Блог Пассворка

Релизы

17 дек. 2025 г.

Обновление браузерного расширения 2.0.30

Браузерное расширение доступно для Google Chrome, Microsoft Edge, Mozilla Firefox и Safari.

Улучшили алгоритм распознавания и автозаполнения простых и многошаговых форм аутентификации, включая поля для одноразовых кодов (TOTP)
Улучшили безопасность локального хранилища расширения в браузерах на базе Chromium
Исправили ошибку, при которой иконка пароля могла некорректно отображаться, если в его названии использовались Unicode-символы
Исправили ошибку, при которой после удаления папок внутри сейфа и возврата на главный экран список сейфов мог отображаться некорректно
Исправили ошибку со сбросом текущей сессии пользователя при удалении ПИН-кода в расширении

Всю информацию о версиях Пассворка можно найти в нашей истории обновлений

Обновление браузерного расширения 2.0.30

Исследования

16 дек. 2025 г.

МТС Банк: как Пассворк помог организовать управление паролями

МТС Банк — один из крупнейших цифровых коммерческих банков России, который уже более 30 лет помогает компаниям и частным лицам управлять своими финансами. МТС Банк входит в топ-30 крупнейших банковских учреждений страны по активам и обслуживает более 3,8 миллионов клиентов по всей стране. Банк занимает шестое место в России по величине портфеля кредитных карт и четырнадцатое место по вкладам населения.

Являясь частью экосистемы МТС, Банк активно создаёт и внедряет передовые технологии и цифровые решения. В 2024 году приложение МТС Банка было признано лучшим в RuStore, а само финансовое учреждение получило множество наград — премию СХ WORLD AWARDS за лучший клиентский опыт в премиальном сегменте и FINAWARD за инновационные продукты. Кроме того, банк стал победителем международной премии Eventiada Awards за корпоративный проект в сфере здорового образа жизни сотрудников, демонстрируя заботу не только о клиентах, но и о своей команде.

МТС Банк предлагает широкий спектр финансовых услуг для частных лиц, малого и среднего бизнеса, а также крупных корпоративных клиентов. За каждой успешной транзакцией стоит команда из пяти тысяч профессионалов, которые ежедневно работают над тем, чтобы банковский опыт был безупречным. Миссия МТС Банка — быть лучшим цифровым банком в России для жизни и бизнеса, предлагая каждому клиенту мобильность и свободу управления своими финансами.

Компания: МТС Банк
Дата и место основания: Россия, 1993
Отрасль: Финансовые услуги
Размер компании: Более 5000 сотрудников

Задача: централизовать управление паролями и исключить риски

Как и многие крупные организации, МТС Банк сталкивался с серьёзными вызовами в управлении конфиденциальной информацией. Разные подразделения использовали собственные инструменты для хранения паролей и учётных записей. Эти локальные решения работали обособленно, не были связаны между собой и не позволяли централизованно контролировать доступы, отслеживать действия пользователей и обеспечивать единые стандарты информационной безопасности.

«У каждого подразделения был свой менеджер паролей, серверный или локальный. Хотели прийти к чему-то общему, чтобы для всего банка это было единственное целевое решение», — команда МТС Банка

Компания искала решение, которое:

соответствует строгим требованиям регуляторов и внутренним политикам информационной безопасности
входит в техническую экосистему на базе российских решений в рамках стратегии импортозамещения и снижения зависимости от зарубежного ПО
обеспечивает безопасную передачу конфиденциальной информации между сотрудниками

Банку требовался сервис, который объединит рабочие процессы всех отделов, позволит выстроить прозрачную систему управления доступами и обеспечит надёжное хранение паролей.

Выбор надёжного менеджера паролей

Для выбора менеджера паролей команда информационной безопасности МТС Банка провела тщательный анализ доступных решений на рынке. Одним из ключевых требований было использование отечественного ПО в соответствии с дорожной картой Банка России для финансовых организаций.

В процессе оценки рассматривались различные варианты, включая популярный продукт BearPass. Пассворк и BearPass демонстрировали схожий функционал и возможности, однако в ходе тестирования было выявлено критически важное различие. В Пассворке есть уникальная функция, которая полностью исключает доступ администраторов системы к личным сейфам пользователей, при этом сами пользователи могут делиться доступами из этих сейфов с коллегами.

«В BearPass нельзя предоставить кому-то доступ из личного сейфа, что для нас критично. В Пассворке можно из личного сейфа предоставить права другим пользователям, и при этом сейф не будет виден администратору. Для нас это важно, так как мы не хотим стать главной целью злоумышленников»

Для банка эта функция имела принципиальное значение. Администраторы работают с огромным объёмом финансовых данных, поэтому нужен уровень защиты, который технически исключит возможность доступа к конфиденциальным данным.

