60% of small businesses that suffer a cyberattack shut down within six months. That is a reality documented by the U.S. Securities and Exchange Commission.

Small and medium-sized businesses have become prime targets for cybercriminals. The reason? These organizations hold valuable customer data, financial records, and intellectual property, yet they often lack the dedicated security teams and enterprise-grade defenses of larger corporations.

But here's the good news: you don't need a Fortune 500 budget to build robust defenses. What you need is a systematic approach, starting with the fundamentals and building from there.

This guide provides a comprehensive, step-by-step cybersecurity checklist based on the National Institute of Standards and Technology (NIST) framework — the same standard used by government agencies and major corporations. We'll walk you through everything from securing passwords and training employees to creating an incident response plan, with a focus on practical solutions that actually work.

Quick takeaways

The 7 most critical actions to protect your business:

• Enable multi-factor authentication (MFA) on all business accounts and systems
• Train your team quarterly on phishing recognition and security best practices
• Implement the 3-2-1 backup rule and test your backups monthly
• Create an incident response plan before you need it
• Conduct a risk assessment to identify your most valuable assets and biggest vulnerabilities
• Deploy a password manager to eliminate weak and reused passwords across your organization
• Keep all software patched and updated with automatic updates wherever possible

SMB cybersecurity: 2025 snapshot

SMBs are prime targets

46% of all cyber breaches impact businesses with fewer than 1,000 employees, and 43% of SMBs faced at least one cyber attack in the past 12 months (October 2025). These statistics represent real businesses, many of which never recovered.

Cybercriminals target small businesses because they’re often the path of least resistance. These organizations have valuable data but typically lack dedicated security staff, making them an attractive target with a high probability of success.

Financial impact

The average cost of a data breach for a small business ranges from $120,000 to $1.24 million, according to research from Verizon. IBM's 2025 Cost of a Data Breach Report places the global average even higher at $4.44 million.

But the financial damage extends beyond immediate costs. Factor in lost business, damaged reputation, legal fees, regulatory fines, and the operational disruption of recovering from an attack, and the true cost becomes existential for many small businesses.

Top threats in 2025

Ransomware: Ransomware remains the most damaging attack type for small and medium-sized businesses. In 2025, 88% of all SMB breaches involved ransomware attacks, significantly exceeding the 39% rate seen in larger enterprises. 47% of small businesses (with annual revenue under $10 million) were hit by ransomware in the last year, with 75% of SMBs stating they could not continue operating if successfully attacked.

Phishing and social engineering: Deceptive emails and messages designed to trick employees into revealing credentials or transferring money. 95% of breaches involve human error, making this the most common attack vector.

Business Email Compromise (BEC): Sophisticated scams where attackers impersonate executives or vendors to authorize fraudulent wire transfers. The FBI reported BEC losses of $2.77 billion in 2024 across 21,442 complaints.

NIST cybersecurity framework

Rather than approaching security in an ad hoc manner, this guide follows the National Institute of Standards and Technology (NIST) Cybersecurity Framework — a structured, systematic approach used by organizations worldwide.

The framework consists of six core functions:

1. GOVERN: Establish policies, assign responsibilities, and understand your risk landscape
2. IDENTIFY: Know what assets you need to protect and where your vulnerabilities lie
3. PROTECT: Implement safeguards to ensure delivery of critical services
4. DETECT: Develop capabilities to identify cybersecurity events quickly
5. RESPOND: Take action when a security incident is detected
6. RECOVER: Restore capabilities and services impaired by an incident

This systematic approach ensures you're not just implementing random security measures, but building a comprehensive defense strategy that addresses all aspects of cybersecurity.

GOVERN: Establish your cybersecurity foundation

Step 1. Create a cybersecurity policy

A cybersecurity policy is your organization's rulebook for security. It defines acceptable behavior, establishes standards, and sets clear expectations for everyone in your company.

Your policy should cover:

• Acceptable use: What employees can and cannot do with company devices, networks, and data. This includes guidelines on personal use of company equipment, prohibited websites, and acceptable software installations.
• Password policy: Requirements for password strength, uniqueness, and management. Specify that employees must use unique passwords for each account, never share credentials, and store passwords only in approved password managers.
• Data handling: How to classify, store, share, and dispose of different types of company and customer data. Define what constitutes confidential information and how it should be protected.
• Incident reporting: Clear procedures for reporting suspected security incidents, including who to contact and what information to provide.

Step 2. Conduct a risk assessment

A risk assessment helps you identify your most valuable assets and your biggest vulnerabilities so you can prioritize your security investments.

Start by asking:

• What data would be most damaging if stolen or destroyed? (Customer records, financial data, intellectual property, employee information)
• Which systems are critical to daily operations? (Email, CRM, payment processing, file servers)
• What are our biggest vulnerabilities? (Outdated software, lack of MFA, untrained employees, poor backup procedures)
• What would be the business impact of various incidents? (Ransomware, data breach, extended downtime)

Step 3. Address compliance requirements

Depending on your industry and location, you may have legal obligations for data protection:

• GDPR (General Data Protection Regulation): If you handle data of EU residents, you must comply with strict data protection and privacy requirements, including breach notification within 72 hours.
• HIPAA (Health Insurance Portability and Accountability Act): Healthcare providers and their business associates must protect patient health information with specific technical, physical, and administrative safeguards.
• PCI DSS (Payment Card Industry Data Security Standard): If you accept credit card payments, you must comply with PCI DSS requirements for protecting cardholder data.
• SOX (Sarbanes-Oxley Act): Publicly traded companies must implement controls to ensure the accuracy and security of financial data, including IT systems that store or process financial information.

Step 4. Consider cyber insurance

Cyber insurance can help cover the costs of a breach, including forensic investigation, legal fees, customer notification, credit monitoring services, and business interruption losses.

However, insurance isn't a substitute for good security practices. Insurers increasingly require evidence of basic security controls, like MFA, employee training, and regular backups before issuing coverage. Premiums have also risen significantly, with some businesses seeing increases of 50-100% in recent years.

IDENTIFY: Know what you need to protect

Step 5. Inventory your hardware and software

Create and maintain an inventory of all devices and applications connected to your network:

• Hardware: Computers, laptops, servers, mobile devices, routers, switches, printers, IoT devices
• Software: Operating systems, business applications, cloud services, browser extensions

Include details like device owner, operating system version, software version, and last update date. This inventory serves multiple purposes: identifying outdated or unsupported systems, tracking devices when employees leave, and understanding your attack surface.

Step 6. Classify your data

Not all data requires the same level of protection. Classify your data into categories to prioritize security efforts:

• Public: Information intended for public consumption (marketing materials, published content)
• Internal: Information for internal use that wouldn't cause significant harm if disclosed (internal memos, general business documents)
• Confidential: Sensitive information that could cause significant harm if disclosed (customer data, financial records, employee information, trade secrets, intellectual property)
• Restricted: Highly sensitive information subject to regulatory requirements (payment card data, health records, personally identifiable information)

PROTECT: Implement your core defenses

Step 7. Secure your passwords

Weak and compromised credentials are the leading cause of data breaches. 86% of breaches involved stolen or compromised credentials, according to Verizon's 2024 Data Breach Investigations Report.

The problem is simple: humans are terrible at creating and remembering strong, unique passwords. The average person has 100+ online accounts but uses the same handful of passwords across many of them. When one site is breached, attackers use those credentials to access other accounts — a technique called credential stuffing.

The solution: Password managers

A password manager is the single most impactful security tool you can deploy. It generates strong, unique passwords for every account, stores them in an encrypted vault, and automatically fills them when needed.

For businesses, a password manager like Passwork provides:

• Centralized password management: Store all company credentials in a secure, encrypted vault accessible only to authorized team members.
• Password generation: Create cryptographically strong passwords of 15+ characters with mixed case, numbers, and symbols — passwords that are virtually impossible to crack through brute force.
• Secure sharing: Share credentials with team members without exposing the actual password. When an employee leaves, revoke access instantly without changing dozens of passwords.
• Security dashboard: Identify weak, reused, or compromised passwords across your organization. Passwork's Security Dashboard provides visibility into your password hygiene and helps prioritize remediation efforts.
• Audit trail: Track who accessed which credentials and when, providing accountability and helping investigate potential security incidents.

Even with a password manager, establish minimum standards:

• Minimum 15 characters (longer is always better)
• Unique for every account (never reuse passwords)
• Randomly generated (no dictionary words, personal information, or predictable patterns)
• Stored only in the password manager (never in browsers, spreadsheets, or sticky notes)

Step 8. Enforce Multi-Factor Authentication (MFA)

Multi-factor authentication requires two or more verification methods to access an account: something you know (password), something you have (phone or security key), or something you are (fingerprint or face).

Enable MFA immediately on:

• Email accounts (your email is the key to resetting all other passwords)
• Financial and banking systems
• Cloud storage and file sharing
• Administrative and privileged accounts
• Any system containing sensitive data

Step 9. Train your employees

Technology alone cannot protect your business. 95% of breaches involve human error — an employee clicking a phishing link, falling for a social engineering scam, or misconfiguring a system.

Training program structure:

• Onboarding training: All new employees should complete security awareness training within their first week. Cover the basics: password security, phishing recognition, physical security, acceptable use policy, and incident reporting.
• Annual refresher training: Security threats evolve. Conduct comprehensive refresher training at least annually to cover new threats, reinforce fundamentals, and update employees on policy changes.
• Phishing simulations: Send simulated phishing emails quarterly to test employee awareness and identify individuals who need additional training. This provides measurable data on your organization's security posture and keeps security top-of-mind.
• Targeted training: When employees fall for simulated phishing or make security mistakes, provide immediate, constructive training rather than punishment. The goal is learning, not blame.

Key topics to cover:

• Phishing recognition: How to identify suspicious emails, including checking sender addresses, hovering over links before clicking, watching for urgency and fear tactics, and verifying requests through alternative channels.
• Social engineering: Tactics attackers use to manipulate people into divulging information or taking actions, including pretexting, baiting, and tailgating.
• Password security: The importance of unique passwords, using the company password manager, never sharing credentials, and reporting suspected compromises.
• Physical security: Locking screens when away from desks, securing mobile devices, proper disposal of sensitive documents, and challenging unknown individuals in the office.
• Incident reporting: How to report suspected security incidents, who to contact, and the importance of reporting quickly even if unsure.

Step 10. Secure your network

Your network is the foundation of your digital infrastructure. Securing it prevents unauthorized access and protects data in transit.

