Блог Пассворка

Релизы

5 февр. 2026 г.

В новой версии добавили возможность изменять размер поля для заметок, улучшили описания событий в Истории действий и внесли множество других изменений и исправлений.

Улучшения

Добавили возможность изменять размер поля для заметок при создании и редактировании записей
Изменили поведение пункта меню «Экспорт данных»: теперь он становится неактивным, если данные для экспорта отсутствуют
Улучшили описание событий подтверждения имейл-адресов пользователей в «Истории действий»

Исправления

Исправили ошибку, при которой пароли со специальными символами могли некорректно обрабатываться при сохранении LDAP-сервера
Исправили отображение результатов поиска по выбранному сейфу при выключенных фильтрах и пустом поисковом запросе
Исправили ошибку, при которой после выполнения поиска в сейфе и выхода из поиска отображались только папки, а пароли и ярлыки не загружались до повторного входа в сейф
Исправили ошибку, при которой после выхода из поиска в сейфе отображались только папки, а пароли и ярлыки не загружались до повторного входа в сейф
Исправили ошибку, при которой в процессе экспорта данных могли выгружаться не все пароли
Исправили ошибку, при которой для сброса мастер-пароля пользователя дополнительно требовалось разрешение на управление политиками сложности мастер-пароля
Исправили ошибку в форме регистрации по ссылке при отключённой самостоятельной регистрации
Исправили ошибку, при которой не удавалось добавить WebAuthn-ключ с пустым полем transports

Всю информацию о версиях Пассворка можно найти в нашей истории обновлений

Обновление Пассворк 7.3.2

В новой версии добавили возможность изменять размер поля для заметок, улучшили описания событий в Истории действии и внесли множество других изменений и исправлений.

Релизы

29 янв. 2026 г.

В новой версии добавили возможность ограничить поиск текущей директорией, улучшили процесс импорта и внесли правки в интерфейс. Обновление доступно в Клиентском портале.

Поиск по сейфу и входящим

Добавили возможность ограничить поиск текущим выбранным сейфом или разделом «Входящие». Под строкой поиска теперь есть специальный параметр, при включении которого поиск будет происходить только по выбранной области.

Другие изменения

Исправили ошибку, при которой после быстрого переключения между директориями и разделами «Недавние», «Избранные» или «Входящие» мог отображаться неверный или пустой список паролей
Исправили ошибку, при которой импорт файлов с длинными заметками мог приводить к зависанию процесса
Исправили ошибку в обработке строки подключения к MongoDB

Всю информацию о версиях Пассворка можно найти в нашей истории обновлений

Обновление Пассворк 7.3.1

В новой версии добавили возможность ограничить поиск текущей директорией, улучшили процесс импорта и внесли правки в интерфейс. Обновление доступно в Клиентском портале.

Релизы

22 янв. 2026 г.

В новой версии добавили поддержку биометрии и ключей доступа для входа в Пассворк, возможность указать несколько URL-адресов для одной записи, механизм подтверждения имейл-адресов пользователей, аутентификацию по имейлу и множество других улучшений и исправлений.

Биометрия и ключи доступа

Добавили поддержку биометрии, ключей доступа (passkey) и ключей безопасности на основе стандарта WebAuthn. Теперь можно подтвердить вход в Пассворк отпечатком пальца, Face ID, ПИН-кодом или физическим USB-ключом (Рутокен, YubiKey и аналоги).

На странице настроек Аутентификация вы можете добавлять новые способоы входа и управлять существующими, сменить пароль или подключить беспарольную аутентификацию через биометрию или физические ключи доступа.

Страница настроек аутентификации автоматически блокируется через 5 минут бездействия — для разблокировки нажмите на иконку замка в правом верхнем углу

Новая настройка ролей Использование ключа доступа вместо пароля позволяет пользователям проходить аутентификацию с помощью ключа доступа вместо локального или доменного пароля.

Сбросить ключ доступа для отдельного пользователя можно на его странице в разделе Управление пользователями через модальное окно Аутентификация.

Подробнее о способах аутентификации — в нашем руководстве.

Несколько URL-адресов для одной записи

Теперь к одной записи можно добавить несколько URL-адресов. Это удобно, если один аккаунт используется для входа на разные адреса: тестовые и продакшн-среды, региональные версии сайта или связанные сервисы компании. Браузерное расширение автоматически предложит заполнить данные на любом из указанных адресов.

Подтверждение имейл-адресов пользователей

Теперь в Пассворке можно включить обязательное подтверждение имейл-адресов пользователей. Когда пользователь добавляет или меняет свой имейл, Пассворк отправляет письмо со ссылкой для подтверждения. После перехода по ссылке адрес получает статус «подтверждён».

Письма с уведомлениями будут отправляться только на подтверждённые адреса. Исключения: тестовые письма, письма для подтверждения, регистрации и приглашения.

Включить обязательное подтверждение имейлов можно в Системных настройках → блок Регистрация → пункт Обязательное подтверждение имейла.

Без проверки имейл-адресов в системе могут появиться невалидные адреса. Это приводит к проблемам: уведомления не доходят, сброс пароля не работает, возникают риски для безопасности. Подтверждение имейла гарантирует, что письма доставляются только реальным владельцам адресов.

