 3.1, уязвимость типа «выход за пределы назначенного каталога») могла бы позволить злоумышленнику получить доступ к локальным файлам и каталогам на сервере. Такие действия могли бы привести к недоступности приложения Passwork за счет перезаписи файлов. Кроме того, если бы нарушитель смог переписать файл базы данных с паролями (это зависит от параметров самого приложения и полученных атакующим привилегий), возник бы риск утраты всех паролей, — рассказал Олег Сурнин, руководитель группы исследований безопасности мобильных приложений, Positive Technologies.
»

По словам Алексея Соловьева, эксперты обнаружили несколько сценариев эксплуатации уязвимостей BDU:2024-08021 и BDU:2024-08017, при которых злоумышленник, имея минимальные привилегии в системе, мог бы внедрить произвольный код на языке JavaScript. После совершения определенных действий атакующим такой JavaScript-код мог быть выполнен в браузере пользователя, в том числе и от имени администратора. Кроме того, был найден сценарий эксплуатации уязвимости BDU:2024-08016, при котором можно было бы выполнить произвольный код JavaScript в браузере пользователя, если бы он перешел по вредоносной ссылке. В ходе таких атак могли быть скомпрометированы аккаунты как администратора Passwork, так и пользователя без привилегий администратора.

2024: Совместимость с «СКДПУ НТ Шлюз доступа»

Менеджер паролей «Пассворк» получил официальный сертификат совместимости с ПО «СКДПУ НТ Шлюз доступа». Об этом Пассворк (Passwork) сообщил 19 сентября 2024 года.

СКДПУ НТ Шлюз доступа — платформа контроля и отслеживания действий привилегированных пользователей, отличающаяся удобством интеграции в существующую ИТ-среду. Установив систему, можно уже через несколько часов получить полную картину того, кто, где, когда и как использовал то или иное устройство или систему в режиме административного доступа.

2023: Интеграция с системой контроля действий поставщиков ИТ-услуг СКДПУ НТ

Компания «АйТи Бастион» сообщила 27 июля 2023 года сообщила о расширении функциональности своих продуктов средствами отечественного решения Пассворк. Вопросы управления, смены и хранения паролей для доступа пользователей в ИТ-инфраструктуру требуют отдельного внимания и использования специального функционала программных продуктов. СКДПУ НТ Шлюз доступа обладает как собственным функционалом управления паролями, так и возможностью использования внешних хранилищ паролей.

Решение Пассворк позволяет расширить возможности парольного хранилища СКДПУ НТ, предоставляя пользователям инструменты «парольного кошелька» для хранения и общего использования учетных данных для различных ИТ-систем компании. Интеграция с СКДПУ НТ позволяет использовать личные и общие хранилища (сейфы) Пассворк в ежедневной работе пользователей для доступа к инфраструктуре. При этом не требуется дублирование учетных записей в обеих системах и их передача в открытом виде.Унифицированные коммуникации в России: как развиваются отечественные решения и кто лидирует на этом рынке. Обзор TAdviser 7.3 т

Данная интеграция актуальна тогда, когда Пассворк уже используется на предприятии заказчика или требуется расширение функциональных возможностей встроенного в СКДПУ НТ хранилища паролей. Таким образом, организация может использовать централизованное хранилище паролей, к которому просто «присоединяется» СКДПУ НТ Шлюз доступа.

Решение Пассворк имеет ряд удобных функций, актуальных при работе с СКДПУ НТ: например, делегирование пароля другому человеку или группе лиц. Также если пользователю нужно поменять пароль, то он идёт в хранилище Пассворк, меняет пароль, а СКДПУ НТ все равно продолжает иметь связь с этим паролем и при необходимости самостоятельно его вскрывать, подставлять в сессию и так далее.

«
Интеграция СКДПУ НТ с Пассворк состоялась потому, что был такой запрос от наших заказчиков. Решение Пассворк набирает известность у российских компаний, оно удобное, им пользуются и хотят продолжать пользоваться при любом изменении ИТ-инфраструктуры. Наша цель — сделать работу администратора проще, понятнее, прозрачнее. Технологическая совместимость наших решений и интеграция их ещё на шаг приблизила нас к этой цели. Кроме того, она говорит о гибкости систем, о наращивании нашего общего функционала ИТ и ИБ-инфраструктуры за счет интеграционного подхода,
резюмировал технический директор ООО «АйТи Бастион» Дмитрий Михеев.
»

«
Совместная работа с партнёрами и интеграционный подход позволяют нам создавать лучшее решение для работы с паролями в компании,
поделился руководитель и сооснователь Пассворк Андрей Пьянков.
»

2022: Совместимость версии 4.7.9 с Astra Linux Special Edition

Менеджер паролей «Пассворк» успешно прошел комплекс испытаний совместимости с ОС Astra Linux. Официальная сертификация подтверждает, что пользователям доступен весь функционал программного стека. Его применение позволяет обеспечить высокий уровень ИТ-безопасности и вместе с этим делает работу с паролями простой и удобной. Об этом 23 июня 2022 года сообщила компания Astra Linux.

Для испытаний совместимости эксперты использовали «Пассворк» версии 4.7.9 на ПК под управлением операционной системы Astra Linux Special Edition, в том числе 1.7.1 с установленным кумулятивным обновлением безопасности «Бюллетень № 2021-1126SE17».