Firewall: A firewall acts as a barrier between your internal network and the internet, blocking unauthorized access while allowing legitimate traffic. Modern firewalls provide additional features like intrusion prevention, application control, and threat intelligence integration.

Ensure your firewall is:

• Properly configured with rules that follow the principle of least privilege
• Regularly updated with the latest firmware
• Monitored for suspicious activity

Wi-Fi security: Wireless networks are convenient but create additional security risks.

• Use WPA3 encryption (or WPA2 if WPA3 isn't available)
• Change the default administrator password on your router
• Disable WPS (Wi-Fi Protected Setup)
• Hide your SSID if appropriate for your environment
• Create a separate guest network isolated from your business network

VPN (Virtual Private Network): With remote work now standard, VPNs are essential. A VPN encrypts all internet traffic between remote employees and your business network, protecting sensitive data from interception.

Step 11. Protect your endpoints

Endpoints (computers, laptops, mobile devices) are where employees interact with your systems and data. They're also common entry points for malware and other threats.

Antivirus and Endpoint Detection and Response (EDR): Traditional antivirus is no longer sufficient. Modern threats require more sophisticated detection capabilities.

EDR solutions go beyond signature-based detection to identify suspicious behavior, contain threats automatically, and provide detailed forensics for investigation. While enterprise EDR can be expensive, several vendors now offer affordable solutions designed for small businesses.

At minimum, ensure every device has:

• Modern antivirus/anti-malware software
• Real-time scanning enabled
• Automatic updates configured
• Regular full system scans scheduled

Patch management: 60% of breaches involve unpatched vulnerabilities. Attackers actively scan for systems running outdated software with known vulnerabilities.

Implement a patch management process:

• Enable automatic updates for operating systems and applications wherever possible
• Prioritize critical security patches (apply within 48 hours of release)
• Test patches in a non-production environment if possible, but don't let testing delay critical security updates
• Maintain an inventory of all software to track patch status
• Pay special attention to internet-facing systems and applications

Mobile Device Management (MDM): If employees use mobile devices for work, implement MDM to enforce security policies, encrypt data, enable remote wipe capabilities, and ensure devices stay updated.

Step 12. Back up your data

The 3-2-1 Backup Rule:

• 3 copies of your data (the original plus two backups)
• 2 different media types (e.g., local disk and cloud storage)
• 1 copy offsite (protected from physical disasters like fire or flood)

What to back up:

• All business-critical data and databases
• Email systems and archives
• Financial records and customer data
• Configuration files and system images
• Intellectual property and work product

Backup frequency:

• Critical systems: Daily or continuous
• Important data: Daily
• Less critical data: Weekly

Retention period: Keep multiple versions spanning at least 30 days. This protects against ransomware that remains dormant before activating, ensuring you have clean backups from before the infection.

Immutable backups: Configure backups to be immutable (cannot be modified or deleted) for a specified period. This prevents ransomware from encrypting your backups along with your production data.

Test your backups: Untested backups are just expensive storage. Conduct restoration tests quarterly to verify:

• Backups are completing successfully
• Data can be restored within acceptable timeframes
• Restored data is complete and usable
• Restoration procedures are documented and understood

Step 13. Control access to data

Not everyone needs access to everything. The Principle of Least Privilege states that users should have only the minimum access necessary to perform their job functions.

Role-Based Access Control (RBAC): Define roles based on job functions and assign permissions to roles rather than individuals. When someone changes positions, you simply change their role assignment rather than adjusting dozens of individual permissions.

Regular access reviews: Conduct quarterly reviews of who has access to what. Remove access for departed employees immediately, adjust access for employees who changed roles, and revoke unnecessary permissions.

Privileged account management: Administrative accounts have extensive system access and are prime targets for attackers.

• Limit the number of users with administrative privileges
• Use separate accounts for administrative tasks (never use admin accounts for daily work)
• Require MFA for all privileged accounts
• Log and monitor all privileged account activity
• Implement just-in-time access that grants elevated privileges only when needed and automatically revokes them after a specified period

Shared account elimination: Eliminate shared accounts wherever possible. Every user should have their own credentials for accountability and audit purposes. When shared accounts are unavoidable (legacy systems), use a password manager like Passwork to control access and maintain an audit trail of who accessed the credentials and when.

DETECT: Monitor for suspicious activity

Assume that determined attackers will eventually find a way in. Your goal is to detect and respond before they can cause significant damage.

Step 14. Monitor your systems

Implement logging and monitoring for:

• Failed login attempts: Multiple failed logins may indicate a brute-force attack or compromised credentials.
• Unusual access patterns: Logins from unexpected locations, access to unusual resources, or activity outside normal business hours.
• System changes: New user accounts, permission changes, software installations, or configuration modifications.
• Network traffic anomalies: Unusual outbound traffic, connections to suspicious IP addresses, or large data transfers.

For small businesses without dedicated security staff, consider:

• Security Information and Event Management (SIEM): Cloud-based SIEM solutions designed for SMBs can aggregate logs, identify anomalies, and alert you to potential incidents. Many offer affordable pricing tiers for small businesses.
• Managed Detection and Response (MDR): Outsource monitoring to a security provider who watches your systems 24/7 and alerts you to threats. This provides enterprise-grade detection capabilities at a fraction of the cost of building an internal security operations center.

Step 15. Implement intrusion detection (For advanced SMBs)

As your business grows and your security maturity increases, consider deploying Intrusion Detection Systems (IDS) or Intrusion Prevention Systems (IPS).

These systems monitor network traffic for malicious activity and known attack patterns. IDS alerts you to threats, while IPS can automatically block malicious traffic.

RESPOND: Plan for a security incident

Having a plan in place before an incident occurs dramatically reduces response time, limits damage, and improves recovery outcomes. Yet 47% of SMBs lack an incident response plan.

Step 16. Create an Incident Response (IR) plan

An incident response plan is your playbook for handling security incidents. It defines roles, establishes procedures, and ensures everyone knows what to do when an incident occurs.

The 6-step incident response lifecycle:

1. Preparation

• Develop and document your IR plan
• Assemble your IR team and define roles
• Establish communication procedures
• Prepare tools and resources needed for response
• Conduct training and tabletop exercises

2. Detection and analysis

• Identify potential security incidents through monitoring, alerts, or user reports
• Determine if an actual incident has occurred
• Assess the scope, severity, and type of incident
• Document all findings and actions taken

3. Containment

• Short-term containment: Immediately isolate affected systems to prevent spread (disconnect from network, disable compromised accounts)
• Long-term containment: Implement temporary fixes to allow systems to continue operating while preparing for recovery
• Preserve evidence for investigation and potential legal action

4. Eradication

• Remove the threat from your environment (delete malware, close vulnerabilities, remove unauthorized access)
• Identify and address the root cause
• Ensure the threat is completely eliminated before proceeding to recovery

5. Recovery

• Restore systems and data from clean backups
• Verify systems are functioning normally
• Monitor closely for signs of persistent threats
• Gradually return systems to production

6. Lessons learned

• Conduct a post-incident review within two weeks
• Document what happened, what worked, and what didn't
• Update your IR plan based on lessons learned
• Implement improvements to prevent similar incidents

Key components of your IR plan:

Incident classification: Define severity levels (Low, Medium, High, Critical) with clear criteria and corresponding response procedures.

Contact information: Maintain an updated list of internal team members, external partners (IT support, legal counsel, cyber insurance provider, law enforcement), and key vendors.

Communication procedures: Who communicates what to whom? How do you notify customers of a breach? What's your media response strategy?

Legal and regulatory requirements: Understand breach notification requirements for your jurisdiction and industry. Many regulations require notification within specific timeframes (GDPR: 72 hours, many U.S. state laws: 30-60 days).

Evidence preservation: Document procedures for preserving evidence for investigation and potential legal action.

RECOVER: Ensure business continuity

Step 17. Develop a Business Continuity Plan (BCP)

While your incident response plan focuses on the technical response to a security incident, your business continuity plan addresses how your business will continue operating.

Your BCP should address:

• Critical business functions: Identify which business functions are essential and must continue during an incident (e.g., customer service, order processing, payroll).
• Recovery Time Objectives (RTO): How quickly must each system or function be restored? Different systems have different priorities.
• Recovery Point Objectives (RPO): How much data loss is acceptable? This determines your backup frequency.
• Alternative procedures: How will you perform critical functions if primary systems are unavailable? This might include manual processes, alternative systems, or temporary workarounds.
• Communication plan: How will you communicate with employees, customers, vendors, and partners during an extended outage?
• Succession planning: Who makes decisions if key personnel are unavailable?

Step 18. Test your recovery procedures

Plans that aren't tested are just documents. Conduct regular tests of your recovery procedures:

• Tabletop exercises: Gather your team and walk through incident scenarios. Discuss how you would respond, identify gaps in your plan, and clarify roles and responsibilities. Conduct these exercises at least annually.
• Technical tests: Actually restore systems from backups, fail over to alternative systems, and verify that recovery procedures work as documented. Test quarterly for critical systems.
• Full-scale simulations: For mature organizations, conduct realistic simulations that test your entire response and recovery capability. These are resource-intensive but provide invaluable insights.

Frequently Asked Questions

Conclusion

Cybersecurity can feel overwhelming, especially for small businesses without dedicated IT security staff. But the reality is that you don't need enterprise-grade tools or a massive budget to significantly reduce your risk.

What you need is a systematic approach: start with the fundamentals, build from there, and continuously improve. The NIST Cybersecurity Framework provides that structure, guiding you through governance, identification, protection, detection, response, and recovery.

The threats are real, and the statistics are sobering. But so is the opportunity. By implementing the controls outlined in this checklist, you'll be far ahead of most small businesses, and far less attractive to attackers who seek the path of least resistance.

Cybersecurity is an ongoing process of assessment, implementation, monitoring, and improvement. Start today with the highest-impact, lowest-cost controls: deploy a password manager, enable MFA, train your team, and implement robust backups.

Further reading

Passwork 7.1: Vault types

Table of contents * What are vault types * Basic vault types * Advantages of vault types * Managing vault types * Migration from previous versions * Frequently asked questions * Basic use cases * Conclusion: Data control and efficiency Vault types Passwork 7.1 introduces a robust vault types architecture, providing enterprise-grade access control for enhanced security

Passwork BlogEirik Salmi

Passwork: Secrets management and automation for DevOps

Table of contents * Introduction * What is secrets management * Why secrets management matters * Passwork: More than a password manager * Automation tools * How we automate password rotation * Security: Zero Knowledge and encryption * Authorization and tokens * Conclusions Introduction In corporate environment, the number of passwords, keys, and digital certificates is rapidly increasing, and

Passwork BlogEirik Salmi

GDPR password security: Guide to effective staff training

Learn proven strategies to train employees for GDPR password security compliance. Reduce breach risks with practical training methods.