Аутентификация по имейлу

Добавили возможность входа в Пассворк по подтверждённому имейлу вместо логина для упрощения аутентификации и снижения количества ошибок при входе. После включения настройки вход по логину останется доступен, а все имейл-адреса будут проверяться на уникальность в системе.

Включить возможность аутентификации в Пассворке с помощью имейла можно в Системных настройках → блок Регистрация → пункт Вход по имейлу.

Улучшения

Улучшили фильтр по пользователям в разделе «История действий»: теперь поиск учитывает не только инициатора действия, но и связанных с ним пользователей
Улучшили фильтр по директории в разделах «Панель безопасности» и «История действий»: теперь при выборе родительской папки также включаются данные из вложенных папок
Добавили автоматическую блокировку страницы настроек аутентификации через 5 минут бездействия
Добавили возможность задавать цвет для каждого ярлыка отдельно, не изменяя цвет исходного пароля
Добавили поддержку Trusted Proxies (подробнее в документации)
Внесли улучшения в интерфейс

Исправления

Исправили ошибку, при которой пункт «Редактирование» в разделе «Управление пользователями» не активировался при включении пункта «Редактирование имейлов пользователей» в настройках роли
Исправили некорректное отображение плашки с предложением добавить сервисную учётную запись на странице редактирования сервера LDAP после перезагрузки страницы
Исправили ошибку, при которой кнопка «Обновить» в модальном окне редактирования пользователя могла оставаться неактивной при наличии несохранённых изменений
Исправили ошибку в мастере установки, при которой на странице подключения к базе данных могло отображаться некорректное сообщение «База данных уже существует»
Исправили ошибку, при которой после сохранения изменений в модальном окне «Доступ к сейфу» или «Доступ к папке» некорректно отображалось сообщение «Сбросить изменения?» при попытке закрыть окно
Исправили ошибку, при которой могли не приходить уведомления о неудачных попытках ввода ПИН-кода в браузерном расширении

Всю информацию о версиях Пассворка можно найти в нашей истории обновлений

Представляем Пассворк 7.3

В новой версии добавили поддержку ключей доступа и биометрии, механизм подтверждения имейл-адресов для пользователей, возможность указать несколько URL для одного пароля, независимую настройку цветов ярлыков, а также множество улучшений и исправлений.

Исследования

16 дек. 2025 г.

МТС Банк: как Пассворк помог организовать управление паролями

МТС Банк — один из крупнейших цифровых коммерческих банков России, который уже более 30 лет помогает компаниям и частным лицам управлять своими финансами. МТС Банк входит в топ-30 крупнейших банковских учреждений страны по активам и обслуживает более 3,8 миллионов клиентов по всей стране. Банк занимает шестое место в России по величине портфеля кредитных карт и четырнадцатое место по вкладам населения.

Являясь частью экосистемы МТС, Банк активно создаёт и внедряет передовые технологии и цифровые решения. В 2024 году приложение МТС Банка было признано лучшим в RuStore, а само финансовое учреждение получило множество наград — премию СХ WORLD AWARDS за лучший клиентский опыт в премиальном сегменте и FINAWARD за инновационные продукты. Кроме того, банк стал победителем международной премии Eventiada Awards за корпоративный проект в сфере здорового образа жизни сотрудников, демонстрируя заботу не только о клиентах, но и о своей команде.

МТС Банк предлагает широкий спектр финансовых услуг для частных лиц, малого и среднего бизнеса, а также крупных корпоративных клиентов. За каждой успешной транзакцией стоит команда из пяти тысяч профессионалов, которые ежедневно работают над тем, чтобы банковский опыт был безупречным. Миссия МТС Банка — быть лучшим цифровым банком в России для жизни и бизнеса, предлагая каждому клиенту мобильность и свободу управления своими финансами.

Компания: МТС Банк
Дата и место основания: Россия, 1993
Отрасль: Финансовые услуги
Размер компании: Более 5000 сотрудников

Задача: централизовать управление паролями и исключить риски

Как и многие крупные организации, МТС Банк сталкивался с серьёзными вызовами в управлении конфиденциальной информацией. Разные подразделения использовали собственные инструменты для хранения паролей и учётных записей. Эти локальные решения работали обособленно, не были связаны между собой и не позволяли централизованно контролировать доступы, отслеживать действия пользователей и обеспечивать единые стандарты информационной безопасности.

«У каждого подразделения был свой менеджер паролей, серверный или локальный. Хотели прийти к чему-то общему, чтобы для всего банка это было единственное целевое решение», — команда МТС Банка

Компания искала решение, которое:

соответствует строгим требованиям регуляторов и внутренним политикам информационной безопасности
входит в техническую экосистему на базе российских решений в рамках стратегии импортозамещения и снижения зависимости от зарубежного ПО
обеспечивает безопасную передачу конфиденциальной информации между сотрудниками

Банку требовался сервис, который объединит рабочие процессы всех отделов, позволит выстроить прозрачную систему управления доступами и обеспечит надёжное хранение паролей.