Процесс тестирования Пассворка занял около двух месяцев и проводился командой, в которую вошли специалисты отдела информационной безопасности, системные администраторы и сотрудники первой линии технической поддержки. Команда МТС Банка протестировала все заявленные функции и проанализировала защищённость на уровне базы данных. Специалисты информационной безопасности банка провели пентесты для оценки решения и убедились, что все критически важные данные хранятся в зашифрованном виде.

Построение отказоустойчивой инфраструктуры

В крупных финансовых организациях действуют высокие требования к отказоустойчивости и производительности. Пассворк соответствовал таким требованиям, поэтому после тестирования в МТС Банке приняли решение о развёртывании менеджера паролей в инфраструктуре компании, которая включала в себя:

Два балансировщика нагрузки — для распределения запросов пользователей
Два сервера приложений — для обработки логики работы системы
Два сервера базы данных с арбитром — для обеспечения отказоустойчивости хранения данных

«Мы выбрали трёхуровневую архитектуру для надёжности и масштабируемости системы: балансировщики, серверы приложений и баз данных, а также арбитр для максимальной защиты наших данных»

Все компоненты системы были развёрнуты в виртуальной среде под управлением российской операционной системы РЕД ОС, в соответствии со стратегией импортозамещения. Построение сложной архитектуры происходило поэтапно:

Во время тестирования использовали упрощённую конфигурацию с одной базой данных
Систему постепенно масштабировали до полноценной отказоустойчивой конфигурации по запросу ИТ-архитекторов банка
Чтобы быстро восстановить работу системы в случае сбоя, настроили резервное копирование
Подключили LDAP для централизованного управления пользователями на основе службы каталогов Active Directory
Для дополнительной защиты учётных записей включили обязательную двухфакторную аутентификацию (2FA) для всех сотрудников

После успешного внедрения отделу администрирования средств информационной безопасности было необходимо структурировать работу сотрудников в новой системе.

Организация работы с данными в Пассворке

В МТС Банке стремились построить гармоничную и гибкую систему, сочетающую контроль и свободу личного информационного пространства сотрудников. Пассворк позволяет создавать неограниченное количество ролей с индивидуальными правами. В МТС Банке создали специальные роли для различных категорий пользователей:

Четыре сотрудника являются администраторами системы с правом на изменение системных настроек
Для сотрудников первой линии технической поддержки создали роль с минимальными правами: доступны изменение адреса электронной почты пользователей и сброс 2FA при необходимости
Учётные записи технических специалистов интегрированы с API для автоматизации рутинных задач

В седьмой версии Пассворка пользователи получили возможность самостоятельно создавать любые сейфы, которые им необходимы для работы.

«Теперь у команды есть единый инструмент, внутри которого можно безопасно обмениваться паролями. Пассворк позволяет отправлять пароли внутри системы и по внешней ссылке, предоставлять временный доступ или отозвать его в любой момент»

С помощью IdM-системы отдел управления доступами централизованно контролирует права пользователей во всех корпоративных сервисах. Этот отдел согласовывает и назначает роли, регулярно проводит аудиты. Для автоматизации процессов сотрудники создали скрипт, который мгновенно блокирует в Пассворке учётные записи пользователей, отключённых в Active Directory.

Для обучения сотрудников в МТС Банке провели вебинар, где руководитель одного из отделов рассказал о Пассворке и показал, как пользоваться менеджером паролей эффективно. У сотрудников всегда под рукой пользовательские инструкции, а отдел по работе с персоналом регулярно создаёт рассылку о новых возможностях Пассворка — и как они помогают в работе. Обратную связь об использовании сервиса сотрудники оставляют через собственную службу поддержки, которая вместе с ИБ-отделом быстро решает возникающие вопросы.

Результат: безопасность и эффективность рабочих процессов

С помощью Пассворка МТС Банк выстроил современную систему управления паролями и конфиденциальной информацией. Все процессы работы с критическими данными объединены в единой платформе под контролем ИБ-отдела.

«Пассворк — это не только личное хранение, но и централизованное управление, и возможность передачи секретов»

Единое пространство для хранения данных

Банк отказался от разрозненных локальных решений: все пароли теперь хранятся в защищённой системе с многоуровневым шифрованием. Доступ к ним строго контролируется и логируется — это помогает предотвращать утечки и проводить расследования инцидентов при необходимости.

Сотрудники передают конфиденциальную информацию внутри системы: Пассворк позволяет безопасно делиться доступами через предоставление прав доступа к сейфам или одноразовые ссылки для просмотра пароля.

Архитектура Пассворка позволяет исключить доступ администраторов к личным сейфам пользователей. Это снижает риски для специалистов ИБ и защищает как данные, так и сотрудников, которые с ними работают.

