Привет всем!

На связи аналитики из команды PT Cyber Analytics. Мы сопровождаем red‑team‑проекты и помогаем клиентам разобраться в результатах работы белых хакеров. Детально анализируем результаты тестирований н�� проникновение, оцениваем риски, связанные с обнаруженными уязвимостями, определяем уровень защищенности компаний и разрабатываем рекомендации по устранению слабых мест в инфраструктуре.

В эпоху цифровых устройств информация приобретает все большую ценность. Эта тенденция усиливается из-за тотальной цифровизации всех сфер жизни — от банковских операций до государственных услуг. Рост количества подключенных к интернету устройств расширяет поверхность потенциальных атак, а существование удаленной работы размывает традиционные границы защиты корпоративных сетей. Кроме того, киберугрозы становятся более изощренными, что повышает риск финансовых потерь и утечки конфиденциальных данных. Все это делает кибербезопасность критически важной для современного общества. А одним из ключевых ее аспектов в этих условиях было и остается безопасное хранение паролей и управление ими.

Недостатки парольной политики остаются одной из главных уязвимостей большинства организаций.

По результатам пентестов, проведенных Positive Technologies в 2024 и 2025 годах, было установлено, что у 97% протестированных компаний имеются проблемы с реализацией парольной политики. При этом у 70% из них уровень риска, связанный с паролями, был оценен как критический.

Правильное использование менеджеров паролей позволит не только упростить управление учетными записями, но и повысить уровень безопасности данных, предотвращая применение ненадежных или повторно используемых паролей, которые легко взломать. Однако, несмотря на явные преимущества менеджеров паролей, возникают вопросы, касающиеся их безопасности. Можно ли доверять все учетные данные одному приложению? Как защитить хранилище паролей от взлома? Что делать в случае утраты доступа к менеджеру? Как все же правильно хранить пароли? 

В этой статье мы проанализируем практики безопасного использования менеджеров паролей. Рассмотрим принципы работы различных типов менеджеров и их архитектуру, методы защиты, возможные угрозы безопасности, некоторые примеры взломов, а также способы минимизации рисков. Кроме того, уделим внимание рекомендациям по мониторингу и реагированию на инциденты, связанные с менеджерами паролей.

Наша цель — сформировать комплексное представление о безопасности хранилищ паролей, чтобы вы могли выбрать надежное решение для защиты учетных данных.

Статья носит исключительно информационный характер и не является инструкцией или призывом к совершению противоправных действий. Наша цель — рассказать о существующих уязвимостях, которыми могут воспользоваться злоумышленники, и дать рекомендации по защите. Авторы не несут ответственности за использование кем-то информации из статьи.

Что такое менеджер паролей

Вместо того чтобы использовать один пароль для всего, запоминать сложные пароли или хранить их в незащищенном виде (например, в текстовых файлах или на бумаге), можно воспользоваться специальным менеджером. Он помещает пароли в зашифрованное хранилище, доступ к которому возможен только при помощи мастер-пароля или другого метода аутентификации (например, с использованием биометрии).

Главная функция менеджера паролей — безопасное хранение учетных данных в одном месте. Однако в зависимости от возможностей и архитектуры решения они также могут выполнять следующие функции:

  • Создание надежных паролей. Менеджеры имеют встроенные генераторы, которые автоматически создают надежные пароли. Кроме того, они определяют безопасность паролей, создаваемых вручную: ПО подсказывает, насколько надежен придуманный пароль.

  • Автоматическое отслеживание возраста паролей. ПО отслеживает даты создания паролей и при истечении заданного срока напоминает о необходимости замены.

  • Автоматический ввод хранимых учетных данных в формы авторизации.

  • Синхронизация данных. Облачные и гибридные менеджеры паролей синхронизируют хранимые данные на устройствах, где они установлены.