Выбор надёжного менеджера паролей

Для выбора менеджера паролей команда информационной безопасности МТС Банка провела тщательный анализ доступных решений на рынке. Одним из ключевых требований было использование отечественного ПО в соответствии с дорожной картой Банка России для финансовых организаций.

В процессе оценки рассматривались различные варианты, включая популярный продукт BearPass. Пассворк и BearPass демонстрировали схожий функционал и возможности, однако в ходе тестирования было выявлено критически важное различие. В Пассворке есть уникальная функция, которая полностью исключает доступ администраторов системы к личным сейфам пользователей, при этом сами пользователи могут делиться доступами из этих сейфов с коллегами.

«В BearPass нельзя предоставить кому-то доступ из личного сейфа, что для нас критично. В Пассворке можно из личного сейфа предоставить права другим пользователям, и при этом сейф не будет виден администратору. Для нас это важно, так как мы не хотим стать главной целью злоумышленников»

Для банка эта функция имела принципиальное значение. Администраторы работают с огромным объёмом финансовых данных, поэтому нужен уровень защиты, который технически исключит возможность доступа к конфиденциальным данным.

Процесс тестирования Пассворка занял около двух месяцев и проводился командой, в которую вошли специалисты отдела информационной безопасности, системные администраторы и сотрудники первой линии технической поддержки. Команда МТС Банка протестировала все заявленные функции и проанализировала защищённость на уровне базы данных. Специалисты информационной безопасности банка провели пентесты для оценки решения и убедились, что все критически важные данные хранятся в зашифрованном виде.

Построение отказоустойчивой инфраструктуры

В крупных финансовых организациях действуют высокие требования к отказоустойчивости и производительности. Пассворк соответствовал таким требованиям, поэтому после тестирования в МТС Банке приняли решение о развёртывании менеджера паролей в инфраструктуре компании, которая включала в себя:

Два балансировщика нагрузки — для распределения запросов пользователей
Два сервера приложений — для обработки логики работы системы
Два сервера базы данных с арбитром — для обеспечения отказоустойчивости хранения данных

«Мы выбрали трёхуровневую архитектуру для надёжности и масштабируемости системы: балансировщики, серверы приложений и баз данных, а также арбитр для максимальной защиты наших данных»

Все компоненты системы были развёрнуты в виртуальной среде под управлением российской операционной системы РЕД ОС, в соответствии со стратегией импортозамещения. Построение сложной архитектуры происходило поэтапно:

Во время тестирования использовали упрощённую конфигурацию с одной базой данных
Систему постепенно масштабировали до полноценной отказоустойчивой конфигурации по запросу ИТ-архитекторов банка
Чтобы быстро восстановить работу системы в случае сбоя, настроили резервное копирование
Подключили LDAP для централизованного управления пользователями на основе службы каталогов Active Directory
Для дополнительной защиты учётных записей включили обязательную двухфакторную аутентификацию (2FA) для всех сотрудников

После успешного внедрения отделу администрирования средств информационной безопасности было необходимо структурировать работу сотрудников в новой системе.

Организация работы с данными в Пассворке

В МТС Банке стремились построить гармоничную и гибкую систему, сочетающую контроль и свободу личного информационного пространства сотрудников. Пассворк позволяет создавать неограниченное количество ролей с индивидуальными правами. В МТС Банке создали специальные роли для различных категорий пользователей:

Четыре сотрудника являются администраторами системы с правом на изменение системных настроек
Для сотрудников первой линии технической поддержки создали роль с минимальными правами: доступны изменение адреса электронной почты пользователей и сброс 2FA при необходимости
Учётные записи технических специалистов интегрированы с API для автоматизации рутинных задач

В седьмой версии Пассворка пользователи получили возможность самостоятельно создавать любые сейфы, которые им необходимы для работы.

«Теперь у команды есть единый инструмент, внутри которого можно безопасно обмениваться паролями. Пассворк позволяет отправлять пароли внутри системы и по внешней ссылке, предоставлять временный доступ или отозвать его в любой момент»

С помощью IdM-системы отдел управления доступами централизованно контролирует права пользователей во всех корпоративных сервисах. Этот отдел согласовывает и назначает роли, регулярно проводит аудиты. Для автоматизации процессов сотрудники создали скрипт, который мгновенно блокирует в Пассворке учётные записи пользователей, отключённых в Active Directory.

Для обучения сотрудников в МТС Банке провели вебинар, где руководитель одного из отделов рассказал о Пассворке и показал, как пользоваться менеджером паролей эффективно. У сотрудников всегда под рукой пользовательские инструкции, а отдел по работе с персоналом регулярно создаёт рассылку о новых возможностях Пассворка — и как они помогают в работе. Обратную связь об использовании сервиса сотрудники оставляют через собственную службу поддержки, которая вместе с ИБ-отделом быстро решает возникающие вопросы.

Результат: безопасность и эффективность рабочих процессов

С помощью Пассворка МТС Банк выстроил современную систему управления паролями и конфиденциальной информацией. Все процессы работы с критическими данными объединены в единой платформе под контролем ИБ-отдела.