Импортозамещение и соответствие требованиям

Пассворк входит в реестр российского ПО, имеет лицензии ФСТЭК и ФСБ, гарантирует соблюдение стандартов безопасности финансовой отрасли и полностью соответствует политике Банка России по импортозамещению.

Пассворк улучшил внутреннюю безопасность МТС Банка, создав надёжную инфраструктуру для управления паролями и секретами. Теперь все процессы по защите учётных данных выстроены централизованно, с чётким разграничением прав и прозрачным контролем действий пользователей. Это решение укрепило безопасность банка и сделало работу сотрудников проще и безопаснее.

«Пассворк стал единым инструментом для всего банка. Сотрудники сохраняют контроль над своими данными, а система остаётся прозрачной и безопасной»

Готовы повысить уровень безопасности? Протестируйте Пассворк бесплатно и получите полный контроль, автоматизацию и защиту данных на корпоративном уровне.

МТС Банк: как Пассворк помог организовать управление паролями

Новости

9 дек. 2025 г.

Пассворк стал лучшим решением для работы с паролями по версии ComNews

Пассворк стал победителем премии ComNews Awards 2025 в категории «Лучшее решение для работы с паролями в компании». Эксперты оценили архитектуру безопасности, технологическую зрелость и удобство работы для ИТ-команд.

Премия ComNews Awards

Профессиональная премия ComNews Awards ежегодно отмечает компании и продукты, которые внесли значимый вклад в развитие ИТ, телеком- и цифровых технологий. Жюри оценивало технологическую зрелость, инновационность и влияние решений на рынок. По итогам оценки Пассворк признан лучшим российским менеджером паролей.

Критерии оценки

Особое внимание уделялось тому, насколько решение помогает компаниям выстраивать эффективные процессы управления доступами и повышать уровень информационной безопасности. Эксперты выделили ключевые преимущества Пассворка:

высокий уровень безопасности и архитектуры, в основе которой фундаментальная безопасность
удобный и гибкий интерфейс для командной работы
развитая ролевая модель доступа и аудит
полнофункциональный API и инструменты для DevOps
комплексный подход к управлению паролями и секретами

«Пассворк создаётся для компаний, которым критична безопасность: мы усиливаем архитектуру, развиваем гибкие механизмы управления доступами и делаем работу с паролями и секретами максимально удобной и прозрачной. Признание ComNews Awards — результат большой работы нашей команды и показатель доверия рынка», — Андрей Пьянков, генеральный директор ООО «Пассворк»

Признанная надёжность

Профессиональная награда подтверждает, что наш подход к безопасности и управлению секретами соответствует самым высоким требованиям рынка, а заложенные в платформу принципы безопасности выдерживают оценку независимых экспертов.

Мы постоянно улучшаем Пассворк: укрепляем архитектуру, расширяем функциональность и остаёмся отраслевым стандартом в управлении корпоративными паролями и секретами.

Готовы повысить уровень безопасности? Протестируйте Пассворк бесплатно и получите полный контроль, автоматизацию и защиту данных на корпоративном уровне.

Пассворк стал лучшим решением для работы с паролями по версии ComNews

Новости

28 нояб. 2025 г.

Пассворк и Positive Technologies запустили программу поиска уязвимостей

Пассворк запустил программу поиска уязвимостей на площадке Standoff Bug Bounty — крупнейшей российской багбаунти-платформе. Теперь безопасность Пассворка проверяют более 30 000 независимых экспертов. Это важный этап нашей стратегии безопасности: мы выявляем и устраняем потенциальные уязвимости до того, как они станут проблемой.

Безопасность как фундамент

Согласно исследованию Positive Technologies, 36% успешных кибератак на российские компании осуществляются через эксплуатацию уязвимостей в веб-приложениях. Для системы управления паролями это критический риск: её компрометация может открыть злоумышленникам доступ ко всей корпоративной инфраструктуре.

Для организаций Пассворк — первый рубеж защиты корпоративных секретов. Именно поэтому мы рассматриваем безопасность не как отдельную функцию, а как фундамент продукта. Все архитектурные решения строятся вокруг принципов надёжной защиты.

«Киберугрозы постоянно эволюционируют. Просто реагировать на инциденты — уже недостаточно. Запуская Bug Bounty, мы действуем на опережение. Это наш способ подтвердить, что доверие, которое клиенты оказывают Пассворку, абсолютно оправданно», — Андрей Пьянков, генеральный директор ООО «Пассворк»

Запуская Bug Bounty мы продолжаем следовать нашей стратегии, направленной на проактивное выявление и устранение потенциальных уязвимостей с привлечением независимого экспертного сообщества.

Почему Standoff Bug Bounty

Мы выбрали Standoff Bug Bounty как крупнейшую площадку по поиску уязвимостей в России. Платформа объединяет более 30 000 исследователей безопасности, предоставляет удобную инфраструктуру для работы и обеспечивает прозрачное взаимодействие с багхантерами.