Классификация менеджеров паролей

Менеджеры паролей можно классифицировать по различным критериям, таким как способ хранения данных, платформы и устройства, на которых они работают, а также дополнительные функции. Самая распространенная классификация — по способу хранения данных. По ней все менеджеры можно разделить на три типа:

  • Локальные (on-premises). Устанавливаются непосредственно на устройство пользователя или корпоративный сервер и хранят данные в локальном хранилище. Преимущество таких решений заключается в полном контроле над данными и в отсутствии необходимости подключения к интернету. Однако главный недостаток этого типа — отсутствие онлайн-синхронизации данных. Для работы менеджера требуется сетевое подключение к локальному хранилищу (например, VPN-соединение с корпоративной сетью). Примерами таких решений являются KeePassXC, Password Safe, «ОдинКлюч» (локальное решение) и др.

  • Облачные (SaaS). Хранят информацию в зашифрованном виде на серверах провайдера, что позволяет легко синхронизировать данные на разных устройствах. Для доступа к данным необходимо подключение к интернету и установленный клиент ПО или браузер. Недостаток таких решений — зависимость от провайдера услуг и его безопасности. Примеры облачных менеджеров: Kaspersky Password Manager, LastPass, MultiPassword, «ОдинКлюч» (облачное решение).

  • Гибридные. Сочетают в себе преимущества локальных и облачных менеджеров паролей. Данные могут храниться на сервере внутри инфраструктуры организации, но с возможностью синхронизации через интернет. Комбинированный подход обеспечивает высокий уровень безопасности и удобства. Однако такие системы сложнее настраивать и администрировать. Примеры гибридных решений: 1Password, Bitwarden, Teampass.

Корпоративные менеджеры паролей

Помимо классификации по способу хранения данных, существует деление менеджеров на корпоративные и персональные. Корпоративные отличаются расширенной функциональностью, централизованным управлением и интеграцией с внутренними системами компании. Они полезны там, где требуется управление паролями на уровне организации, в то время как персональные менеджеры подходят только для индивидуального использования. Примеры корпоративных менеджеров: Keeper Security, «ОдинКлюч», BearPass.

Выбор конкретного типа решения зависит от индивидуальных потребностей пользователя или организации. Для частных лиц важны удобство и безопасность, тогда как для корпоративных пользователей наряду с указанными свойствами требуются масштабируемость и управляемость. 

Далее в статье рассматриваются только корпоративные менеджеры паролей.

Выбираем менеджер паролей

Выбор корпоративного приложения напрямую влияет на кибербезопасность организации. Мы подготовили рекомендации, которые помогут подобрать подходящее решение. Для этого стоит заранее ответить на следующие вопросы:

  • Каков масштаб организации, сколько пользователей будут использовать менеджер и есть ли необходимость в поддержке филиалов или удаленных сотрудников?

  • Нужна ли интеграция с существующими системами (Active Directory, LDAP, SIEM)?

  • Каковы финансовые ограничения? Учитывайте не только стоимость лицензий, но и затраты на внедрение, обучение и администрирование.

Когда ответы получены, можно ознакомиться с ключевыми возможностями, которыми должен обладать хороший корпоративный менеджер паролей:

  • централизованное администрирование учетных записей сотрудников, сброс паролей и назначение ролей;

  • реализация многофакторной аутентификации (аппаратные ключи, одноразовые пароли (time-based one-time password, TOTP) или биометрия);

  • журналирование действий пользователей, уведомления о подозрительной активности;

  • безопасный обмен паролями между командами с контролем доступа;

  • отправка логов в системы мониторинга безопасности;

  • создание и восстановление резервных копий.

С точки зрения безопасности менеджер паролей должен иметь следующие функции:

  • Использование современных алгоритмов шифрования (AES-256, XChaCha20).

  • Использование принципа нулевого разглашения, при котором провайдер услуги не знает и не может узнать информацию о пользователе. Это означает, что все данные шифруются до передачи в облако, а ключ для расшифровки известен только клиенту (пользователю или компании).

  • Встроенная защита от фишинга: автоматическое заполнение должно поддерживаться только на доверенных сайтах и только с разрешения пользователя.

  • Регулярные обновления ПО. Проверьте, как часто выпускаются обновления и патчи для устранения уязвимостей.

Для удобства использования менеджера обращайте внимание на следующие свойства:

  • Кросс-платформенность — поддержка всех популярных операционных систем (Windows, macOS, Linux) и мобильных платформ (iOS, Android).

  • Возможность интеграции с браузерами — автоматическое заполнение паролей в популярных браузерах (Chrome, Firefox, Edge).