«Пассворк — это не только личное хранение, но и централизованное управление, и возможность передачи секретов»

Единое пространство для хранения данных

Банк отказался от разрозненных локальных решений: все пароли теперь хранятся в защищённой системе с многоуровневым шифрованием. Доступ к ним строго контролируется и логируется — это помогает предотвращать утечки и проводить расследования инцидентов при необходимости.

Сотрудники передают конфиденциальную информацию внутри системы: Пассворк позволяет безопасно делиться доступами через предоставление прав доступа к сейфам или одноразовые ссылки для просмотра пароля.

Архитектура Пассворка позволяет исключить доступ администраторов к личным сейфам пользователей. Это снижает риски для специалистов ИБ и защищает как данные, так и сотрудников, которые с ними работают.

Импортозамещение и соответствие требованиям

Пассворк входит в реестр российского ПО, имеет лицензии ФСТЭК и ФСБ, гарантирует соблюдение стандартов безопасности финансовой отрасли и полностью соответствует политике Банка России по импортозамещению.

Пассворк улучшил внутреннюю безопасность МТС Банка, создав надёжную инфраструктуру для управления паролями и секретами. Теперь все процессы по защите учётных данных выстроены централизованно, с чётким разграничением прав и прозрачным контролем действий пользователей. Это решение укрепило безопасность банка и сделало работу сотрудников проще и безопаснее.

«Пассворк стал единым инструментом для всего банка. Сотрудники сохраняют контроль над своими данными, а система остаётся прозрачной и безопасной»

Готовы повысить уровень безопасности? Протестируйте Пассворк бесплатно и получите полный контроль, автоматизацию и защиту данных на корпоративном уровне.

МТС Банк: как Пассворк помог организовать управление паролями

Новости

9 дек. 2025 г.

Пассворк стал лучшим решением для работы с паролями по версии ComNews

Пассворк стал победителем премии ComNews Awards 2025 в категории «Лучшее решение для работы с паролями в компании». Эксперты оценили архитектуру безопасности, технологическую зрелость и удобство работы для ИТ-команд.

Премия ComNews Awards

Профессиональная премия ComNews Awards ежегодно отмечает компании и продукты, которые внесли значимый вклад в развитие ИТ, телеком- и цифровых технологий. Жюри оценивало технологическую зрелость, инновационность и влияние решений на рынок. По итогам оценки Пассворк признан лучшим российским менеджером паролей.

Критерии оценки

Особое внимание уделялось тому, насколько решение помогает компаниям выстраивать эффективные процессы управления доступами и повышать уровень информационной безопасности. Эксперты выделили ключевые преимущества Пассворка:

высокий уровень безопасности и архитектуры, в основе которой фундаментальная безопасность
удобный и гибкий интерфейс для командной работы
развитая ролевая модель доступа и аудит
полнофункциональный API и инструменты для DevOps
комплексный подход к управлению паролями и секретами

«Пассворк создаётся для компаний, которым критична безопасность: мы усиливаем архитектуру, развиваем гибкие механизмы управления доступами и делаем работу с паролями и секретами максимально удобной и прозрачной. Признание ComNews Awards — результат большой работы нашей команды и показатель доверия рынка», — Андрей Пьянков, генеральный директор ООО «Пассворк»

Признанная надёжность

Профессиональная награда подтверждает, что наш подход к безопасности и управлению секретами соответствует самым высоким требованиям рынка, а заложенные в платформу принципы безопасности выдерживают оценку независимых экспертов.

Мы постоянно улучшаем Пассворк: укрепляем архитектуру, расширяем функциональность и остаёмся отраслевым стандартом в управлении корпоративными паролями и секретами.

Готовы повысить уровень безопасности? Протестируйте Пассворк бесплатно и получите полный контроль, автоматизацию и защиту данных на корпоративном уровне.

Пассворк стал лучшим решением для работы с паролями по версии ComNews

Релизы

8 дек. 2025 г.

Обновление Пассворк 7.2.4 доступно в Клиентском портале.

Исправили ошибку в «Панели безопасности», при которой предупреждение о просмотре пароля по истёкшей ссылке исчезало после удаления этой ссылки: теперь предупреждение об угрозе сохраняется до смены пароля
Исправили ошибку, при которой после настройки 2ФА приложения-аутентификаторы (например, Google Authenticator) отображали некорректный текст вместо логина пользователя
Исправили логику работы с ПИН-кодом в браузерном расширении: теперь при удалении ПИН-кода или после трёх неудачных попыток его ввода сбрасывается только текущая сессия
Исправили ошибку, при которой в поле «Время хранения истории фоновых задач» некорректно обрабатывалось нажатие клавиши Enter
Исправили ошибку, при которой папка открывалась только после двойного нажатия по её названию
Исправили ошибку, при которой имейл-уведомления могли отправляться заблокированным и неподтверждённым пользователям при изменении доступа к сейфу
Исправили ошибку, при которой в «Истории действий» не работала кнопка сброса фильтра по директории
Внесли ряд улучшений в интерфейс

Всю информацию о версиях Пассворка можно найти в нашей истории обновлений

Обновление Пассворк 7.2.4

Новости

28 нояб. 2025 г.