Passwork BlogAna Moore

Einführung

In Unternehmensumgebungen steigt die Anzahl der Passwörter, Schlüssel und digitalen Zertifikate rasant an, und Secrets Management wird zu einer der kritischen Aufgaben für IT-Teams.

Secrets Management umfasst den gesamten Lebenszyklus sensibler Daten: von der sicheren Generierung und verschlüsselten Speicherung bis hin zur automatisierten Rotation und Audit-Trails. Mit der Einführung von Cloud-Infrastruktur, Microservices und DevOps-Praktiken in Organisationen verschärft sich die Herausforderung — Anwendungen benötigen nahtlosen Zugriff auf Anmeldedaten unter Einhaltung von Zero-Trust-Sicherheitsprinzipien.

IT-Abteilungen und DevOps-Teams stehen vor Situationen, in denen es zu viele Secrets gibt, die schwer zu strukturieren, zu kontrollieren und zu schützen sind. In realen Projekten verteilen sich diese Secrets über Konfigurationsdateien, Umgebungsvariablen, Deployment-Skripte und tauchen gelegentlich in öffentlichen Repositories auf.

Was ist Secrets Management

Secrets Management ist eine Best Practice der Cybersicherheit und eine Reihe von Tools zur sicheren Speicherung, Verwaltung, zum Zugriff und zur Rotation von digitalen Authentifizierungsdaten, die von nicht-menschlichen Identitäten wie Anwendungen, Diensten, Servern und automatisierten Workloads verwendet werden.

Solche Secrets umfassen Passwörter, Passphrasen, SSH-, API- und Verschlüsselungsschlüssel, Zugangstokens, digitale Zertifikate und alle anderen Anmeldedaten, die sicheren Zugriff auf die Infrastruktur ermöglichen.

Warum Secrets Management wichtig ist

Der Schutz vertraulicher Informationen ist eine zentrale Priorität für jedes Unternehmen. Secrets erfordern strenge Kontrolle in jeder Phase ihres Lebenszyklus. Hier sind einige Vorteile eines ordnungsgemäßen Secrets Managements:

• Zentralisierte Speicherung. Alle Passwörter, Schlüssel und Tokens werden in einem einzigen geschützten Repository gespeichert, wodurch verhindert wird, dass sie in offenen Dokumenten, Skripten oder Quellcode landen. Dies reduziert das Risiko von Lecks und unbefugtem Zugriff.
• Flexible Zugriffsverwaltung. Das System ermöglicht die individuelle Festlegung, wer auf welche Secrets zugreifen kann — ob einzelne Mitarbeiter, Gruppen oder Dienstkonten. Dies hilft bei der Umsetzung des Prinzips der minimalen Berechtigung und reduziert potenzielle Angriffsvektoren.
• Vollständige Kontrolle und operative Transparenz. Jede Anfrage wird protokolliert: Sie können nachverfolgen, wer wann welche Aktionen durchgeführt hat. Auditing erleichtert die Einhaltung von Vorschriften und macht Sicherheitsprozesse maximal transparent.
• Automatisierte Rotation. Passwörter und Schlüssel werden regelmäßig automatisch aktualisiert — nach Zeitplan oder bei erkannten Bedrohungen. Dies spart IT-Ressourcen und verringert die Wahrscheinlichkeit, veraltete oder kompromittierte Daten zu verwenden.
• Integration mit Infrastruktur und DevOps. Der Zugriff auf Secrets erfolgt über API, CLI, SDK und Plugins, was die Systemintegration mit CI/CD-Pipelines, Cloud-Plattformen, Containern und Datenbanken vereinfacht.
• Schnelle Reaktion auf Vorfälle. Ein zentralisierter Ansatz ermöglicht das schnelle Widerrufen oder Ersetzen gefährdeter Secrets, minimiert die Folgen von Vorfällen und verhindert die Ausbreitung von Bedrohungen innerhalb des Unternehmens.

Ohne eine einheitliche Lösung „wandern" Secrets oft durch Konfigurationsdateien und Quellcode, was deren Aktualisierung erschwert und Kompromittierungsrisiken erhöht. Unternehmenspasswort-Manager lösen diese Aufgabe, aber nicht alle unterstützen die für moderne DevOps-Prozesse erforderliche Automatisierung.

Passwork: Mehr als ein Passwort-Manager

Passwork begann als Unternehmenspasswort-Manager — ein einfaches und praktisches Tool zur Speicherung von Anmeldedaten. Aber moderne IT-Teams benötigen mehr: Automatisierung, Integration und programmatischen Zugriff auf Secrets.

Mit Passwork 7 hat sich die Plattform über die traditionelle Passwortspeicherung hinaus zu einem vollwertigen Secrets-Management-System entwickelt.

API-first-Architektur

Passwork basiert auf API-first-Prinzipien. Das bedeutet, dass jede in der Benutzeroberfläche verfügbare Funktion auch über REST API verfügbar ist.

Die API bietet programmatischen Zugriff auf alle Systemfunktionen: Passwortverwaltung, Tresore, Ordner, Benutzer, Rollen, Tags, Dateianhänge und Ereignisprotokolle. Dies ermöglicht die Automatisierung von Zugriffsbereitstellung und -entzug, die programmatische Aktualisierung von Passwörtern, die Integration von Passwork in CI/CD-Pipelines und den Export von Protokollen zur Analyse.

Zwei Produkte in einem

Mit anderen Worten kombiniert Passwork jetzt zwei vollwertige Produkte:

• Passwort-Manager — intuitive Oberfläche für sichere Speicherung von Anmeldedaten und Teamzusammenarbeit.
• Secrets-Management-System — programmatischer Zugriff über REST API, Python-Connector, CLI und Docker-Container zur Workflow-Automatisierung.

Automatisierungstools

Python-Connector

Der offizielle Python-Connector von Passwork beseitigt die Komplexität der Arbeit mit Low-Level-API-Aufrufen und Kryptographie. Verwalten Sie Secrets über einfache Methoden — ohne manuelle HTTP-Anfragenbehandlung oder Datentransformationen.

Anwendungsbeispiel:

from passwork_client import PassworkClient

client = PassworkClient(host="https://passwork.example.com")
client.set_tokens("ACCESS_TOKEN", "REFRESH_TOKEN")  # pass tokens
client.set_master_key("MASTER_KEY")  # master key for decryption

# create vault and password
vault_id = client.create_vault(vault_name="DevOps", type_id="vault_id_type")
password_data = {
    "Name": "Database PROD", 
    "vaultId": vault_id,
    "title": "DB prod",
    "login": "admin",
    "password": "secure-password",
    "url": "https://db.example.com"
}
password_id = client.create_item(password_data)

# retrieve and use password
secret = client.get_item(password_id)
print(secret['password'])

Hauptfunktionen:

• Einfache Methoden wie create_item(), get_item(), create_vault() erledigen alle Operationen; keine manuellen HTTP-Anfragen erforderlich
• Client-seitige Kryptographie — der Masterpasswort verlässt nie Ihre Umgebung
• Der Connector speichert, stellt wieder her und aktualisiert Tokens automatisch
• Die universelle call()-Methode ermöglicht den Zugriff auf jeden API-Endpunkt, auch solche ohne dedizierte Methoden

Der Python-Connector beschleunigt Automatisierung und Integration ohne unnötige Komplexität.

CLI-Dienstprogramm

Für Shell-Skript- und CI/CD-Automatisierung bietet Passwork CLI ein universelles Tool mit zwei Betriebsmodi:

• exec — extrahiert Secrets, erstellt Umgebungsvariablen und führt Ihren Prozess aus. Passwörter werden nie gespeichert und sind nur während der Ausführung verfügbar.
• api — ruft jede Passwork-API-Methode auf und gibt JSON-Antworten zurück.

Hauptfunktionen:

• Passwörter werden als Umgebungsvariablen eingefügt
• Secrets werden automatisch in CI/CD-Pipelines geladen
• Temporäre Variablen ermöglichen Dienstkonto-Operationen
• Native Integration mit Ansible, Terraform, Jenkins und ähnlichen Tools

Anwendungsbeispiele

Passwort abrufen und Befehl ausführen:

# Export environment variables
export PASSWORK_HOST="https://passwork.example.com"
export PASSWORK_TOKEN="your_token"
export PASSWORK_MASTER_KEY="your_master_key"

# Retrieve password by ID and run MySQL client
passwork-cli exec --password-id "db_password_id" mysql -u admin -h localhost -p $DB_PASSWORD database_name

Skript mit mehreren Secrets ausführen:

passwork-cli exec \
  --password-id "db123,api456,storage789" \
  deploy.sh --db-pass=$DATABASE_PASSWORD --api-key=$API_KEY --storage-key=$STORAGE_KEY

Tresorliste über API abrufen:

passwork-cli api --method GET --endpoint "v1/vaults"

Die CLI unterstützt Tag- und Ordnerfilterung, benutzerdefinierte Felder, Token-Aktualisierung und flexible Konfiguration für diverse Automatisierungsszenarien.

Docker-Container

Für die CI/CD-Integration ermöglicht das offizielle passwork/passwork-cli Docker-Image schnelle CLI-Starts in isolierten Umgebungen.

Startbeispiel:

docker run -it --rm \
  -e PASSWORK_HOST="https://passwork.example.com" \
  -e PASSWORK_TOKEN="your_access_token" \
  -e PASSWORK_MASTER_KEY="your_master_key" \
  passwork-cli exec --password-id "db_password_id" mysql -h db_host -u admin -p $DB_PASSWORD db_name

Hauptfunktionen:

• Bereit für GitLab, Bitbucket Pipelines und docker-compose-Workflows
• Secrets können einfach zwischen Containern übergeben werden

Wie Passwort-Rotation automatisiert wird

Regelmäßige Passwortänderungen sind eine grundlegende Sicherheitsanforderung, aber manuelle Rotation birgt Risiken und kostet Zeit. Passwork ermöglicht vollständige Automatisierung über den Python-Connector.

