Командные пароли и 2FA
без передачи паролей
Делитесь аккаунтами с разработчиками так, как этого не умеют 1Password и Bitwarden: сервер сам выдаёт TOTP-коды и парсит письма от Steam, Google и банков — вам не нужно быть в каждом логине.
Бесплатно. Никаких регистраций, кроме вашей собственной на вашем сервере.
Что внутри
Восемь блоков, которые делают повседневную работу команды быстрее.
Vault для команды
Пароли, TOTP-секреты и креды для перехвата email-кодов в одном месте. Аудит-лог каждого раскрытия.
Серверный TOTP
Сервер генерирует коды Google Authenticator-совместимо. Импортируйте секреты из GA — они работают параллельно.
Перехват email-кодов
IMAP-воркер читает inbox и выдаёт коды от Steam, Google, Microsoft, банков. Никаких ручных пересылок.
Just-in-time доступ
Разработчик запрашивает → вы апруваете → доступ открыт на 5/15/60 минут. После — автоматически закрывается.
Браузерное расширение
Chrome / Yandex / Firefox: автозаполнение логина, пароля и TOTP. Каждое раскрытие записывается в аудит.
API и CLI
Bearer-токены со scope read-only / full. Подходит для CI, бэкап-скриптов и собственных интеграций.
Двухфакторка с backup
TOTP-вход в саму систему + 10 одноразовых backup-кодов. Политика «обязательная 2FA» для всей команды.
Self-hosted, open architecture
Docker Compose с Postgres, Redis и Caddy для Let’s Encrypt. Ваш сервер — ваши данные. Никакой телеметрии.
Безопасность по умолчанию
Сервер видит секреты — это нужно для перехвата email-кодов и серверного TOTP. Защита построена слоями.
- ✓Argon2id для паролей пользователей с m=64 MiB
- ✓Envelope encryption (XChaCha20-Poly1305) + per-secret DEK
- ✓Master key отдельно от БД — leak БД ничего не расшифрует
- ✓Все токены/сессии/backup-коды — sha256 в БД
- ✓AuditLog append-only через Postgres trigger
- ✓Rate-limit, CSRF double-submit, CSP с nonce, helmet headers
- ✓Скрипт ротации мастер-ключа без даунтайма
В коде: apps/api/src/crypto/envelope.ts, apps/api/scripts/rotate-master-key.ts, prisma/migrations/audit_immutable.
Вопросы
Чем это отличается от 1Password / Bitwarden?▾
Сервер может выдавать TOTP-коды и читать email — это нужно для шаринга аккаунтов в команде, когда вы не хотите быть в каждом логине. 1Password этого принципиально не делает (у них zero-knowledge).
Это безопасно?▾
Сервер видит секреты — это плата за функциональность. Защита: envelope encryption с мастер-ключом, audit-лог, just-in-time доступ. См. раздел «Безопасность» ниже и /security в личном кабинете.
Что с моими секретами в Google Authenticator?▾
Импортируете их через QR-экспорт GA. Старые коды продолжат работать и в GA, и здесь — TOTP-секрет один и тот же. Удалять из GA не нужно.
Работает в Яндекс.Браузере?▾
Да. Yandex.Browser — это Chromium, наше расширение ставится туда unpacked через chrome://extensions, идентично Google Chrome.
Где данные?▾
Self-hosted: на вашем VPS. Docker Compose разворачивает Postgres + Redis + API + веб + Caddy. Никакой третьей стороны.
Готовы попробовать?
Запустить локально или на VPS — за 5 минут по README.