Пассворк и Positive Technologies запустили программу поиска уязвимостей

Пассворк запустил программу поиска уязвимостей на площадке Standoff Bug Bounty — крупнейшей российской багбаунти-платформе. Теперь безопасность Пассворка проверяют более 30 000 независимых экспертов. Это важный этап нашей стратегии безопасности: мы выявляем и устраняем потенциальные уязвимости до того, как они станут проблемой.

Безопасность как фундамент

Согласно исследованию Positive Technologies, 36% успешных кибератак на российские компании осуществляются через эксплуатацию уязвимостей в веб-приложениях. Для системы управления паролями это критический риск: её компрометация может открыть злоумышленникам доступ ко всей корпоративной инфраструктуре.

Для организаций Пассворк — первый рубеж защиты корпоративных секретов. Именно поэтому мы рассматриваем безопасность не как отдельную функцию, а как фундамент продукта. Все архитектурные решения строятся вокруг принципов надёжной защиты.

«Киберугрозы постоянно эволюционируют. Просто реагировать на инциденты — уже недостаточно. Запуская Bug Bounty, мы действуем на опережение. Это наш способ подтвердить, что доверие, которое клиенты оказывают Пассворку, абсолютно оправданно», — Андрей Пьянков, генеральный директор ООО «Пассворк»

Запуская Bug Bounty мы продолжаем следовать нашей стратегии, направленной на проактивное выявление и устранение потенциальных уязвимостей с привлечением независимого экспертного сообщества.

Почему Standoff Bug Bounty

Мы выбрали Standoff Bug Bounty как крупнейшую площадку по поиску уязвимостей в России. Платформа объединяет более 30 000 исследователей безопасности, предоставляет удобную инфраструктуру для работы и обеспечивает прозрачное взаимодействие с багхантерами.

Positive Technologies — один из лидеров в области результативной кибербезопасности. Компания является ведущим разработчиком продуктов, решений и сервисов, позволяющих выявлять и предотвращать кибератаки до того, как они причинят неприемлемый ущерб бизнесу и целым отраслям экономики. Positive Technologies — первая и единственная компания из сферы кибербезопасности на Московской бирже (MOEX: POSI). Количество акционеров превышает 220 тысяч.

Сотрудничество с Positive Technologies даёт нам доступ к крупнейшему сообществу исследователей безопасности, отработанные процессы обработки уязвимостей и полный контроль на всех этапах. Это гарантия того, что мы получим качественную экспертизу и сможем оперативно реагировать на найденные угрозы.

Что мы тестируем

В рамках программы специалисты исследуют фронтенд и бэкенд веб‑приложения Пассворка:

Удалённое исполнение кода (RCE): возможность заставить сервер выполнять произвольный код или команды.
Инъекции (SQL и аналоги): внедрение вредоносного кода в запросы к базам данных (SQL, NoSQL, ORM, LDAP) для чтения, изменения данных или обхода аутентификации.
Подделка запросов на стороне сервера (SSRF): принуждение сервера обращаться к произвольным (включая внутренним) ресурсам для получения секретов или обхода периметра.
Раскрытие и манипуляции чувствительными данными (IDOR): доступ к объектам через изменяемые идентификаторы без проверки прав, позволяющий читать или редактировать чужие записи.
Захват аккаунта: получение контроля над учётной записью через уязвимости входа или восстановления, кражу токенов и сессий, обход двухфакторной аутентификации.
Локальное и удалённое включение файлов (LFI/RFI): включение локальных или удалённых файлов через параметры путей.
Межсайтовый скриптинг (XSS) с высоким импактом: внедрение и исполнение вредоносного JavaScript (особенно Stored XSS в админ-панели) для кражи токенов и подмены действий пользователя.
Обход ролевой модели доступа к сейфам и паролям: нарушение ACL, позволяющее просматривать, редактировать или экспортировать пароли в чужих сейфах вопреки политикам.
Горизонтальное или вертикальное повышение привилегий: получение прав другого пользователя или администратора через манипуляцию параметрами, скрытыми полями и маршрутами.
Обход ключевых механизмов безопасности продукта: логические или технические способы обойти 2FA, ограничения экспорта и подтверждения критических действий.

Непрерывный процесс

Программа Bug Bounty — это не разовое мероприятие, а постоянная практика. Каждый отчёт будет тщательно анализироваться командой безопасности Пассворка. Найденные уязвимости будут оперативно устраняться, а выводы — интегрироваться в процессы разработки.

Мы регулярно проводим аудит безопасности и тестируем Пассворк силами внутренних и внешних экспертов. Для наших клиентов это еще один повод быть уверенными в том, что выбирая Пассворк, вы выбираете безопасность, подтвержденную не только сертификатами, но и тысячами независимых экспертов.

Готовы проверить Пассворк на реальных задачах? Протестируйте бесплатно и получите полный контроль, автоматизацию и защиту данных на корпоративном уровне.

Пассворк запустил программу поиска уязвимостей на площадке Standoff Bug Bounty

Релизы

27 нояб. 2025 г.

Браузерное расширение доступно для Google Chrome, Microsoft Edge, Mozilla Firefox и Safari.