Rotations-Workflow:

1. Aktuelles Passwort aus Passwork abrufen (get_item)
2. Neues sicheres Passwort generieren
3. Passwort im Zielsystem ändern (z. B. ALTER USER für Datenbanken)
4. Eintrag in Passwork aktualisieren (update_item)
5. Team über den Abschluss benachrichtigen

Beispielimplementierung:

from passwork_client import PassworkClient
import secrets
import psycopg2

def rotate_db_password(passwork_host, accessToken, refreshToken, master_key, password_id, db_params):
    client = PassworkClient(passwork_host)
    client.set_tokens(accessToken, refreshToken)
    client.set_master_key(master_key)
    
    secret = client.get_item(password_id)
    current_password = secret['password']
    new_password = secrets.token_urlsafe(32)
    
    conn = psycopg2.connect(
        dbname=db_params['db'], 
        user=db_params['user'],
        password=current_password, 
        host=db_params['host']
    )
    
    with conn.cursor() as cur:
        cur.execute(f"ALTER USER {db_params['user']} WITH PASSWORD '{new_password}'")
    conn.commit()
    
    client.update_item(password_id, {"password": new_password})
    print("Password successfully rotated and updated in Passwork")

Vorteile:

• Vollständig automatisierte Rotation eliminiert manuelle Aktionen und menschliche Fehler
• Neues Passwort ist sofort für das gesamte Team verfügbar — keine Verzögerungen oder Kommunikationslücken

Sicherheit: Zero Knowledge und Verschlüsselung

Passwork implementiert eine Zero-Knowledge-Architektur: Der Server greift nie auf Secrets im Klartext zu. Selbst Administratoren mit vollem Infrastrukturzugriff können Ihre Daten nicht lesen.

• Server-seitige Verschlüsselung — Alle Secrets werden verschlüsselt auf dem Server gespeichert. Geeignet für interne Netzwerke und Standard-Sicherheitsanforderungen.
• Client-seitige Verschlüsselung (CSE) — Secrets werden vor der Übertragung auf dem Client verschlüsselt; nur Chiffretext erreicht den Server. Der Masterpasswort wird aus dem Masterpasswort des Benutzers abgeleitet. Unverzichtbar für Cloud-Deployments oder strenge Compliance-Anforderungen.

Wahl des Modells:

• Cloud-Deployment oder strenge Compliance → CSE aktivieren
• Internes Netzwerk mit Standardanforderungen → Server-seitige Verschlüsselung ausreichend

Autorisierung und Tokens

Die Passwork API verwendet ein Token-Paar: accessToken und refreshToken.

• Access Token — Kurzlebige Anmeldedaten für API-Anfragen
• Refresh Token — Ermöglicht automatische Access-Token-Erneuerung ohne erneute Autorisierung

Der Python-Connector verwaltet die Token-Aktualisierung automatisch und gewährleistet stabile Integrationen ohne manuellen Eingriff.

Best Practices für die Sicherheit:

• Dedizierte Dienstkonten erstellen — Minimale Berechtigungen zuweisen, Zugriff nur auf erforderliche Tresore und Ordner gewähren
• Tokens regelmäßig rotieren — Ablaufrichtlinien festlegen und Anmeldedaten nach Zeitplan aktualisieren
• Sichere Token-Speicherung — Umgebungsvariablen oder dedizierte Secret-Tresore verwenden (niemals hartcodieren)
• HTTPS erzwingen — Immer verschlüsselte Verbindungen für die API-Kommunikation verwenden

Fazit

Passwork hat sich von einem Passwort-Manager zu einer umfassenden Secrets-Management-Plattform entwickelt. Die offene API, der Python-Connector, CLI und das Docker-Image ermöglichen nahtlose Integration in jeden Workflow bei gleichzeitiger Zentralisierung von Secrets mit granularer Zugriffskontrolle.

• Für Administratoren: Zuverlässige Speicherung mit integrierten Automatisierungsfunktionen.
• Für Entwickler und DevOps: Produktionsreife API und Tools für sichere Secrets-Handhabung.

Passwork konsolidiert, was typischerweise mehrere Lösungen erfordert, in einem einzigen System mit einheitlicher Verwaltung. Dies reduziert den operativen Aufwand, vereinfacht Rotations-Workflows und bietet IT- und Entwicklungsteams transparente Sicherheitskontrollen.

Als Secrets-Management-Plattform liefert Passwork eine geschützte, skalierbare Infrastruktur, die sich an die Bedürfnisse Ihrer Organisation anpasst.

Weiterführende Lektüre

Passwork 7.1: Tresortypen

Table of contents * What are vault types * Basic vault types * Advantages of vault types * Managing vault types * Migration from previous versions * Conclusion: Data control and efficiency Vault types Passwork 7.1 introduces a robust vault types architecture, providing enterprise-grade access control for enhanced security and management. Vault types address a

Passwork BlogEirik Salmi

DSGVO-Passwortsicherheit: Leitfaden für effektive Mitarbeiterschulung

Learn proven strategies to train employees for GDPR password security compliance. Reduce breach risks with practical training methods.

Passwork BlogAna Moore

HIPAA-Anforderungen für das Passwort-Management

Table of contents * Introduction * How HIPAA works * Cybersecurity and clinical efficiency * HIPAA and password management * How to train staff to meet HIPAA standards * How Passwork supports HIPAA compliance * Sustainable HIPAA compliance Introduction In the complex ecosystem of modern healthcare, patient data is essential for secure management. In 2024, the U.

Passwork BlogAna Moore

Introducción

En el entorno corporativo, el número de contraseñas, claves y certificados digitales está aumentando rápidamente, y la gestión de secretos se está convirtiendo en una de las tareas críticas para los equipos de TI.

La gestión de secretos abarca el ciclo de vida completo de los datos sensibles: desde la generación segura y el almacenamiento cifrado hasta la rotación automatizada y los registros de auditoría. A medida que las organizaciones adoptan infraestructura en la nube, microservicios y prácticas DevOps, el desafío se intensifica — las aplicaciones necesitan acceso fluido a las credenciales mientras mantienen los principios de seguridad de confianza cero.

Los departamentos de TI y los equipos DevOps enfrentan situaciones donde hay demasiados secretos que se vuelven difíciles de estructurar, controlar y proteger. En proyectos reales, estos secretos se dispersan en archivos de configuración, variables de entorno, scripts de despliegue y ocasionalmente aparecen en repositorios públicos.

Qué es la gestión de secretos

La gestión de secretos es una práctica recomendada de ciberseguridad y un conjunto de herramientas para almacenar, gestionar, acceder y rotar de forma segura las credenciales de autenticación digital utilizadas por identidades no humanas como aplicaciones, servicios, servidores y cargas de trabajo automatizadas.

Dichos secretos incluyen contraseñas, frases de contraseña, claves SSH, API y de cifrado, tokens de acceso, certificados digitales y cualquier otra credencial que permita el acceso seguro a la infraestructura.

Por qué es importante la gestión de secretos

Proteger la información confidencial es una prioridad clave para cualquier empresa. Los secretos requieren un control estricto en cada etapa de su ciclo de vida. Estos son solo algunos beneficios de una gestión adecuada de secretos:

• Almacenamiento centralizado. Todas las contraseñas, claves y tokens se almacenan en un único repositorio protegido, evitando que terminen en documentos abiertos, scripts o código fuente, reduciendo el riesgo de filtraciones y acceso no autorizado.
• Gestión de acceso flexible. El sistema permite determinar de forma individualizada quién puede acceder a qué secretos, ya sean empleados individuales, grupos o cuentas de servicio. Esto ayuda a implementar el principio de mínimo privilegio y reduce los vectores de ataque potenciales.
• Control completo y transparencia operativa. Cada solicitud se registra: puede rastrear quién, cuándo y qué acciones se realizaron. La auditoría facilita el cumplimiento normativo y hace que los procesos de seguridad sean máximamente transparentes.
• Rotación automatizada. Las contraseñas y claves se actualizan regularmente de forma automática, según un horario o cuando se detectan amenazas. Esto ahorra recursos de TI y reduce la probabilidad de usar datos obsoletos o comprometidos.
• Integración con infraestructura y DevOps. El acceso a los secretos se proporciona a través de API, CLI, SDK y plugins, simplificando la integración del sistema con pipelines CI/CD, plataformas en la nube, contenedores y bases de datos.
• Respuesta rápida a incidentes. Un enfoque centralizado permite revocar o reemplazar rápidamente secretos vulnerables, minimizando las consecuencias de los incidentes y previniendo la propagación de amenazas dentro de la empresa.

Sin una solución unificada, los secretos a menudo «deambulan» por archivos de configuración y código fuente, complicando sus actualizaciones y aumentando los riesgos de compromiso. Los gestores de contraseñas corporativos resuelven esta tarea, pero no todos admiten la automatización necesaria para los procesos DevOps modernos.

Passwork: Más que un gestor de contraseñas

Passwork comenzó como un gestor de contraseñas corporativo — una herramienta simple y conveniente para almacenar credenciales. Pero los equipos de TI modernos necesitan más: automatización, integración y acceso programático a los secretos.

Con Passwork 7, la plataforma evolucionó más allá del almacenamiento tradicional de contraseñas hacia un sistema de gestión de secretos completo.

Arquitectura API-first

Passwork está construido sobre principios API-first. Esto significa que cada función disponible en la interfaz de usuario está disponible a través de REST API.

La API proporciona acceso programático a todas las funciones del sistema: gestión de contraseñas, bóvedas, carpetas, usuarios, roles, etiquetas, archivos adjuntos y registros de eventos. Esto permite automatizar el aprovisionamiento y revocación de acceso, actualizar contraseñas de forma programática, integrar Passwork en pipelines CI/CD y exportar registros para análisis.

Dos productos en uno

En otras palabras, Passwork ahora combina dos productos completos:

• Gestor de contraseñas — interfaz intuitiva para almacenamiento seguro de credenciales y colaboración en equipo.
• Sistema de gestión de secretos — acceso programático a través de REST API, conector Python, CLI y contenedor Docker para automatización de flujos de trabajo.

Herramientas de automatización

Conector Python

El conector Python oficial de Passwork elimina la complejidad de trabajar con llamadas API de bajo nivel y criptografía. Gestione secretos mediante métodos simples — sin necesidad de manejo manual de solicitudes HTTP ni transformaciones de datos.