Программа тестирования состояла из инсталляции менеджера паролей в ОС, проверки его работоспособности, а также корректности удаления из системы. Установлено, что «Пассворк» полностью совместим с ОС Astra Linux, и по результатам испытаний продукт получил официальный сертификат № 7989 в рамках программы технологической кооперации вендоров Ready for Astra Linux.

«
Наши клиенты — как крупные компании из государственного сектора, так и частный бизнес — или уже используют Astra Linux, или переходят на нее. Поэтому нам крайне важно сделать «Пассворк» совместимым с этой ОС и обеспечить его стабильную работу в ее среде. Мы готовы к продуктивному сотрудничеству для достижения нашей общей цели – развития российской сферы ИТ, - сказал Андрей Пьянков, управляющий директор компании-разработчика «Пассворк».
»

«
Среди наших клиентов немало организаций, для которых вопросы кибербезопасности являются приоритетными: это администрации регионов, учебные заведения, госкорпорации, ритейлеры, частные финансовые и промышленные компании, которым нужно простое, удобное и эффективное средство для работы с паролями. «Пассворк» уже по сути стал таким оптимальным решением, а сертификация его совместимости с Astra Linux фактически подтвердила это официально, — отметил Антон Рудевский, руководитель департамента по работе с партнёрами ГК «Астра».
»



СМ. ТАКЖЕ (3)


Подрядчики-лидеры по количеству проектов

За всю историю
2022 год
2023 год
2024 год
Текущий год

  Индид, Indeed (ранее Indeed ID) (57)
  Инфосистемы Джет (50)
  ДиалогНаука (37)
  Softline (Софтлайн) (37)
  Информзащита (35)
  Другие (864)

  Индид, Indeed (ранее Indeed ID) (8)
  TUV Austria (2)
  Национальный аттестационный центр (НАЦ) (2)
  Солар (ранее Ростелеком-Солар) (2)
  Информзащита (2)
  Другие (33)

  Индид, Indeed (ранее Indeed ID) (9)
  Сканпорт АйДи (Scanport) (6)
  Инфосистемы Джет (5)
  ОКТРОН (3)
  Banks Soft Systems, BSS (Бэнкс Софт Системс, БСС) (3)
  Другие (50)

  Уральский центр систем безопасности (УЦСБ) (6)
  Индид, Indeed (ранее Indeed ID) (4)
  Инфосистемы Джет (4)
  Сканпорт АйДи (Scanport) (3)
  Информзащита (2)
  Другие (57)

  F6 (ранее F.A.C.C.T.) (1)
  Softline (Софтлайн) (1)
  UserGate, Юзергейт (ранее Entensys) (1)
  Wone IT (Ван Ай Ти Трейд, ранее SoftwareONE Россия, СофтвэрУАН и Awara IT Russia, Авара Ай Ти Солюшенс) (1)
  Информзащита (1)
  Другие (1)

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2022 год
2023 год
2024 год
Текущий год

  Индид, Indeed (ранее Indeed ID) (5, 58)
  СэйфТек (SafeTech) (6, 39)
  FalconGaze (Фалконгейз) (1, 38)
  Аладдин Р.Д. (Aladdin R.D.) (20, 27)
  Visa International (2, 26)
  Другие (475, 234)

  Индид, Indeed (ранее Indeed ID) (3, 8)
  СэйфТек (SafeTech) (1, 1)
  Avanpost (Аванпост) (1, 1)
  Солар (ранее Ростелеком-Солар) (1, 1)
  Другие (0, 0)

  Индид, Indeed (ранее Indeed ID) (2, 9)
  Shenzhen Chainway Information Technology (1, 6)
  СэйфТек (SafeTech) (1, 4)
  Аладдин Р.Д. (Aladdin R.D.) (4, 3)
  RooX Solutions (Рукс Солюшенс) (1, 1)
  Другие (2, 2)

  Индид, Indeed (ранее Indeed ID) (2, 4)
  Shenzhen Chainway Information Technology (1, 3)
  СэйфТек (SafeTech) (1, 3)
  Мобильные ТелеСистемы (МТС) (1, 2)
  Спейсбит (Spacebit) (1, 1)
  Другие (9, 9)

  Газпром (1, 1)
  Другие (0, 0)

Распределение систем по количеству проектов, не включая партнерские решения

За всю историю
2022 год
2023 год
2024 год
Текущий год

  Indeed Access Manager (Indeed AM) - 45
  FalconGaze SecureTower - 38
  3-D Secure (3D-Secure) - 23
  PayControl - 23
  Avanpost IDM Access System - 20
  Другие 279

  Indeed Access Manager (Indeed AM) - 6
  Indeed PAM - Indeed Privileged Access Manager - 2
  Indeed CM - Indeed Certificate Manager (ранее Indeed Card Manager, Indeed Card Management) - 2
  Solar webProxy Шлюз веб-безопасности - 1
  PayControl - 1
  Другие 1

  Indeed Access Manager (Indeed AM) - 7
  Shenzhen Chainway C-серия RFID-считывателей - 6
  PayControl - 4
  Aladdin 2FA - 3
  Indeed PAM - Indeed Privileged Access Manager - 3
  Другие 7

  Indeed PAM - Indeed Privileged Access Manager - 3
  Shenzhen Chainway C-серия RFID-считывателей - 3
  PayControl - 3
  Indeed Access Manager (Indeed AM) - 2
  МТС ID - 2
  Другие 10

  Газпром Бизнес ID - 1
  Другие 0