Улучшили автозаполнение: теперь можно заполнять формы аутентификации прямо с главного экрана расширения, если для сайта найден только один пароль
Добавили указание единицы времени (минуты) в поле настройки автоблокировки
Убрали предложение настроить ПИН-код в расширении, если он не является обязательным
Исправили ошибку, при которой сессия расширения могла непроизвольно завершаться

Всю информацию о версиях Пассворка можно найти в нашей истории обновлений

Обновление браузерного расширения 2.0.29

Информационная безопасность

25 нояб. 2025 г.

Чёрная пятница 2025 для ИБ-специалистов: руководство по безопасным и выгодным покупкам

Пока миллионы покупателей штурмуют онлайн-магазины в поисках скидок, хакеры запускают самую масштабную атаку года. За первые три квартала 2025-го зафиксировано более 105 000 кибератак — на 73% больше, чем за аналогичный период 2024 года.

Для большинства покупателей Чёрная пятница — это очереди за дешёвыми телевизорами. Для ИТ- и ИБ-специалистов это двойной вызов, где каждое решение балансирует между возможностью и риском.

С одной стороны — шанс закрыть давно висящие в бэклоге закупки. Инструменты и оборудование, которые месяцами «находились на рассмотрении», наконец получают зелёный свет. С другой — критический период для защиты корпоративной инфраструктуры от всплеска киберугроз.

Почему Чёрная пятница идеальное время для атак?

Повышенный трафик маскирует вредоносную активность в легитимном шуме
Аномалии, которые обычно вызывают немедленную реакцию, теряются среди тысяч транзакций
Давление бизнеса на доступность систем создаёт конфликт между безопасностью и непрерывностью операций
Решения о блокировке подозрительного трафика принимаются медленнее из-за страха потерять выручку

Социальная инженерия становится эффективнее, когда сотрудники работают в условиях стресса и сжатых дедлайнов. Даже опытные специалисты ошибаются, когда на принятие решения — секунды. И пока вы охотитесь за выгодными предложениями, злоумышленники охотятся за вами.

Чёрная пятница 2025 даёт реальные возможности усилить защиту и приобрести давно ожидаемые инструменты — но только если подходить к этому с тем же скептицизмом и внимательностью, как и к любому важному решению в бизнесе.

Статистика киберугроз в 2025 году

2025 год стал жестоким для корпоративной безопасности. За первые три квартала зафиксировано более 105 тысяч кибератак. Около 20 тысяч — высокой критичности: они могли остановить работу компаний или привести к крупным финансовым потерям.

Самым напряжённым оказался третий квартал — свыше 42 тысяч атак. Это почти 40% всех инцидентов за год и на 73% больше, чем за тот же период 2024 года.

Атаки на базе ИИ превратились из теоретической угрозы в ежедневную реальность. Группы вымогателей организованнее и терпеливее, чем когда-либо. Мировая статистика также показывает неутешительную динамику.

Как атакующие получают доступ

В 60% случаев злоумышленники используют два способа: уязвимости в публичных приложениях (30%) и украденные учётные данные (ещё 30%). Украденные пароли эффективнее сложных эксплойтов. Это делает управление доступом критически важным элементом защиты.

«В этом году злоумышленники всё чаще используют украденные учётные данные вместо взлома и брутфорса — это быстрее и эффективнее», — IBM X-Force 2025 Threat Intelligence Index

Структура угроз

Фишинговые атаки составляют 42% всех угроз, специфичных для Чёрной пятницы. Треть из них (32%) нацелена на цифровые кошельки и платёжные системы. Инфостилеры демонстрируют взрывной рост — увеличение на 84% в доставке через фишинговые письма (2024 против 2023) с прогнозом +180% на 2025 год.

Масштаб атак

Объём фишинговых писем с темой «Чёрная пятница» вырастает на 692% перед распродажами
Имперсонация крупных брендов увеличивается более чем на 2000% в пиковый сезон
Anti-Phishing Working Group зафиксировала 989 123 фишинговые атаки в Q4 2024 — устойчивый тренд роста в праздничный сезон

Типы киберугроз в Чёрную пятницу

Фишинговые письма. Перед распродажами объём фишинга вырастает в 3,5 раза. Злоумышленники рассылают письма со ссылками на поддельные страницы популярных брендов — имитируют выгодные предложения и крадут данные карт или учётные записи.
Веб-скиммеры. Эксперты прогнозируют двукратный рост этих атак. Веб-скиммер — вредоносный скрипт, который внедряется на легитимный сайт и перехватывает данные карт прямо на странице оплаты. Покупатель не замечает кражу.
Поддельные сайты и приложения. Мошенники создают фальшивые интернет-магазины и мобильные приложения, копирующие известные бренды. Цель — выманить данные карт или учётные записи под видом покупки.
ИИ-мошенничество. Злоумышленники внедряют инструкции в контент сайтов, которые индексируют поисковые боты. Когда пользователь задаёт вопрос ИИ-ассистенту, тот выдаёт ответ со встроенной фейковой ссылкой на поддельную страницу поддержки или фишинговый сайт.
Кража личных данных. Даже без доступа к деньгам мошенники собирают имена, адреса доставки, телефоны и имейл. Эти данные используют для таргетированных атак позже — например, для бизнес-имперсонации или целевого фишинга.