Positive Technologies — один из лидеров в области результативной кибербезопасности. Компания является ведущим разработчиком продуктов, решений и сервисов, позволяющих выявлять и предотвращать кибератаки до того, как они причинят неприемлемый ущерб бизнесу и целым отраслям экономики. Positive Technologies — первая и единственная компания из сферы кибербезопасности на Московской бирже (MOEX: POSI). Количество акционеров превышает 220 тысяч.

Сотрудничество с Positive Technologies даёт нам доступ к крупнейшему сообществу исследователей безопасности, отработанные процессы обработки уязвимостей и полный контроль на всех этапах. Это гарантия того, что мы получим качественную экспертизу и сможем оперативно реагировать на найденные угрозы.

Что мы тестируем

В рамках программы специалисты исследуют фронтенд и бэкенд веб‑приложения Пассворка:

Удалённое исполнение кода (RCE): возможность заставить сервер выполнять произвольный код или команды.
Инъекции (SQL и аналоги): внедрение вредоносного кода в запросы к базам данных (SQL, NoSQL, ORM, LDAP) для чтения, изменения данных или обхода аутентификации.
Подделка запросов на стороне сервера (SSRF): принуждение сервера обращаться к произвольным (включая внутренним) ресурсам для получения секретов или обхода периметра.
Раскрытие и манипуляции чувствительными данными (IDOR): доступ к объектам через изменяемые идентификаторы без проверки прав, позволяющий читать или редактировать чужие записи.
Захват аккаунта: получение контроля над учётной записью через уязвимости входа или восстановления, кражу токенов и сессий, обход двухфакторной аутентификации.
Локальное и удалённое включение файлов (LFI/RFI): включение локальных или удалённых файлов через параметры путей.
Межсайтовый скриптинг (XSS) с высоким импактом: внедрение и исполнение вредоносного JavaScript (особенно Stored XSS в админ-панели) для кражи токенов и подмены действий пользователя.
Обход ролевой модели доступа к сейфам и паролям: нарушение ACL, позволяющее просматривать, редактировать или экспортировать пароли в чужих сейфах вопреки политикам.
Горизонтальное или вертикальное повышение привилегий: получение прав другого пользователя или администратора через манипуляцию параметрами, скрытыми полями и маршрутами.
Обход ключевых механизмов безопасности продукта: логические или технические способы обойти 2FA, ограничения экспорта и подтверждения критических действий.

Непрерывный процесс

Программа Bug Bounty — это не разовое мероприятие, а постоянная практика. Каждый отчёт будет тщательно анализироваться командой безопасности Пассворка. Найденные уязвимости будут оперативно устраняться, а выводы — интегрироваться в процессы разработки.

Мы регулярно проводим аудит безопасности и тестируем Пассворк силами внутренних и внешних экспертов. Для наших клиентов это еще один повод быть уверенными в том, что выбирая Пассворк, вы выбираете безопасность, подтвержденную не только сертификатами, но и тысячами независимых экспертов.

Готовы проверить Пассворк на реальных задачах? Протестируйте бесплатно и получите полный контроль, автоматизацию и защиту данных на корпоративном уровне.

Пассворк запустил программу поиска уязвимостей на площадке Standoff Bug Bounty

Релизы

27 нояб. 2025 г.

Браузерное расширение доступно для Google Chrome, Microsoft Edge, Mozilla Firefox и Safari.

Улучшили автозаполнение: теперь можно заполнять формы аутентификации прямо с главного экрана расширения, если для сайта найден только один пароль
Добавили указание единицы времени (минуты) в поле настройки автоблокировки
Убрали предложение настроить ПИН-код в расширении, если он не является обязательным
Исправили ошибку, при которой сессия расширения могла непроизвольно завершаться

Всю информацию о версиях Пассворка можно найти в нашей истории обновлений

Обновление браузерного расширения 2.0.29

Информационная безопасность

25 нояб. 2025 г.

Чёрная пятница 2025 для ИБ-специалистов: руководство по безопасным и выгодным покупкам

Пока миллионы покупателей штурмуют онлайн-магазины в поисках скидок, хакеры запускают самую масштабную атаку года. За первые три квартала 2025-го зафиксировано более 105 000 кибератак — на 73% больше, чем за аналогичный период 2024 года.

Для большинства покупателей Чёрная пятница — это очереди за дешёвыми телевизорами. Для ИТ- и ИБ-специалистов это двойной вызов, где каждое решение балансирует между возможностью и риском.

С одной стороны — шанс закрыть давно висящие в бэклоге закупки. Инструменты и оборудование, которые месяцами «находились на рассмотрении», наконец получают зелёный свет. С другой — критический период для защиты корпоративной инфраструктуры от всплеска киберугроз.

Почему Чёрная пятница идеальное время для атак?

