BearPass: как мы создали один из лучших парольных менеджеров в России

Исторически сложилось так, что основную долю рынка ПО из сферы кибербезопасности в России контролировали зарубежные вендоры. И когда значительная их часть ушла с российского рынка, появился серьезный дефицит средств защиты.

Группа инвесторов задалась целью создать конкурентоспособный российский продукт, предназначенный для шифрованного хранения информации о корпоративных паролях и управления доступа к них для сотрудников — менеджера паролей для бизнеса.

Первым делом мы проанализировали конкурентов для того, чтобы составить собственную battle-карту — сравнительную таблицу функциональных возможностей различных продуктов — и понять, каким арсеналом возможностей обладает современный менеджер паролей. Нашей целью было создать продукт-лидер, поэтому уступать ни в чем было нельзя. 

После этого провели большую серию интервью с потенциальными пользователями продуктам — “касдевы”. Оказалось, что у продукта целая колода пользователей с самыми разными интересами:

— Директор по информационной безопасности заинтересован в том, чтобы корпоративные “секреты” (так чувствительная информация называется на сленге “безопасников”) хранились централизованно и защищено, а законодательство в этой части было соблюдено. 

— Специалисту ИТ-отдела важно, чтобы управлять доступами можно было легко и просто. Особенно, когда сотрудников сотни, тысячи или даже десятки тысяч.

— Рядовой сотрудник не хочет ничего, он хочет "платье" хочет, чтобы пользоваться паролями было просто и удобно. И желательно вообще безо всяких парольных менеджеров. 

Нам предстояло разработать продукт, который сумел бы угодить таким противоречивым требованиям. 

Парольный менеджер представляет собой инструмент, который используется многократно в течение дня, и его целевая аудитория включает людей не только разных возрастов, но и с различным уровнем опыта.

Поэтому нам было необходимо разработать интуитивно понятный, удобный и красивый интерфейс, который бы оставался простым в использовании. Мы стремились к тому, чтобы пользователи не ощущали дискомфорта от постоянного переключения между страницами веб-сервиса, избегая лишних переходов "туда и обратно".

В качестве решения была выбрана трехколоночная сетка. Слева расположены важные навигационные элементы, такие как папки. В центре находятся дополнительные навигационные элементы, например, содержимое этих папок. Справа размещена рабочая область, где отображается “карточка” выбранного элемента для работы.

Само приложение мы разделили на две большие зоны:

— Пользовательский интерфейс открывается по умолчанию, и позволяет осуществлять ключевые операции по работе с паролями — просматривать, изменять, добавлять. 

Мы также заранее учли необходимость изменения цветовой схемы, поскольку каждая организация стремится к созданию индивидуализированного интерфейса. В настройках профиля легко изменить цветовую палитру и даже выбрать уникальные иконки.

— Административный интерфейс — в него могут попасть только привилегированные пользователи, и он содержит море настроек, позволяющих управлять пользователями, их ролями и доступами. 

С разработкой самого веб-сервиса пришлось повозиться. Пароли нужно было хранить в зашифрованном виде. Мы разобрались с основами криптографии и использовали в своем проекте стандарт шифрования AES-256. 

Нам хотелось, чтобы пользователи могли хранить в парольнике не только рабочие, но и личные пароли. Но для этого нужно было сделать “личные сейфы” такими, чтобы в них не мог попасть даже главный системный администратор компании (иначе — какие же они “личные”?) 

Решением стало довольно сложное дополнительное шифрование, которое производится на “клиентской части” — то есть непосредственно на компьютере конкретного пользователя. 

А еще мы предусмотрели возможность обогащать парольные карточки дополнительной информацией (и даже прикреплять файлы), возможность делиться паролями с внешними пользователями, широкий арсенал средств для импорта и экспорта и мощное хорошо документированное API. 

В коротком формате кейса не рассказать о всех возможностях, которые создали наши инженеры, но в результате удалось создать быстрое и функциональное решение, которое по своим характеристикам более чем достойно выглядело по сравнению с ключевыми конкурентами. 

“Вишенкой на торте” стало разработанное нами “расширение для браузера”. Элегантное решение, ставшее настоящей магией для обычных офисных сотрудников (помните — те, которые ничего не хотели?) 

Расширение можно скачать из стандартного магазина приложение Google Chrome и оно позволяет авторизовываться на сайтах и сервисах в один клик. Человек заходит на сайт, BearPass сам подсказывает ему нужную парольную запись, пользователь делает клик и “вжух! и готово!” 

Сюда бы вставить анимированную гифку того, как это происходит — копирайтер нам как-то такие для статей делал, кажется есть программки для этого простенькие. 

В результате, подавляющая часть конечных пользователей BearPass вообще не заходят в веб-интерфейс, а пользуются только расширением. Кажется, нам удалось выкроить то самое “платье”, о котором нас просили в проблемных интервью. 

А вот для того, чтобы угодить системным администраторам, пришлось повозиться. 

Во-первых, мы создали для этих суровых парней настоящий полноценный RBAC — это такая модель управления пользователей, при которой можно настроить очень гибкие права доступа для каждого конкретного пользователя и каждого элемента системы. 

Во-вторых, выяснилось, что когда в организации тысячи сотрудников, добавлять их в парольник вручную никто не собирается. Для таких целей используются единые службы каталогов. Существуют два наиболее популярных протокола таких служб — Active Directory (LDAP) и SSO. 

Мы разобрались с тем, как работают эти протоколы и интегрировали наш продукт с ними. В результате, при найме сотрудника “прописывают” в своих корпоративных сетях, как обычно, и он получает доступ к парольному менеджеру. А когда увольняют, отключают его от таких служб и он сразу же теряет доступ и к парольнику. 

В результате, на российском рынке средств защиты паролей взошла новая звезда — BearPass. 

Первым успехом продукта стало то, что в него поверили профессиональные инвесторы — продукт стал одним из всего 85 из 2 000 проектов, получивших инвестиции от Фонда содействия инновациям.

Постепенно на рынке все больше стали говорить о продукте-самозванце, все более активно отвоевыющем долю рынку о прежнего гегемона. И сегодня, со слов профессионалов рынка информационной безопасности, BearPass уверенно занимает вторую строчку среди российских парольных менеджеров. Но мы верим, что пройдет немного времени и команда продукта займет первую строчку, став самым популярным в стране средством для хранения корпоративных паролей. 

Особенно мы гордимся тем, что продукт полюбили и обычные пользователи, которые уже успели дать ему трогательное прозвище “МедведьПасс”.