Как защитить бизнес в Чёрную пятницу 2025

Соблюдение базовых стандартов кибербезопасности предотвращает более 99% инцидентов в период праздничных распродаж. Для ИБ- и ИТ-специалистов критично усилить защиту периметра и повысить осведомлённость сотрудников.

Контролируйте подлинность веб-ресурсов. Злоумышленники создают фишинговые домены, копирующие корпоративные порталы поставщиков. Настройте DNS-фильтрацию с блокировкой новых доменов и ограничьте доступ к внешним ресурсам через whitelist проверенных поставщиков.
Мониторьте аномальные транзакции. Компрометация платёжных инструментов ведёт к прямым финансовым потерям. Настройте предупреждения на транзакции, превышающие базовый профиль активности, и интегрируйте системы обнаружения мошенничества.
Внедрите 2FA/MFA для критичных систем. Многофакторная аутентификация нейтрализует 99,9% атак со скомпрометированными учётными данными. Разверните MFA на всех корпоративных аккаунтах.
Обновляйте ПО и средства защиты. Устаревшее ПО — точка входа для APT-групп. Внедрите централизованное управление патчами и разверните EDR/XDR с поведенческим анализом.
Защитите сотрудников от социальной инженерии. Злоумышленники используют ИИ для создания дипфейк-звонков, имитирующих голоса руководителей. Проведите тренинг по информационной безопасности и внедрите верификацию финансовых запросов через альтернативные каналы.

Используйте корпоративный менеджер паролей. Повторное использование паролей и их хранение в незащищённых местах — частая причина компрометации аккаунтов. Внедрите корпоративный менеджер паролей с политиками сложности и контролем доступа к критичным системам.

Запретите публичные Wi-Fi для корпоративных операций. Открытые сети позволяют перехватывать учётные данные и токены. Внедрите политику запрета подключения к публичным Wi-Fi.
Контролируйте использование ИИ-инструментов. Злоумышленники применяют внедрение вредоносных промптов для перенаправления на фишинговые ресурсы. Внедрите список одобренных ИИ-инструментов и запретите передачу конфиденциальных данных в публичные языковые модели.
Защититесь от спама и подготовьте план реагирования на инциденты. Объём фишинговых атак на корпоративную почту в период распродаж вырастает в три раза. Усильте настройки почтовых шлюзов и антиспам-фильтров, внедрите технологии защиты от подмены отправителя. Разработайте план реагирования на инциденты: пропишите действия команды при обнаружении фишинга, назначьте ответственных и проведите учебную тревогу.
Минимизируйте цифровой след. Метаданные о закупочной активности могут быть скомпрометированы или проданы. Используйте изолированные браузерные профили и запретите сохранение платёжных данных на внешних платформах.

Практические рекомендации

Обучение сотрудников распознаванию фишинга

Чёрная пятница — идеальное время для фишинга. Сотрудники получают десятки рекламных писем, отвлекаются на личные покупки, а срочность становится нормой.

Что работает:

Симуляция фишинга. Используйте реалистичные сценарии: поддельные уведомления о доставке, срочные запросы на сброс пароля, «эксклюзивные предложения». Отслеживайте реакции. Цель — выработать рефлекс распознавания угроз.
Микротренинги. Пятиминутные брифинги работают лучше часовых презентаций. Покажите три реальных примера фишинговых писем. Объясните, что выдаёт подделку: несоответствие домена, ошибки в URL, неожиданные вложения.
Культура сообщений без страха. Создайте канал для сообщений о подозрительных письмах. Поощряйте сообщения, даже ложные тревоги. Одна пропущенная атака стоит дороже десяти ложных срабатываний.

Политики управления паролями

Чёрная пятница — время импульсивных регистраций. Сотрудники создают аккаунты, используют рабочую почту для покупок и повторяют корпоративные пароли.

Что работает:

Обязательная MFA. Внедрите многофакторную аутентификацию до Чёрной пятницы. Приоритет: корпоративная почта, админпанели, финансовые системы.
Корпоративный менеджер паролей. Внедрите корпоративный менеджер паролей. Интегрируйте с SSO, настройте автозаполнение, проведите обучение.
Политика разделения паролей. Корпоративные учётные данные — только для работы. Создайте отдельную почту для регистраций на внешних сервисах. Пароли генерируйте через менеджер.
Аудит скомпрометированных паролей. Проверяйте корпоративные адреса. Если домен в утечках — требуйте смены паролей. Автоматизируйте мониторинг.

Резервное копирование и план восстановления

Ransomware-атаки с использованием программ-вымогателей во время Чёрной пятницы — статистическая вероятность. Злоумышленники знают: компании платят больше, когда каждый час простоя — потеря выручки.