Повышенный трафик маскирует вредоносную активность в легитимном шуме
Аномалии, которые обычно вызывают немедленную реакцию, теряются среди тысяч транзакций
Давление бизнеса на доступность систем создаёт конфликт между безопасностью и непрерывностью операций
Решения о блокировке подозрительного трафика принимаются медленнее из-за страха потерять выручку

Социальная инженерия становится эффективнее, когда сотрудники работают в условиях стресса и сжатых дедлайнов. Даже опытные специалисты ошибаются, когда на принятие решения — секунды. И пока вы охотитесь за выгодными предложениями, злоумышленники охотятся за вами.

Чёрная пятница 2025 даёт реальные возможности усилить защиту и приобрести давно ожидаемые инструменты — но только если подходить к этому с тем же скептицизмом и внимательностью, как и к любому важному решению в бизнесе.

Статистика киберугроз в 2025 году

2025 год стал жестоким для корпоративной безопасности. За первые три квартала зафиксировано более 105 тысяч кибератак. Около 20 тысяч — высокой критичности: они могли остановить работу компаний или привести к крупным финансовым потерям.

Самым напряжённым оказался третий квартал — свыше 42 тысяч атак. Это почти 40% всех инцидентов за год и на 73% больше, чем за тот же период 2024 года.

Атаки на базе ИИ превратились из теоретической угрозы в ежедневную реальность. Группы вымогателей организованнее и терпеливее, чем когда-либо. Мировая статистика также показывает неутешительную динамику.

Как атакующие получают доступ

В 60% случаев злоумышленники используют два способа: уязвимости в публичных приложениях (30%) и украденные учётные данные (ещё 30%). Украденные пароли эффективнее сложных эксплойтов. Это делает управление доступом критически важным элементом защиты.

«В этом году злоумышленники всё чаще используют украденные учётные данные вместо взлома и брутфорса — это быстрее и эффективнее», — IBM X-Force 2025 Threat Intelligence Index

Структура угроз

Фишинговые атаки составляют 42% всех угроз, специфичных для Чёрной пятницы. Треть из них (32%) нацелена на цифровые кошельки и платёжные системы. Инфостилеры демонстрируют взрывной рост — увеличение на 84% в доставке через фишинговые письма (2024 против 2023) с прогнозом +180% на 2025 год.

Масштаб атак

Объём фишинговых писем с темой «Чёрная пятница» вырастает на 692% перед распродажами
Имперсонация крупных брендов увеличивается более чем на 2000% в пиковый сезон
Anti-Phishing Working Group зафиксировала 989 123 фишинговые атаки в Q4 2024 — устойчивый тренд роста в праздничный сезон

Типы киберугроз в Чёрную пятницу

Фишинговые письма. Перед распродажами объём фишинга вырастает в 3,5 раза. Злоумышленники рассылают письма со ссылками на поддельные страницы популярных брендов — имитируют выгодные предложения и крадут данные карт или учётные записи.
Веб-скиммеры. Эксперты прогнозируют двукратный рост этих атак. Веб-скиммер — вредоносный скрипт, который внедряется на легитимный сайт и перехватывает данные карт прямо на странице оплаты. Покупатель не замечает кражу.
Поддельные сайты и приложения. Мошенники создают фальшивые интернет-магазины и мобильные приложения, копирующие известные бренды. Цель — выманить данные карт или учётные записи под видом покупки.
ИИ-мошенничество. Злоумышленники внедряют инструкции в контент сайтов, которые индексируют поисковые боты. Когда пользователь задаёт вопрос ИИ-ассистенту, тот выдаёт ответ со встроенной фейковой ссылкой на поддельную страницу поддержки или фишинговый сайт.
Кража личных данных. Даже без доступа к деньгам мошенники собирают имена, адреса доставки, телефоны и имейл. Эти данные используют для таргетированных атак позже — например, для бизнес-имперсонации или целевого фишинга.

Как защитить бизнес в Чёрную пятницу 2025

Соблюдение базовых стандартов кибербезопасности предотвращает более 99% инцидентов в период праздничных распродаж. Для ИБ- и ИТ-специалистов критично усилить защиту периметра и повысить осведомлённость сотрудников.

Контролируйте подлинность веб-ресурсов. Злоумышленники создают фишинговые домены, копирующие корпоративные порталы поставщиков. Настройте DNS-фильтрацию с блокировкой новых доменов и ограничьте доступ к внешним ресурсам через whitelist проверенных поставщиков.
Мониторьте аномальные транзакции. Компрометация платёжных инструментов ведёт к прямым финансовым потерям. Настройте предупреждения на транзакции, превышающие базовый профиль активности, и интегрируйте системы обнаружения мошенничества.
Внедрите 2FA/MFA для критичных систем. Многофакторная аутентификация нейтрализует 99,9% атак со скомпрометированными учётными данными. Разверните MFA на всех корпоративных аккаунтах.
Обновляйте ПО и средства защиты. Устаревшее ПО — точка входа для APT-групп. Внедрите централизованное управление патчами и разверните EDR/XDR с поведенческим анализом.
Защитите сотрудников от социальной инженерии. Злоумышленники используют ИИ для создания дипфейк-звонков, имитирующих голоса руководителей. Проведите тренинг по информационной безопасности и внедрите верификацию финансовых запросов через альтернативные каналы.