Ejemplo de uso:

from passwork_client import PassworkClient

client = PassworkClient(host="https://passwork.example.com")
client.set_tokens("ACCESS_TOKEN", "REFRESH_TOKEN")  # pass tokens
client.set_master_key("MASTER_KEY")  # master key for decryption

# create vault and password
vault_id = client.create_vault(vault_name="DevOps", type_id="vault_id_type")
password_data = {
    "Name": "Database PROD", 
    "vaultId": vault_id,
    "title": "DB prod",
    "login": "admin",
    "password": "secure-password",
    "url": "https://db.example.com"
}
password_id = client.create_item(password_data)

# retrieve and use password
secret = client.get_item(password_id)
print(secret['password'])

Características principales:

• Métodos simples como create_item(), get_item(), create_vault() manejan todas las operaciones; no se necesitan solicitudes HTTP manuales
• Criptografía del lado del cliente — la clave maestra nunca sale de su entorno
• El conector guarda, restaura y actualiza tokens automáticamente
• El método universal call() permite acceder a cualquier endpoint de la API, incluso aquellos sin métodos dedicados

El conector Python acelera la automatización e integración sin complejidad innecesaria.

Utilidad CLI

Para la automatización de scripts de shell y CI/CD, Passwork CLI proporciona una herramienta universal con dos modos de operación:

• exec — extrae secretos, crea variables de entorno y ejecuta su proceso. Las contraseñas nunca se guardan y solo están disponibles durante la ejecución.
• api — llama a cualquier método de la API de Passwork y devuelve respuestas JSON.

Características principales:

• Contraseñas inyectadas como variables de entorno
• Secretos cargados automáticamente en pipelines CI/CD
• Variables temporales permiten operaciones de cuentas de servicio
• Integración nativa con Ansible, Terraform, Jenkins y herramientas similares

Ejemplos de uso

Recuperar una contraseña y ejecutar un comando:

# Export environment variables
export PASSWORK_HOST="https://passwork.example.com"
export PASSWORK_TOKEN="your_token"
export PASSWORK_MASTER_KEY="your_master_key"

# Retrieve password by ID and run MySQL client
passwork-cli exec --password-id "db_password_id" mysql -u admin -h localhost -p $DB_PASSWORD database_name

Ejecutar script con múltiples secretos:

passwork-cli exec \
  --password-id "db123,api456,storage789" \
  deploy.sh --db-pass=$DATABASE_PASSWORD --api-key=$API_KEY --storage-key=$STORAGE_KEY

Obtener lista de bóvedas a través de la API:

passwork-cli api --method GET --endpoint "v1/vaults"

El CLI admite filtrado por etiquetas y carpetas, campos personalizados, actualización de tokens y configuración flexible para diversos escenarios de automatización.

Contenedor Docker

Para la integración CI/CD, la imagen oficial passwork/passwork-cli Docker permite lanzamientos rápidos del CLI en entornos aislados.

Ejemplo de lanzamiento:

docker run -it --rm \
  -e PASSWORK_HOST="https://passwork.example.com" \
  -e PASSWORK_TOKEN="your_access_token" \
  -e PASSWORK_MASTER_KEY="your_master_key" \
  passwork-cli exec --password-id "db_password_id" mysql -h db_host -u admin -p $DB_PASSWORD db_name

Características principales:

• Listo para GitLab, Bitbucket Pipelines y flujos de trabajo docker-compose
• Secretos fácilmente compartidos entre contenedores

Cómo automatizamos la rotación de contraseñas

Los cambios regulares de contraseña son un requisito fundamental de seguridad, pero la rotación manual introduce riesgos y desperdicia tiempo. Passwork permite una automatización completa a través del conector Python.

Flujo de trabajo de rotación:

1. Recuperar la contraseña actual de Passwork (get_item)
2. Generar nueva contraseña segura
3. Cambiar la contraseña en el sistema de destino (por ejemplo, ALTER USER para bases de datos)
4. Actualizar el registro en Passwork (update_item)
5. Notificar al equipo de la finalización

Ejemplo de implementación:

from passwork_client import PassworkClient
import secrets
import psycopg2

def rotate_db_password(passwork_host, accessToken, refreshToken, master_key, password_id, db_params):
    client = PassworkClient(passwork_host)
    client.set_tokens(accessToken, refreshToken)
    client.set_master_key(master_key)
    
    secret = client.get_item(password_id)
    current_password = secret['password']
    new_password = secrets.token_urlsafe(32)
    
    conn = psycopg2.connect(
        dbname=db_params['db'], 
        user=db_params['user'],
        password=current_password, 
        host=db_params['host']
    )
    
    with conn.cursor() as cur:
        cur.execute(f"ALTER USER {db_params['user']} WITH PASSWORD '{new_password}'")
    conn.commit()
    
    client.update_item(password_id, {"password": new_password})
    print("Password successfully rotated and updated in Passwork")

Beneficios:

• La rotación completamente automatizada elimina acciones manuales y errores humanos
• La nueva contraseña está disponible inmediatamente para todo el equipo — sin retrasos ni brechas de comunicación

Seguridad: Zero knowledge y cifrado

Passwork implementa arquitectura Zero knowledge: el servidor nunca accede a los secretos en texto plano. Incluso los administradores con acceso completo a la infraestructura no pueden leer sus datos.

• Cifrado del lado del servidor — Todos los secretos se almacenan cifrados en el servidor. Adecuado para redes internas y requisitos de seguridad estándar.
• Cifrado del lado del cliente (CSE) — Los secretos se cifran en el cliente antes de la transmisión; solo el texto cifrado llega al servidor. La clave maestra se deriva de la contraseña maestra del usuario. Esencial para despliegues en la nube o requisitos de cumplimiento estrictos.

Elegir su modelo:

• Despliegue en la nube o cumplimiento estricto → Habilitar CSE
• Red interna con requisitos estándar → El cifrado del lado del servidor es suficiente

Autorización y tokens

La API de Passwork utiliza un par de tokens: accessToken y refreshToken.

• Token de acceso — Credencial de corta duración para solicitudes API
• Token de actualización — Permite la renovación automática del token de acceso sin reautorización

El conector Python maneja la actualización de tokens automáticamente, asegurando integraciones estables sin intervención manual.

Mejores prácticas de seguridad:

• Crear cuentas de servicio dedicadas — Asignar permisos mínimos, otorgar acceso solo a las bóvedas y carpetas requeridas
• Rotar tokens regularmente — Establecer políticas de expiración y actualizar credenciales según un horario
• Almacenamiento seguro de tokens — Usar variables de entorno o bóvedas de secretos dedicadas (nunca codificar directamente)
• Aplicar HTTPS — Siempre usar conexiones cifradas para la comunicación API

Conclusiones

Passwork ha evolucionado de un gestor de contraseñas a una plataforma integral de gestión de secretos. La API abierta, el conector Python, CLI e imagen Docker permiten una integración perfecta en cualquier flujo de trabajo mientras centralizan los secretos con control de acceso granular.

• Para administradores: Almacenamiento confiable con capacidades de automatización integradas.
• Para desarrolladores y DevOps: API y herramientas listas para producción para el manejo seguro de secretos.

Passwork consolida lo que típicamente requiere múltiples soluciones en un único sistema con gestión unificada. Esto reduce la sobrecarga operativa, simplifica los flujos de trabajo de rotación y proporciona a los equipos de TI y desarrollo controles de seguridad transparentes.

Como plataforma de gestión de secretos, Passwork ofrece una infraestructura protegida y escalable que se adapta a las necesidades de su organización.

Lecturas adicionales

Passwork 7.1: Tipos de bóvedas

Table of contents * What are vault types * Basic vault types * Advantages of vault types * Managing vault types * Migration from previous versions * Conclusion: Data control and efficiency Vault types Passwork 7.1 introduces a robust vault types architecture, providing enterprise-grade access control for enhanced security and management. Vault types address a

Passwork BlogEirik Salmi

Seguridad de contraseñas GDPR: Guía para una formación eficaz del personal

Learn proven strategies to train employees for GDPR password security compliance. Reduce breach risks with practical training methods.

Passwork BlogAna Moore

Requisitos de HIPAA para la gestión de contraseñas

Table of contents * Introduction * How HIPAA works * Cybersecurity and clinical efficiency * HIPAA and password management * How to train staff to meet HIPAA standards * How Passwork supports HIPAA compliance * Sustainable HIPAA compliance Introduction In the complex ecosystem of modern healthcare, patient data is essential for secure management. In 2024, the U.

Passwork BlogAna Moore

Introduction

In corporate environment, the number of passwords, keys, and digital certificates is rapidly increasing, and secrets management is becoming one of the critical tasks for IT teams.

Secrets management addresses the complete lifecycle of sensitive data: from secure generation and encrypted storage to automated rotation and audit trails. As organizations adopt cloud infrastructure, microservices, and DevOps practices, the challenge intensifies — applications need seamless access to credentials while maintaining zero-trust security principles.

IT departments and DevOps teams face situations where there are too many secrets that become difficult to structure, control, and protect. In real-world projects, these secrets scatter across config files, environment variables, deployment scripts, and occasionally surface in public repositories.

What is secrets management

Secrets management is a cybersecurity best practice and set of tools for securely storing, managing, accessing, and rotating digital authentication credentials used by non-human identities such as applications, services, servers, and automated workloads.

Such secrets include passwords, passphrases, SSH, API and encryption keys, access tokens, digital certificates, and any other credentials that enable secure access to infrastructure.

Why secrets management matters

Protecting confidential information is a key priority for any business. Secrets require strict control at every stage of their lifecycle. That's just a few benefits of proper secrets management:

• Centralized storage. All passwords, keys, and tokens are stored in a single protected repository, preventing them from ending up in open docs, scripts, or source code, reducing the risk of leaks and unauthorized access.
• Flexible access management. The system allows individualized determination of who can access which secrets, whether individual employees, groups, or service accounts. This helps implement the principle of least privilege and reduces potential attack vectors.
• Complete control and operational transparency. Every request is logged: you can track who, when, and what actions were performed. Auditing facilitates regulatory compliance and makes security processes maximally transparent.
• Automated rotation. Passwords and keys are regularly updated automatically, on schedule or when threats are detected. This saves IT resources and reduces the likelihood of using outdated or compromised data.
• Integration with infrastructure and DevOps. Access to secrets is provided through API, CLI, SDK, and plugins, simplifying system integration with CI/CD pipelines, cloud platforms, containers, and databases.
• Rapid incident response. A centralized approach allows quick revocation or replacement of vulnerable secrets, minimizing incident consequences and preventing threat propagation within the company.