  • Простота внедрения — наличие подробной документации и технической поддержки.

Безопасность менеджеров паролей

Менеджер паролей — привлекательная мишень для хакеров. После внедрения потребуется должное внимание к обеспечению кибербезопасности как самого приложения, так и связанной с ним ИТ-инфраструктуры. Поэтому при выборе подходящего решения необходимо учитывать следующие риски кибербезопасности:

  • Уязвимости ПО. В менеджерах паролей, как и в любом другом программном обеспечении, могут появляться уязвимости. Например, уязвимость CVE-2023-32784 в KeePass позволяет злоумышленникам извлекать мастер-пароль из памяти программы в текстовом формате, а уязвимость CVE-2023-36266 в Keeper и KeeperFill — получить доступ к хранимой информации из памяти программы, даже после выхода пользователя из системы.

  • Конфигурация корпоративной инфраструктуры. Менеджер паролей значительно повышает уровень кибербезопасности в организации, однако его защищенность напрямую зависит от инфраструктуры. В практике Positive Technologies есть несколько примеров, когда эксперты получали доступ к хранилищу паролей вследствие компрометации учетных данных администраторов серверов, на которых они были развернуты.

  • Человеческий фактор. Одним из главных векторов проникновения в корпоративную инфраструктуру являются атаки на пользователей — фишинг и вредоносное ПО. Но зачастую пользователи сами создают уязвимости в системах, даже не подозревая об этом. Применение ненадежных паролей, в том числе словарных, — основной источник проблем с безопасностью информации.

  • Риски использования облачных решений. Основными вопросами при выборе облачного решения является доверие к поставщику и безопасность данных. Бытует мнение, что менеджеры с облачным хранением могут быть уязвимее, чем локальные решения. Так, например, в 2022 году из-за компрометации аккаунта разработчика у LastPass произошла утечка резервных копий данных клиентов, включая зашифрованные пароли и метаданные.

На что стоит обратить внимание при выборе облачного решения:

  • Защита данных. Спросите у поставщика, как он обеспечивает безопасность данных. Безусловно, разработчики должны соблюдать требования российского законодательства. Но возможно, кто-то пошел дальше и поддерживает соответствие международным стандартам (например, GDPR), что будет преимуществом.

  • Безопасность инфраструктуры. Задавайте вопросы о безопасности ИТ-инфраструктуры. Ищите провайдера, который будет соответствовать вашим внутренним требованиям или стандартам. Уточните, если ли возможность подключения ваших корпоративных систем мониторинга к облачному приложению.

  • Утечки данных и инциденты ИБ. Требуйте от поставщика уведомлять вас обо всех утечках и инцидентах ИБ, происходящих в его инфраструктуре. Разработайте меры реагирования на случай утечки данных и закрепите ответственность сторон юридически.

Примеры реальных атак на менеджеры паролей

Матрица MITRE ATT&CK содержит описание 12 примеров атак злоумышленников на системы хранения паролей. А здесь мы поделимся примерами из реальных проектов по тестированию на проникновение, где нашим экспертам удалось получить доступ к хранилищам паролей.

Эксплуатация уязвимости «Отсутствие защиты от восстановления мастер-пароля KeePass из памяти процесса KeePass.exe» (CVE-2023-32784)

В ходе пентеста наши эксперты обнаружили на рабочей станции сотрудника информационной службы безопасности базу данных, принадлежащую менеджеру паролей KeePass. Было установлено, что на той же рабочей станции запущен процесс KeePass.exe. Менеджер KeePass содержал уязвимость CVE-2023-32784 — не было защиты от восстановления мастер-пароля из памяти процесса. С помощью специальной утилиты специалистам Positive Technologies удалось выполнить выгрузку закодированного мастер-пароля. После этого мастер-пароль был восстановлен из запущенного процесса KeePass.exe с помощью алгоритма base64decode.

С помощью полученного мастер-пароля специалисты Positive Technologies расшифровали ранее скачанную базу данных Database.kdbx на собственной рабочей станции и таким образом получили доступ к учетным данным, хранимым в менеджере паролей KeePass.