Используйте корпоративный менеджер паролей. Повторное использование паролей и их хранение в незащищённых местах — частая причина компрометации аккаунтов. Внедрите корпоративный менеджер паролей с политиками сложности и контролем доступа к критичным системам.

Запретите публичные Wi-Fi для корпоративных операций. Открытые сети позволяют перехватывать учётные данные и токены. Внедрите политику запрета подключения к публичным Wi-Fi.
Контролируйте использование ИИ-инструментов. Злоумышленники применяют внедрение вредоносных промптов для перенаправления на фишинговые ресурсы. Внедрите список одобренных ИИ-инструментов и запретите передачу конфиденциальных данных в публичные языковые модели.
Защититесь от спама и подготовьте план реагирования на инциденты. Объём фишинговых атак на корпоративную почту в период распродаж вырастает в три раза. Усильте настройки почтовых шлюзов и антиспам-фильтров, внедрите технологии защиты от подмены отправителя. Разработайте план реагирования на инциденты: пропишите действия команды при обнаружении фишинга, назначьте ответственных и проведите учебную тревогу.
Минимизируйте цифровой след. Метаданные о закупочной активности могут быть скомпрометированы или проданы. Используйте изолированные браузерные профили и запретите сохранение платёжных данных на внешних платформах.

Практические рекомендации

Обучение сотрудников распознаванию фишинга

Чёрная пятница — идеальное время для фишинга. Сотрудники получают десятки рекламных писем, отвлекаются на личные покупки, а срочность становится нормой.

Что работает:

Симуляция фишинга. Используйте реалистичные сценарии: поддельные уведомления о доставке, срочные запросы на сброс пароля, «эксклюзивные предложения». Отслеживайте реакции. Цель — выработать рефлекс распознавания угроз.
Микротренинги. Пятиминутные брифинги работают лучше часовых презентаций. Покажите три реальных примера фишинговых писем. Объясните, что выдаёт подделку: несоответствие домена, ошибки в URL, неожиданные вложения.
Культура сообщений без страха. Создайте канал для сообщений о подозрительных письмах. Поощряйте сообщения, даже ложные тревоги. Одна пропущенная атака стоит дороже десяти ложных срабатываний.

Политики управления паролями

Чёрная пятница — время импульсивных регистраций. Сотрудники создают аккаунты, используют рабочую почту для покупок и повторяют корпоративные пароли.

Что работает:

Обязательная MFA. Внедрите многофакторную аутентификацию до Чёрной пятницы. Приоритет: корпоративная почта, админпанели, финансовые системы.
Корпоративный менеджер паролей. Внедрите корпоративный менеджер паролей. Интегрируйте с SSO, настройте автозаполнение, проведите обучение.
Политика разделения паролей. Корпоративные учётные данные — только для работы. Создайте отдельную почту для регистраций на внешних сервисах. Пароли генерируйте через менеджер.
Аудит скомпрометированных паролей. Проверяйте корпоративные адреса. Если домен в утечках — требуйте смены паролей. Автоматизируйте мониторинг.

Резервное копирование и план восстановления

Ransomware-атаки с использованием программ-вымогателей во время Чёрной пятницы — статистическая вероятность. Злоумышленники знают: компании платят больше, когда каждый час простоя — потеря выручки.

Проверьте систему до атаки:

Правило 3-2-1. Три копии данных, два типа носителей, одна копия вне офиса. Проверьте: все критические системы покрыты? Когда тестировали восстановление?
Изолированные резервные копии. Современные программы-вымогатели шифруют бэкапы. Убедитесь, что одна копия изолирована от сети: системы без сетевого подключения, хранилища с защитой от изменений, автономные носители.
Тестовое восстановление. Восстановите некритичную систему с нуля. Засеките время, зафиксируйте проблемы, обновите документацию.
Документированный план восстановления. Пошаговая инструкция в печатном виде. Кто принимает решения? Кто восстанавливает? Какие системы — первыми? Как связываемся, если почта недоступна?
Приоретизация критичных систем. Составьте список: что восстанавливаем сразу, что через день, что через неделю.

Защита инфраструктуры требует не только правильных процедур, но и правильных инструментов. Чёрная пятница даёт возможность закрыть критичные пробелы в защите с существенной экономией бюджета.