Without a unified solution, secrets often "wander" through configuration files and source code, complicating their updates and increasing compromise risks. Corporate password managers solve this task, but not all of them support the necessary automation for modern DevOps processes.

Passwork: More than a password manager

Passwork started as a corporate password manager — a simple and convenient tool for storing credentials. But modern IT teams need more: automation, integration, and programmatic access to secrets.

With Passwork 7, the platform evolved beyond traditional password storage into a full-fledged secrets management system.

API-first architecture

Passwork is built on API-first principles. This means that every function available in the UI is available through REST API.

The API provides programmatic access to all system functions: password management, vaults, folders, users, roles, tags, file attachments, and event logs. This enables you to automate access provisioning and revocation, update passwords programmatically, integrate Passwork into CI/CD pipelines, and export logs for analysis.

Two products in one

In other words, Passwork now combines two full-fledged products:

• Password manager — intuitive interface for secure credential storage and team collaboration.
• Secrets management system — programmatic access through REST API, Python connector, CLI, and Docker container for workflow automation.

Automation tools

Python connector

Passwork's official Python connector eliminates the complexity of working with low-level API calls and cryptography. Manage secrets through simple methods—no manual HTTP request handling or data transformations required.

Usage example:

from passwork_client import PassworkClient

client = PassworkClient(host="https://passwork.example.com")
client.set_tokens("ACCESS_TOKEN", "REFRESH_TOKEN")  # pass tokens
client.set_master_key("MASTER_KEY")  # master key for decryption

# create vault and password
vault_id = client.create_vault(vault_name="DevOps", type_id="vault_id_type")
password_data = {
    "Name": "Database PROD", 
    "vaultId": vault_id,
    "title": "DB prod",
    "login": "admin",
    "password": "secure-password",
    "url": "https://db.example.com"
}
password_id = client.create_item(password_data)

# retrieve and use password
secret = client.get_item(password_id)
print(secret['password'])

Key features:

• Simple methods like create_item(), get_item(), create_vault() handle all operations; no manual HTTP requests needed
• Client-side cryptography — master key never leaves your environment
• Connector automatically saves, restores, and refreshes tokens
• Universal call() method enables access to any API endpoint, even those without dedicated methods

The Python connector accelerates automation and integration without unnecessary complexity.

CLI utility

For shell script and CI/CD automation, Passwork CLI provides a universal tool with two operating modes:

• exec — extracts secrets, creates environment variables, and runs your process. Passwords are never saved and are only available during execution.
• api — calls any Passwork API method and returns JSON responses.

Key features:

• Passwords injected as environment variables
• Secrets automatically loaded in CI/CD pipelines
• Temporary variables enable service account operations
• Native integration with Ansible, Terraform, Jenkins, and similar tools

Usage examples

Retrieve a password and execute a command:

# Export environment variables
export PASSWORK_HOST="https://passwork.example.com"
export PASSWORK_TOKEN="your_token"
export PASSWORK_MASTER_KEY="your_master_key"

# Retrieve password by ID and run MySQL client
passwork-cli exec --password-id "db_password_id" mysql -u admin -h localhost -p $DB_PASSWORD database_name

Running script with multiple secrets:

passwork-cli exec \
  --password-id "db123,api456,storage789" \
  deploy.sh --db-pass=$DATABASE_PASSWORD --api-key=$API_KEY --storage-key=$STORAGE_KEY

Getting vault list through API:

passwork-cli api --method GET --endpoint "v1/vaults"

The CLI supports tag and folder filtering, custom fields, token refresh, and flexible configuration for diverse automation scenarios.

Docker container

For CI/CD integration, the official passwork/passwork-cli Docker image enables quick CLI launches in isolated environments.

Launch example:

docker run -it --rm \
  -e PASSWORK_HOST="https://passwork.example.com" \
  -e PASSWORK_TOKEN="your_access_token" \
  -e PASSWORK_MASTER_KEY="your_master_key" \
  passwork-cli exec --password-id "db_password_id" mysql -h db_host -u admin -p $DB_PASSWORD db_name

Key features:

• Ready for GitLab, Bitbucket Pipelines, and docker-compose workflows
• Secrets easily passed between containers

How we automate password rotation

Regular password changes are a fundamental security requirement, but manual rotation introduces risk and wastes time. Passwork enables complete automation through the Python connector.

Rotation workflow:

1. Retrieve current password from Passwork (get_item)
2. Generate new secure password
3. Change password in target system (e.g., ALTER USER for databases)
4. Update record in Passwork (update_item)
5. Notify team of completion

Example implementation:

from passwork_client import PassworkClient
import secrets
import psycopg2

def rotate_db_password(passwork_host, accessToken, refreshToken, master_key, password_id, db_params):
    client = PassworkClient(passwork_host)
    client.set_tokens(accessToken, refreshToken)
    client.set_master_key(master_key)
    
    secret = client.get_item(password_id)
    current_password = secret['password']
    new_password = secrets.token_urlsafe(32)
    
    conn = psycopg2.connect(
        dbname=db_params['db'], 
        user=db_params['user'],
        password=current_password, 
        host=db_params['host']
    )
    
    with conn.cursor() as cur:
        cur.execute(f"ALTER USER {db_params['user']} WITH PASSWORD '{new_password}'")
    conn.commit()
    
    client.update_item(password_id, {"password": new_password})
    print("Password successfully rotated and updated in Passwork")

Benefits:

• Fully automated rotation eliminates manual actions and human error
• New password immediately available to the entire team—no delays or communication gaps

Security: Zero knowledge and encryption

Passwork implements Zero knowledge architecture: the server never accesses secrets in plain text. Even administrators with full infrastructure access cannot read your data.

• Server-side encryption — All secrets stored encrypted on the server. Suitable for internal networks and standard security requirements.
• Client-side encryption (CSE) — Secrets encrypted on the client before transmission; only ciphertext reaches the server. Master key derived from user's master password. Essential for cloud deployments or strict compliance requirements.

Choosing your model:

• Cloud deployment or strict compliance → Enable CSE
• Internal network with standard requirements → Server-side encryption sufficient

Authorization and tokens

Passwork API uses a token pair: accessToken and refreshToken.

• Access token — Short-lived credential for API requests
• Refresh token — Enables automatic access token renewal without re-authorization

The Python connector handles token refresh automatically, ensuring stable integrations without manual intervention.

Security best practices:

• Create dedicated service accounts — Assign minimal permissions, grant access only to required vaults and folders
• Rotate tokens regularly — Set expiration policies and refresh credentials on schedule
• Secure token storage — Use environment variables or dedicated secret vaults (never hardcode)
• Enforce HTTPS — Always use encrypted connections for API communication

Conclusions

Passwork has evolved from a password manager into a comprehensive secrets management platform. The open API, Python connector, CLI, and Docker image enable seamless integration into any workflow while centralizing secrets with granular access control.

• For administrators: Reliable storage with built-in automation capabilities.
• For developers and DevOps: Production-ready API and tools for secure secrets handling.

Passwork consolidates what typically requires multiple solutions into a single system with unified management. This reduces operational overhead, simplifies rotation workflows, and provides IT and development teams with transparent security controls.

As a secrets management platform, Passwork delivers protected, scalable infrastructure that adapts to your organization's needs.

Further reading

Passwork 7.1: Vault types

Table of contents * What are vault types * Basic vault types * Advantages of vault types * Managing vault types * Migration from previous versions * Conclusion: Data control and efficiency Vault types Passwork 7.1 introduces a robust vault types architecture, providing enterprise-grade access control for enhanced security and management. Vault types address a

Passwork BlogEirik Salmi

GDPR password security: Guide to effective staff training

Learn proven strategies to train employees for GDPR password security compliance. Reduce breach risks with practical training methods.

Passwork BlogAna Moore

HIPAA requirements for password management

Table of contents * Introduction * How HIPAA works * Cybersecurity and clinical efficiency * HIPAA and password management * How to train staff to meet HIPAA standards * How Passwork supports HIPAA compliance * Sustainable HIPAA compliance Introduction In the complex ecosystem of modern healthcare, patient data is essential for secure management. In 2024, the U.

Passwork BlogAna Moore

In the new version, we've improved the migration process from older versions of Passwork, enhanced descriptions in the Activity log, and made minor fixes to the UI and localization.

Improvements

• Added a restriction that blocks users from changing their own authorization type
• Improved migration to Passwork 7 for versions earlier than 5.3
• Improved descriptions for certain events in the Activity log

Bug fixes

• Fixed an issue where it was impossible to move a folder to the Bin via drag-and-drop if the "Access level required to copy folders and passwords" setting was set to "Action forbidden"
• Fixed duplicate "Save settings" button in Vault settings
• Fixed the display of parameter change indicators in Vault settings and User management in Safari browser
• Fixed incorrect redirect to Recents after successful extension authorization

Further reading

Passwork 7.1: Vault types

Table of contents * What are vault types * Basic vault types * Advantages of vault types * Managing vault types * Migration from previous versions * Conclusion: Data control and efficiency Vault types Passwork 7.1 introduces a robust vault types architecture, providing enterprise-grade access control for enhanced security and management. Vault types address a

Passwork BlogEirik Salmi

Browser extension 2.0.26 release

Version 2.0.27 * Further improved clickjacking protection: added blocking of clicks on hidden elements and checking for element overlap and CSS transformations * Fixed an issue when following a link from a notification to a deleted vault or password * Fixed an issue that could cause the extension to log out

Passwork BlogEirik Salmi

GDPR password security: Guide to effective staff training

Learn proven strategies to train employees for GDPR password security compliance. Reduce breach risks with practical training methods.

Passwork BlogAna Moore

Tresortypen

Passwork 7.1 führt eine robuste Tresortypen-Architektur ein, die unternehmensgerechte Zugangskontrolle für verbesserte Sicherheit und Verwaltung bietet. Tresortypen adressieren eine zentrale Herausforderung für Administratoren: die Kontrolle des Datenzugriffs und die Delegation der Tresorverwaltung in großen Organisationen. Bisher war die Auswahl auf zwei Typen beschränkt. Jetzt können Sie benutzerdefinierte Tresortypen erstellen, die auf jede Aufgabe oder Organisationsstruktur zugeschnitten sind.

Für jede Abteilung oder jedes Projekt können Sie einen dedizierten Tresortyp erstellen, spezifische Administratoren zuweisen, Ersteller-Berechtigungen festlegen und definieren, wer Tresore dieses Typs erstellen darf.