Проверьте систему до атаки:

Правило 3-2-1. Три копии данных, два типа носителей, одна копия вне офиса. Проверьте: все критические системы покрыты? Когда тестировали восстановление?
Изолированные резервные копии. Современные программы-вымогатели шифруют бэкапы. Убедитесь, что одна копия изолирована от сети: системы без сетевого подключения, хранилища с защитой от изменений, автономные носители.
Тестовое восстановление. Восстановите некритичную систему с нуля. Засеките время, зафиксируйте проблемы, обновите документацию.
Документированный план восстановления. Пошаговая инструкция в печатном виде. Кто принимает решения? Кто восстанавливает? Какие системы — первыми? Как связываемся, если почта недоступна?
Приоретизация критичных систем. Составьте список: что восстанавливаем сразу, что через день, что через неделю.

Защита инфраструктуры требует не только правильных процедур, но и правильных инструментов. Чёрная пятница даёт возможность закрыть критичные пробелы в защите с существенной экономией бюджета.

Чёрная пятница в Пассворке

30% атак начинаются с украденных учётных данных. Пассворк закрывает эту уязвимость на уровне инфраструктуры — централизованное управление паролями и секретами остаётся полностью под вашим контролем.

Что даёт Пассворк вашей компании

Пассворк — корпоративный менеджер паролей и секретов для компаний, которым критична безопасность данных. Решение разворачивается в вашей инфраструктуре: никаких внешних облаков, полный контроль над конфиденциальной информацией.

Для сотрудников: мгновенный доступ к нужным учётным данным без обращений в поддержку
Для администраторов: управление правами доступа и аудит всех действий в реальном времени
Для службы безопасности: прозрачность процессов, соответствие требованиям регуляторов, снижение рисков компрометации через человеческий фактор

Почему Пассворк

Включён в единый реестр Минцифры
Имеет все необходимые лицензии ФСТЭК и ФСБ
Качественная и оперативная поддержка
Все пароли и секреты хранятся на ваших серверах
Регулярные обновления и сопровождение на каждом этапе
Опыт внедрения в системообразующие предприятия страны
Сертифицирован с Astra Linux, РЕД Софт, МСВСфера, Pangolin DB, ОС Атлант и многими другими российскими решениями

Пассворк создан для компаний и государственных учреждений, которым нужна проверенная безопасность. Всё упорядочено, защищено и всегда под рукой.

Чёрная пятница в Пассворке: с 24 ноября по 5 декабря скидка 50% на все редакции коробочного решения.

Заключение: как превратить Чёрную пятницу в выгодные инвестиции

Чёрная пятница 2025 — окно возможностей для организаций, которые понимают: безопасность не расход, а инвестиция.

Рост киберугроз в период распродаж — это не причина отказываться от выгодных предложений. Это напоминание: те же принципы, которые защищают вашу инфраструктуру, должны применяться к процессу закупок. Проверка. Валидация. Скептицизм к слишком хорошим обещаниям.

Лучшая сделка Чёрной пятницы — это решение, которое вы внедрите в декабре, которое ваша команда будет использовать в январе и которое остановит атаку в феврале.

Внимательность, системный подход и правильные инструменты превращают распродажу в стратегическое преимущество. Используйте это окно не для экономии, а для усиления. Не для покупок, а для инвестиций в безопасность, которая будет работать годами.

Готовы усилить безопасность вашего бизнеса? В эту Чёрную пятницу с 24 ноября по 5 декабря все редакции коробочного решения Пассворка со скидкой 50%.

Обновление браузерного расширения 2.0.30

Улучшения

Исправления

Обновление Пассворк 7.3.2

Поиск по сейфу и входящим

Другие изменения

Обновление Пассворк 7.3.1

Биометрия и ключи доступа

Несколько URL-адресов для одной записи

Подтверждение имейл-адресов пользователей

Аутентификация по имейлу

Улучшения

Исправления

Представляем Пассворк 7.3

Задача: централизовать управление паролями и исключить риски

Выбор надёжного менеджера паролей

Построение отказоустойчивой инфраструктуры

Организация работы с данными в Пассворке

Результат: безопасность и эффективность рабочих процессов

Единое пространство для хранения данных

Импортозамещение и соответствие требованиям

МТС Банк: как Пассворк помог организовать управление паролями

Премия ComNews Awards

Критерии оценки

Признанная надёжность

Пассворк стал лучшим решением для работы с паролями по версии ComNews

Обновление Пассворк 7.2.4

Безопасность как фундамент

Почему Standoff Bug Bounty

Что мы тестируем

Непрерывный процесс

Читайте также

Пассворк запустил программу поиска уязвимостей на площадке Standoff Bug Bounty

Читайте также

Обновление браузерного расширения 2.0.29

Почему Чёрная пятница идеальное время для атак?

Статистика киберугроз в 2025 году

Как атакующие получают доступ

Структура угроз

Масштаб атак

Типы киберугроз в Чёрную пятницу

Как защитить бизнес в Чёрную пятницу 2025

Практические рекомендации

Обучение сотрудников распознаванию фишинга

Политики управления паролями

Резервное копирование и план восстановления

Чёрная пятница в Пассворке

Что даёт Пассворк вашей компании

Почему Пассворк

Заключение: как превратить Чёрную пятницу в выгодные инвестиции

Чёрная пятница 2025: как обезопасить бизнес в период распродаж