Чёрная пятница в Пассворке

30% атак начинаются с украденных учётных данных. Пассворк закрывает эту уязвимость на уровне инфраструктуры — централизованное управление паролями и секретами остаётся полностью под вашим контролем.

Что даёт Пассворк вашей компании

Пассворк — корпоративный менеджер паролей и секретов для компаний, которым критична безопасность данных. Решение разворачивается в вашей инфраструктуре: никаких внешних облаков, полный контроль над конфиденциальной информацией.

Для сотрудников: мгновенный доступ к нужным учётным данным без обращений в поддержку
Для администраторов: управление правами доступа и аудит всех действий в реальном времени
Для службы безопасности: прозрачность процессов, соответствие требованиям регуляторов, снижение рисков компрометации через человеческий фактор

Почему Пассворк

Включён в единый реестр Минцифры
Имеет все необходимые лицензии ФСТЭК и ФСБ
Качественная и оперативная поддержка
Все пароли и секреты хранятся на ваших серверах
Регулярные обновления и сопровождение на каждом этапе
Опыт внедрения в системообразующие предприятия страны
Сертифицирован с Astra Linux, РЕД Софт, МСВСфера, Pangolin DB, ОС Атлант и многими другими российскими решениями

Пассворк создан для компаний и государственных учреждений, которым нужна проверенная безопасность. Всё упорядочено, защищено и всегда под рукой.

Чёрная пятница в Пассворке: с 24 ноября по 5 декабря скидка 50% на все редакции коробочного решения.

Заключение: как превратить Чёрную пятницу в выгодные инвестиции

Чёрная пятница 2025 — окно возможностей для организаций, которые понимают: безопасность не расход, а инвестиция.

Рост киберугроз в период распродаж — это не причина отказываться от выгодных предложений. Это напоминание: те же принципы, которые защищают вашу инфраструктуру, должны применяться к процессу закупок. Проверка. Валидация. Скептицизм к слишком хорошим обещаниям.

Лучшая сделка Чёрной пятницы — это решение, которое вы внедрите в декабре, которое ваша команда будет использовать в январе и которое остановит атаку в феврале.

Внимательность, системный подход и правильные инструменты превращают распродажу в стратегическое преимущество. Используйте это окно не для экономии, а для усиления. Не для покупок, а для инвестиций в безопасность, которая будет работать годами.

Готовы усилить безопасность вашего бизнеса? В эту Чёрную пятницу с 24 ноября по 5 декабря все редакции коробочного решения Пассворка со скидкой 50%.

Чёрная пятница 2025: как обезопасить бизнес в период распродаж

Релизы

20 нояб. 2025 г.

Обновление Пассворк 7.2.3 доступно в Клиентском портале.

Улучшили поиск паролей: теперь названия паролей индексируются с учётом заглавных букв и цифр
Увеличили период отображения паролей и ярлыков в разделе «Недавние» с 30 до 90 дней
Исправили ошибку, при которой в корзине администратора сейфа с доступом через группу могли отображаться удалённые пароли и папки из подпапок, к которым у него не было доступа, при этом восстановить или удалить их было нельзя
Исправили ошибки в миграции редакций паролей

Рекомендуем запустить переиндексацию паролей после обновления. Для этого перейдите в раздел Системные настройки → Поиск → Переиндексировать все пароли.

Всю информацию о версиях Пассворка можно найти в нашей истории обновлений.

Обновление Пассворк 7.2.3

Релизы

15 нояб. 2025 г.

В новых версиях реализовали возможность добавления логотипа компании в интерфейс Пассворка, улучшили отображение событий в разделах «История действий» и «Уведомления», а также исправили ряд ошибок в интерфейсе.

Улучшения

Добавили возможность установки логотипа компании в левом верхнем углу интерфейса: укажите путь к изображению в параметре APP_LOGO_PATH конфигурационного файла (рекомендуемый формат и размер: PNG, 200×80 px)
Улучшили отображение событий в разделах «История действий» и «Уведомления»: теперь показываются только релевантные события в зависимости от типа шифрования
Добавили автоматический выход из мобильного приложения и браузерного расширения при смене мастер-пароля пользователя: ранее смена мастер-пароля могла приводить к ошибке на стороне приложения и расширения
Изменили поведение кнопки «Сбросить фильтр» в модальных окнах фильтрации: теперь после сброса окно остаётся открытым
Добавили иконки для системных событий в «Истории действий»
Улучшили описание событий в «Истории действий»

Исправления

Исправили ошибку, при которой несколько тегов могли отображаться как один элемент в окне информации о пароле в «Панели безопасности»
Исправили ошибку, при которой некоторые тумблеры в разделе «Управление пользователями на основе ролей» оставались активными при отсутствии необходимых разрешений
Исправили ошибку, при которой кнопка смены владельца могла быть недоступна (версия без клиентского шифрования)

Всю информацию о версиях Пассворка можно найти в нашей истории обновлений

Обновления Пассворк 7.2.1 и 7.2.2

Релизы

14 нояб. 2025 г.