Beispielsweise können Sie separate Tresore für die IT-Abteilung, Finanzen, Personalwesen oder temporäre Projektteams erstellen. Administratoren, die einem bestimmten Tresortyp zugewiesen sind, werden automatisch zu allen neuen Tresoren dieses Typs hinzugefügt, was kontinuierliche Kontrolle und Transparenz gewährleistet.

Was sind Tresortypen

Tresortypen ermöglichen es Administratoren, Tresorvorlagen mit vordefinierten Zugriffsverwaltungseinstellungen zu erstellen. Für jeden Tresortyp können Sie spezifische Administratoren bestimmen, Ersteller-Berechtigungen konfigurieren und Regeln oder Einschränkungen für die Erstellung neuer Tresore festlegen.

Sie können Tresore nach Abteilung, Projekt oder Zugangslevel organisieren und so sicherstellen, dass Berechtigungen präzise zugewiesen werden

Wenn ein Tresor erstellt wird, erhalten die in den Tresortyp-Einstellungen angegebenen Administratoren automatisch Zugriff. Diese Administratoren können nicht entfernt oder herabgestuft werden, was sicherstellt, dass Schlüsselpersonen — wie Abteilungsleiter oder IT-Administratoren — stets die Kontrolle über kritische Daten behalten.

Grundlegende Tresortypen

Passwork verfügt über zwei grundlegende Tresortypen: Benutzertresore und Unternehmenstresore — diese können nicht gelöscht oder umbenannt werden:

• Benutzertresore: Standardmäßig sind diese nur für ihre Ersteller zugänglich und werden entweder als privat oder geteilt kategorisiert. Ein privater Tresor wird geteilt, wenn der Besitzer dieses Tresors anderen Benutzern Zugriff gewährt.
• Unternehmenstresore: Diese Tresore sind sowohl für den Ersteller als auch für Unternehmensadministratoren verfügbar, die automatisch Zugriff erhalten. Unternehmensadministratoren können nicht entfernt oder herabgestuft werden, was kontinuierliche Überwachung und Kontrolle gewährleistet.

Neben den grundlegenden Typen können Sie unbegrenzt benutzerdefinierte Tresortypen erstellen.

Vorteile von Tresortypen

Tresortypen ermöglichen es Passwork-Administratoren zu kontrollieren, wer Tresore erstellen kann, automatisch Administratoren zuzuweisen, die nicht entfernt werden können, und Ersteller-Berechtigungen effektiv zu verwalten.

• Kontinuierliche Kontrolle: Neue Tresore eines bestimmten Typs enthalten automatisch nicht entfernbare Administratoren, was kontinuierlichen Zugriff auf kritische Daten und konsistente Sicherheitsstandards über alle Tresore desselben Typs gewährleistet.
• Flexibilität bei Berechtigungen: Sie können Benutzern erlauben, Tresore zu erstellen, während Sie bestimmte Aktionen einschränken, wie z. B. das Verbot, andere Benutzer einzuladen.
• Delegation: Tresortypen ermöglichen eine granulare Berechtigungsverteilung — beispielsweise kann der IT-Leiter IT-Tresore verwalten, während der Vertriebsleiter die Tresore der Vertriebsabteilung überwacht.
• Audit und Analyse: Sehen Sie einfach alle Tresore im System zusammen mit ihren Typen und zugehörigen Benutzern ein und passen Sie Tresortypen bei Bedarf schnell an.
• Vereinfachte Tresorerstellung: Keine Notwendigkeit, Berechtigungen jedes Mal von Grund auf neu zu konfigurieren.

Tresore aller Typen unterstützen eine mehrstufige, ordnerbasierte Struktur, die es Administratoren ermöglicht, Hierarchien mit verschachtelten Elementen zu erstellen

Tresortypen verwalten

Auf der Seite Tresoreinstellungen können Sie alle Tresortypen verwalten, ihre Liste einsehen und Berechtigungen für Aktionszugriffe konfigurieren. Der Zugriff auf diesen Bereich wird durch individuelle Rollen-Berechtigungen gesteuert, was sicherstellt, dass nur autorisierte Benutzer kritische Einstellungen ändern können.

Tresortypen erstellen

Sie können aus grundlegenden Tresortypen wählen oder eigene benutzerdefinierte Typen erstellen. Um einen benutzerdefinierten Tresortyp einzurichten, klicken Sie auf Tresortyp erstellen.

Das Fenster zur Tresortyp-Erstellung bietet folgende Optionen:

• Name — geben Sie den Namen des Tresortyps an.
• Administratoren — wählen Sie Benutzer aus, die automatisch zu allen Tresoren dieses Typs mit Administrator-Berechtigungen hinzugefügt werden.
• Ersteller-Zugriff — definieren Sie das Zugangslevel, das Benutzern gewährt wird, die Tresore dieses Typs erstellen. Beispielsweise können Sie Mitarbeitern erlauben, Tresore zu erstellen, ohne ihnen zu gestatten, andere Benutzer einzuladen.
• Wer kann Tresore erstellen — bestimmen Sie, wer Tresore dieses Typs erstellen darf: bestimmte Benutzer, Gruppen, Rollen oder alle Benutzer.

Tresortypen bearbeiten

Benutzer mit Zugriff auf den Reiter Tresortypen können Tresortypen ändern, indem sie diese umbenennen, Administratoren hinzufügen oder entfernen und Tresorerstellungs-Berechtigungen aktualisieren. Um einen Tresortyp zu bearbeiten, wählen Sie ihn aus der Liste aller Typen aus und passen Sie die erforderlichen Felder an.

Wenn ein Benutzer als Administrator zu einem bestehenden Tresortyp hinzugefügt wird, müssen Sie die Anfrage bestätigen, um ihm Zugriff auf die entsprechenden Tresore zu gewähren.

Tresortypen löschen

Um einen Tresortyp zu löschen, wählen Sie einen oder mehrere Typen im Reiter Tresortypen aus und klicken Sie auf Löschen im Dropdown-Menü oben in der Liste.

Audit und Tresortyp-Änderung

Im Reiter Alle Tresore können Sie alle Tresore zusammen mit ihren Typen, Benutzerlisten und Administratoren einsehen. Zusätzlich können Sie den Typ eines Tresors schnell ändern — beispielsweise wenn eine Abteilung reorganisiert wird oder ein neues Projekt erstellt wird.

Sie haben die Möglichkeit, Tresore nach Typ zu filtern oder nur diejenigen anzuzeigen, auf die Sie Zugriff haben.

Einstellungen

Der Reiter Einstellungen ermöglicht es, das erforderliche Mindestzugangslevel für die Ausführung bestimmter Aktionen innerhalb von Verzeichnissen zu definieren sowie die maximale Dateigröße für Anhänge festzulegen, die mit Passwörtern verknüpft sind.

Migration von früheren Versionen

Bei der Migration von früheren Versionen können Sie importierten Tresoren im Tresor-Import-Fenster einen Tresortyp zuweisen, sofern Sie die Option wählen, in das Stammverzeichnis zu importieren.

Beim Upgrade von Passwork 6 auf Version 7 konvertiert das System bestehende Tresore automatisch:

• Private Tresore bleiben privat und erhalten den Typ Benutzertresore. Ihre Berechtigungen und Zugriffsrechte bleiben unverändert.
• Geteilte Tresore erhalten ebenfalls den Typ Benutzertresore. Alle Benutzer und ihre Berechtigungen bleiben erhalten.
• Organisationstresore werden in den Unternehmens-Tresortyp konvertiert. Administratoren werden wiederhergestellt und werden nicht entfernbar, wobei die Zugriffsstruktur erhalten bleibt.

Häufig gestellte Fragen

• Was ist der Unterschied zwischen Tresortypen und regulären Tresoren? Reguläre Tresore sind Container zur Speicherung von Passwörtern. Tresortypen sind Regeln und Vorlagen, die definieren, wie Tresore eines bestimmten Typs erstellt und verwaltet werden.
• Ist die Verwendung von Tresortypen obligatorisch? Nein, die Verwendung benutzerdefinierter Tresortypen ist nicht obligatorisch. Sie haben immer Zugang zu grundlegenden Typen: private Tresore für persönliche Passwörter und geteilte Tresore für Passwörter, die Benutzer selbstständig teilen.

• Wie unterscheiden sich Unternehmensadministratoren von regulären Administratoren? Unternehmensadministratoren sind Benutzer, die automatisch Administratorrechte in allen Tresoren eines bestimmten Typs erhalten. Die Zuweisung von Unternehmensadministratoren gewährleistet permanente Kontrolle über kritische Daten.

• Kann ich Administratoren in einem bestehenden Typ ändern? Ja, Sie können die Liste der Administratoren in den Tresortyp-Einstellungen ändern. Beim Hinzufügen eines neuen Benutzers erstellt das System automatisch Anfragen, den neuen Administrator zu allen bestehenden Tresoren dieses Typs hinzuzufügen.

• Wie schränke ich ein, wer Tresore eines bestimmten Typs erstellen kann? Beim Erstellen oder Bearbeiten eines Tresortyps gehen Sie zu Wer kann Tresore erstellen und wählen Sie eine der Optionen: Alle Benutzer — jeder Benutzer kann einen Tresor dieses Typs erstellen, oder eingeschränkter Zugang — nur ausgewählte Benutzer, Rollen oder Gruppen.
• Kann ich den Typ eines bestehenden Tresors ändern? Ja, Sie können den Typ eines bestehenden Tresors ändern, aber nur wenn Sie Administratorrechte in diesem Tresor haben. Beim Ändern des Typs werden Unternehmensadministratoren des neuen Typs automatisch zum Tresor hinzugefügt, neue Zugriffsregeln werden angewendet und Benutzerverbindungsanfragen werden erstellt.
• Warum kann ich bestimmte Administratoren nicht aus einem Tresor entfernen? Wenn Sie Administratoren nicht aus einem Tresor entfernen können, handelt es sich um Unternehmensadministratoren. Unternehmensadministratoren können nur durch Ändern der entsprechenden Tresortyp-Einstellung entfernt werden (erfordert Administratorrechte).

Grundlegende Anwendungsfälle

Erstellung privater Tresore verbieten

Aufgabe: Mitarbeiter daran hindern, private Tresore zu erstellen.
Lösung: Öffnen Sie in den Tresoreinstellungen den Typ Benutzertresore. Entfernen Sie unter Wer kann Tresore erstellen alle Benutzer oder belassen Sie nur diejenigen, die dieses Recht behalten sollen.