Вектор атаки на менеджер паролей KeePass
Вектор атаки на менеджер паролей KeePass

Получение контроля над сервером и последующая компрометация всех паролей организации

Для проведения атаки на менеджер паролей наши специалисты добавили выданную клиентом доменную учетную запись username1 в группу с помощью полученного ранее NT-хеша пароля сервисной учетной записи gmsaSrvSched$. После этого был получен доступ к узлу passwork, функционирующему под управлением Linux. Было установлено, что вводить пароль для выполнения команды sudo su от имени пользователя username1 не требуется.

После обнаружения всех контейнеров, запущенных на платформе Docker, специалисты получили доступ к контейнеру php8-fpm и выгрузили сохраненные пароли из системы одного отечественного вендора с помощью PHP-сценария в файл производителя.

Вектор атаки на менеджер паролей
Вектор атаки на менеджер паролей

Таким образом, результаты проектов по тестированию на проникновение показывают, что компрометация менеджеров паролей — не гипотетическая угроза, а реальный и довольно распространенный вектор атаки. Например, при недостаточной защите главного мастер-пароля или использовании уязвимых версий ПО злоумышленник может получить доступ ко всем сохраненным учетным данным. Это может привести к полной компрометации корпоративной сети — от почтовых ящиков и облачных сервисов до систем администрирования и баз данных. Рассмотренные примеры демонстрируют, что при отсутствии должных мер защиты даже доверенные инструменты безопасности могут стать источником риска.

Рекомендации по харденингу корпоративного менеджера паролей

Чтобы минимизировать количество успешных атак на системы хранения паролей, используйте следующие рекомендации.

Мастер-пароль

Вот несколько пра��ил для создания надежного пароля:

  • минимальная длина пароля — 25 символов;

  • пароль должен содержать буквы разных регистров, цифры и спецсимволы;

  • заменяйте некоторые буквы символами и цифрами (например, S можно заменить $, а букву А — цифрой 4);

  • не используйте в качестве пароля обычные слова вроде summer или winter — их легко подобрать;

  • парольная фраза — простой способ создать действительно сложный пароль;

  • для слов и фраз на русском языке используйте транслит или написание в других раскладках.

Никогда не храните мастер-пароль в открытом виде и на одном устройстве с менеджером паролей.

Двухфакторная аутентификация (2FA)

Для доступа к менеджеру паролей используйте двухфакторную аутентификацию (например, сервис компании «Мультифактор», TOTP-приложения «Яндекс Ключ» и Google Authenticator или аппаратный ключ).

Обучение сотрудников

Регулярно обучайте сотрудников основам кибербезопасности. Знание методов социальной инженерии и умение им противостоять, а также соблюдение правил компьютерной гигиены позволяют избежать многих инцидентов ИБ. Вот несколько вещей, которые должен знать каждый сотрудник:

  • Надежные пароли. Объясните, что пароли являются основой безопасности, поэтому каждый должен знать правила их создания и использования.

  • Фишинговые атаки. Покажите, как злоумышленники могут попытаться обмануть человека, чтобы получить его пароль или другую конфиденциальную информацию.

  • Обновление ПО. Расскажите, что для защиты данных на компьютерах и других устройствах необходимо своевременно обновлять программы.

  • Уведомление о нарушениях безопасности или подозрительных событиях. Дайте инструкцию, куда обращаться, если сотрудники заметят нарушения безопасности или сбои в системе.

Важно не только обучать сотрудников основам кибербезопасности, но и проверять их знания. При этом проверка не должна сводиться к формальным ответам на вопросы. Имитация действий злоумышленников (например, рассылка фишинговых писем) эффективнее теоретических тестов.

Сегментация и изоляция

При локальном развертывании важно разместить серверы менеджера паролей в защищенном сегменте сети. Необходимо также провести логическую сегментацию — разделяйте роли и права доступа. Администраторы системы не должны иметь доступ к содержимому хранилищ пользователей. При разделении прав доступа руководствуйтесь принципом минимальных привилегий.

Необходимо ограничить сетевые соединения с менеджером паролей. Интеграция с Active Directory и LDAP должна происходить через специализированные коннекторы или агенты во внутренней сети, а не напрямую из интернет-сегмента.