Python-коннектор 0.1.5: управление секретами в DevOps и CI/CD

Новая версия Python-коннектора 0.1.5 расширяет возможности CLI-утилиты. Мы добавили команды, которые решают ключевые задачи DevOps-инженеров и разработчиков — безопасное получение и обновление секретов в автоматизированных пайплайнах.

Почему это важно

Секреты, API-ключи, токены и пароли баз данных нельзя хранить в коде — это риск утечки. Ручное обновление замедляет процессы и провоцирует ошибки. Новые команды get и update в passwork-cli полностью автоматизируют управление секретами. Пассворк становится единым источником истины (SSOT): секреты не попадают в небезопасные места, жизненный цикл полностью автоматизирован.

Как работают команды:

get — получает данные из Пассворка
update — обновляет данные в Пассворке

Команды работают с любыми полями: паролями, токенами, API-ключами и пользовательскими полями.

Get: получение данных из записи

Команда get извлекает значение любого поля из записи и подходит для скриптов автоматизации.

Получение конкретного поля

Используйте флаг --field для извлечения логина, URL или значения из любого пользовательского поля.

# Получаем токен для доступа к API из пользовательского поля 'API_TOKEN'
export API_TOKEN=$(passwork-cli get --password-id "..." --field API_TOKEN)

Генерация TOTP-кодов

Если в Пассворке хранятся секреты для двухфакторной аутентификации, passwork-cli генерирует актуальный код прямо в терминале. Используйте флаг --totp-code.

# Получаем TOTP-код для подключения к VPN
VPN_TOTP=$(passwork-cli get --password-id "..." --totp-code "VPN_SECRET")

Update: обновление секретов

Команда update изменяет данные в Пассворке и автоматизирует ротацию секретов.

Обновление пользовательских полей

Флаг --custom-<field_name> обновляет значения в пользовательских полях.

# Обновляем API-ключ в записи
passwork-cli update --password-id "..." --custom-API_KEY "new-generated-key"

Массовое обновление

Теперь можно изменять несколько полей одной командой.

# Одновременно обновляем пароль и теги
passwork-cli update \
  --password-id "..." \
  --password "NewComplexP@ssw0rd" \
  --tags "production,rotated,automated"

Поддержка клиентского шифрования

Команды get и update полностью поддерживают режим клиентского шифрования в Пассворке. При использовании get все зашифрованные поля автоматически расшифровываются с помощью мастер-ключа. При выполнении update данные сначала шифруются на вашей стороне и только после этого отправляются на сервер.

Полезные ссылки

Всю информацию о версиях Пассворка можно найти в нашей истории обновлений

Обновление Пассворк 7.2.4

Обновление браузерного расширения 2.0.30

Задача: централизовать управление паролями и исключить риски

Выбор надёжного менеджера паролей

Построение отказоустойчивой инфраструктуры

Организация работы с данными в Пассворке

Результат: безопасность и эффективность рабочих процессов

Единое пространство для хранения данных

Импортозамещение и соответствие требованиям

МТС Банк: как Пассворк помог организовать управление паролями

Премия ComNews Awards

Критерии оценки

Признанная надёжность

Пассворк стал лучшим решением для работы с паролями по версии ComNews

Безопасность как фундамент

Почему Standoff Bug Bounty

Что мы тестируем

Непрерывный процесс

Читайте также

Пассворк запустил программу поиска уязвимостей на площадке Standoff Bug Bounty

Читайте также

Обновление браузерного расширения 2.0.29

Почему Чёрная пятница идеальное время для атак?

Статистика киберугроз в 2025 году

Как атакующие получают доступ

Структура угроз

Масштаб атак

Типы киберугроз в Чёрную пятницу

Как защитить бизнес в Чёрную пятницу 2025

Практические рекомендации

Обучение сотрудников распознаванию фишинга

Политики управления паролями

Резервное копирование и план восстановления

Чёрная пятница в Пассворке

Что даёт Пассворк вашей компании

Почему Пассворк

Заключение: как превратить Чёрную пятницу в выгодные инвестиции

Чёрная пятница 2025: как обезопасить бизнес в период распродаж

Читайте также

Обновление Пассворк 7.2.3

Улучшения

Исправления

Читайте также

Обновления Пассворк 7.2.1 и 7.2.2

Почему это важно

Get: получение данных из записи

Получение конкретного поля

Генерация TOTP-кодов

Update: обновление секретов

Обновление пользовательских полей

Массовое обновление

Поддержка клиентского шифрования

Полезные ссылки

Читайте также

Python-коннектор 0.1.5: управление секретами в DevOps и CI/CD