Для интеграции с корпоративной инфраструктурой следует использовать возможности технологии единого входа (single sign-on, SSO), языка разметки SAML (security assertion markup language) и Active Directory.

Разделите пароли по уровню важности. Храните отдельно критически важные данные (банковские учетные записи, учетные записи администраторов).

Базовые меры защиты и аудит

Регулярно создавайте зашифрованные резервные копии хранилища на автономных носителях и периодически проверяйте их работоспособность.

Своевременно обновляйте ПО менеджера, ОС, браузеров и приложений на всех устройствах, чтобы закрывать уязвимости.

Регулярно проверяйте наличие слабых или повторяющихся паролей. Если ваш менеджер поддерживает опцию аудита паролей, используйте ее.

Систематически проверяйте соответствие настроек безопасности менеджера корпоративным стандартам.

Мониторинг и реагирование

Мониторинг событий

Журналирование событий:

  • Включите запись всех действий в менеджере паролей:

    • входы в хранилище (успешные и неуспешные);

    • изменение мастер-пароля или настроек безопасности;

    • доступ к критически важным паролям.

  • Интегрируйте события безопасности с SIEM-системой или другими системами мониторинга для централизованного анализа.

Аномалии доступа:

  • Настройте предупреждения об опасности в случае:

    • попытки входа с нового устройства или IP-адреса;

    • множественных неуспешных попыток ввода мастер-пароля;

    • попытки экспорта паролей или изменения резервных копий.

Проверка целостности хранилища:

  • Используйте встроенные инструменты аудита.

  • Отслеживайте несанкционированные изменения паролей (например, через API интеграции).

Мониторинг фишинговых атак:

  • Следите за письмами с запросами мастер-пароля.

  • Используйте платформы threat intelligence для обнаружения поддельных сайтов, имитирующих интерфейс менеджера паролей.

Реагирование на инциденты

Разработайте сценарии реагирования (плейбуки) на типовые инциденты ИБ, которые могут затрагивать безопасность менеджера паролей, в том числе и на случай его компрометации. В ходе разработки плейбуков должно учитываться все имеющееся системное и прикладное ПО, а также средства защиты информации.

Действия при обнаружении подозрительных событий или аномалий:

  • немедленно заблокируйте доступ к хранилищу;

  • инициируйте смену мастер-пароля;

  • проверьте журналы активности для выявления источника угрозы.

Действия при утечке мастер-пароля:

  • сбросьте мастер-пароль и включите принудительную смену всех паролей в хранилище;

  • отзовите сессии на всех устройствах;

  • уведомите сотрудников о возможных фишинговых атаках.

Действия при компрометации хранилища:

  • заблокируйте аккаунты, связанные с утекшими паролями (например, корпоративную почту, облачные сервисы);

  • активируйте резервные копии хранилища (если они небыли затронуты атакой).

Восстановление после атаки:

  • обновите все скомпрометированные пароли, в первую очередь в критически важных системах;

  • проверьте устройства сотрудников на наличие вредоносного ПО (например, кейлоггеров).

Как все-таки правильно хранить пароли?

Ответ однозначный — использовать менеджер паролей. Их внедрение радикально повышает защищенность организации, устраняя главную проблему — слабую парольную политику. Менеджеры генерируют сложные уникальные пароли, исключают их повторное использование и упрощают соблюдение сильной политики, что снижает количество инцидентов. Например, 99% пользователей, внедривших Bitwarden, отметили, что уровень безопасности их компании повысился, а 68% связали этот факт с отказом от ненадежных паролей.

Однако не стоит забывать о том, что менеджер паролей становится ключевой системой: его компрометация открывает доступ сразу ко всем учетным данным. Поэтому выбирайте решения с сильным шифрованием, многофакторной аутентификацией, аудитом и нулевым доверием. Своевременно обновляйте менеджер, ОС, браузеры и приложения — это залог сохранности данных.

Помните, что менеджеры паролей эффективны только в комплексе с другими мерами обеспечения ИБ: харденингом инфраструктуры, принципом минимальных привилегий, мониторингом, постоянным повышением киберграмотности сотрудников и обучением распознаванию фишинга. Такой подход превращает полезную технологию в надежный барьер для угроз.