Tresore mit obligatorischen Administratoren

Aufgabe: Alle von Benutzern erstellten Tresore müssen Unternehmensadministratoren enthalten.
Lösung: Erstellen Sie in den Tresoreinstellungen einen oder mehrere neue Tresortypen. Fügen Sie im Abschnitt Administratoren die erforderlichen Benutzer (Unternehmensadministratoren) hinzu — sie werden automatisch zu allen Tresoren dieses Typs mit Rechten hinzugefügt, die nicht geändert oder widerrufen werden können. Verbieten Sie die Erstellung anderer Tresortypen.

Erstellung privater Tresore ohne Benutzereinladungsrechte

Aufgabe: Benutzern erlauben, eigene Tresore zu erstellen, aber das Einladen anderer Benutzer verbieten.
Lösung: Erstellen Sie in den Tresoreinstellungen einen neuen Typ mit dem Zugangslevel „Vollständiger Zugang" für den Ersteller — dieses Level verbietet das Hinzufügen anderer Benutzer.

Delegation administrativer Verantwortlichkeiten

Aufgabe: Das System so konfigurieren, dass verschiedene Abteilungen oder Projekte ihre eigenen Administratoren haben.
Lösung: Erstellen Sie in den Tresoreinstellungen separate Typen für jede Abteilung und fügen Sie entsprechende Rollen hinzu.

Tresorverwaltung einschränken

Aufgabe: Administratoren daran hindern, die Liste aller Tresore einzusehen, Tresortypen zu verwalten und Zugangslevel-Einstellungen zu ändern.
Lösung: Öffnen Sie in den Rolleneinstellungen die Administrator-Rolle. Deaktivieren Sie im Abschnitt Tresore die erforderlichen Berechtigungen — Sie können den Zugriff auf den Bereich mit der Liste aller Tresore oder auf die gesamte Seite Tresoreinstellungen einschränken.

Fazit: Datenkontrolle und Effizienz

Tresortypen adressieren eine zentrale Herausforderung für wachsende Unternehmen: die Kontrolle des Datenzugriffs ohne Überlastung der IT-Abteilung. Administratoren erhalten automatisch Zugriff auf neue Tresore ihres Typs, während Abteilungsleiter Daten eigenständig verwalten können. Passwork skaliert mit Ihrer Organisation und stellt sicher, dass Daten sicher bleiben, Prozesse automatisiert sind und Mitarbeiter effizient arbeiten können.

Weiterführende Lektüre

Incident response planning: Preparedness vs. reality

Discover key insights from Passwork webinar on incident response planning. Why teamwork and tools drive real cybersecurity resilience.

Passwork BlogTurpal Makh

GDPR password security: Guide to effective staff training

Learn proven strategies to train employees for GDPR password security compliance. Reduce breach risks with practical training methods.

Passwork BlogAna Moore

Passwork 7: Security verified by HackerOne

Passwork has successfully completed the penetration testing, carried out by HackerOne — the world's largest platform for coordinating bug bounty programs and security assessments. This independent evaluation confirmed Passwork's highest level of data protection and strong resilience against modern cyber threats. What the pentest covered Security architecture and data

Passwork BlogEirik Salmi

Tipos de bóvedas

Passwork 7.1 introduce una arquitectura robusta de tipos de bóvedas, proporcionando control de acceso de nivel empresarial para una seguridad y gestión mejoradas. Los tipos de bóvedas abordan un desafío clave para los administradores: controlar el acceso a los datos y delegar la gestión de bóvedas en organizaciones grandes. Anteriormente, la elección se limitaba a dos tipos. Ahora, puede crear tipos de bóvedas personalizados adaptados a cualquier tarea o estructura organizativa.

Para cada departamento o proyecto, puede crear un tipo de bóveda dedicado, asignar administradores específicos, elegir los permisos del creador y definir quién puede crear bóvedas de este tipo.

Por ejemplo, puede crear bóvedas separadas para el departamento de TI, finanzas, recursos humanos o equipos de proyectos temporales. Los administradores asignados a un tipo de bóveda específico se añadirán automáticamente a todas las nuevas bóvedas de este tipo, asegurando un control y transparencia constantes.

Qué son los tipos de bóvedas

Los tipos de bóvedas permiten a los administradores establecer plantillas de bóvedas con configuraciones de gestión de acceso predefinidas. Para cada tipo de bóveda, puede designar administradores específicos, configurar los permisos del creador de la bóveda y establecer reglas o restricciones para crear nuevas bóvedas.

Puede organizar las bóvedas por departamento, proyecto o nivel de acceso, asegurando que los permisos se asignen con precisión

Cuando se crea una bóveda, los administradores especificados en la configuración del tipo de bóveda reciben acceso automáticamente. Estos administradores no pueden ser eliminados ni degradados, asegurando que el personal clave — como jefes de departamento o administradores de TI — siempre mantenga el control sobre los datos críticos.

Tipos de bóvedas básicos

Passwork tiene dos tipos de bóvedas básicos: Bóvedas de usuario y Bóvedas de empresa — no pueden eliminarse ni renombrarse:

• Bóvedas de usuario: Por defecto, estas solo son accesibles para sus creadores y se categorizan como privadas o compartidas. Una bóveda privada se convierte en compartida cuando el propietario de esta bóveda otorga acceso a otros usuarios.
• Bóvedas de empresa: Estas bóvedas están disponibles tanto para el creador como para los administradores corporativos, quienes reciben acceso automáticamente. Los administradores corporativos no pueden ser eliminados ni degradados, asegurando una supervisión y control continuos.

Además de los tipos básicos, puede crear tipos de bóvedas personalizados ilimitados.

Ventajas de los tipos de bóvedas

Los tipos de bóvedas permiten a los administradores de Passwork controlar quién puede crear bóvedas, asignar automáticamente administradores que no pueden ser eliminados y gestionar eficazmente los permisos de los creadores.

• Control constante: Las nuevas bóvedas de un tipo específico incluyen automáticamente administradores no eliminables, asegurando un acceso continuo a los datos críticos y estándares de seguridad consistentes en todas las bóvedas del mismo tipo.
• Flexibilidad de permisos: Puede permitir que los usuarios creen bóvedas mientras restringe ciertas acciones, como prohibirles invitar a otros usuarios.
• Delegación: Los tipos de bóvedas permiten una distribución granular de permisos — por ejemplo, el director de TI puede gestionar las bóvedas de TI, mientras que el director de ventas supervisa las bóvedas del departamento de ventas.
• Auditoría y análisis: Vea fácilmente todas las bóvedas del sistema, junto con sus tipos y usuarios asociados, y ajuste rápidamente los tipos de bóvedas según sea necesario.
• Creación de bóvedas simplificada: No es necesario configurar los permisos desde cero cada vez.

Las bóvedas de todos los tipos admiten una estructura multinivel basada en carpetas, lo que permite a los administradores crear jerarquías con elementos anidados

Gestión de tipos de bóvedas

En la página Configuración de bóvedas, puede gestionar todos los tipos de bóvedas, ver su lista y configurar los permisos de acceso a acciones. El acceso a esta sección está controlado por permisos de rol individuales, asegurando que solo los usuarios autorizados puedan modificar configuraciones críticas.

Creación de tipos de bóvedas

Puede elegir entre los tipos de bóvedas básicos o crear sus propios tipos personalizados. Para configurar un tipo de bóveda personalizado, haga clic en Crear tipo de bóveda.

La ventana de creación de tipo de bóveda ofrece las siguientes opciones:

• Nombre — especifique el nombre del tipo de bóveda.
• Administradores — seleccione los usuarios que se añadirán automáticamente a todas las bóvedas de este tipo con permisos de administrador.
• Acceso del creador — defina el nivel de acceso otorgado a los usuarios que crean bóvedas de este tipo. Por ejemplo, puede permitir que los empleados creen bóvedas sin permitirles invitar a otros usuarios.
• Quién puede crear bóvedas — determine quién puede crear bóvedas de este tipo: usuarios específicos, grupos, roles o todos los usuarios.

Edición de tipos de bóvedas

Los usuarios con acceso a la pestaña Tipos de bóvedas pueden modificar los tipos de bóvedas renombrándolos, añadiendo o eliminando administradores y actualizando los permisos de creación de bóvedas. Para editar un tipo de bóveda, selecciónelo de la lista de todos los tipos y ajuste los campos necesarios.

Si se añade un usuario como administrador a un tipo de bóveda existente, debe confirmar la solicitud para otorgarle acceso a las bóvedas correspondientes.

Eliminación de tipos de bóvedas

Para eliminar un tipo de bóveda, seleccione uno o más tipos en la pestaña Tipos de bóvedas y haga clic en Eliminar en el menú desplegable en la parte superior de la lista.

Auditoría y cambio de tipo de bóveda

En la pestaña Todas las bóvedas, puede ver todas las bóvedas junto con sus tipos, listas de usuarios y administradores. Además, puede cambiar rápidamente el tipo de una bóveda — por ejemplo, cuando se reorganiza un departamento o se crea un nuevo proyecto.

Tiene la opción de filtrar las bóvedas por tipo o mostrar solo aquellas a las que tiene acceso.

Configuración

La pestaña Configuración permite definir el nivel de acceso mínimo requerido para realizar acciones específicas dentro de los directorios, así como establecer el tamaño máximo de archivo para los adjuntos vinculados a contraseñas.

Migración desde versiones anteriores

Al migrar desde versiones anteriores, puede asignar un tipo de bóveda a las bóvedas importadas en la ventana de importación de bóvedas, siempre que elija la opción de importar al directorio raíz.

Al actualizar de Passwork 6 a la versión 7, el sistema convierte automáticamente las bóvedas existentes:

• Las bóvedas privadas permanecen privadas y reciben el tipo Bóvedas de usuario. Sus permisos y derechos de acceso permanecen sin cambios.
• Las bóvedas compartidas también reciben el tipo Bóvedas de usuario. Todos los usuarios y sus permisos se conservan.
• Las bóvedas de organización se convierten al tipo de bóveda de empresa. Los administradores se restauran y se vuelven no eliminables, con la estructura de acceso conservada.

Preguntas frecuentes

• ¿Cuál es la diferencia entre los tipos de bóvedas y las bóvedas normales? Las bóvedas normales son contenedores para almacenar contraseñas. Los tipos de bóvedas son reglas y plantillas que definen cómo se crean y gestionan las bóvedas de un tipo específico.
• ¿Es obligatorio usar tipos de bóvedas? No, usar tipos de bóvedas personalizados no es obligatorio. Siempre tendrá acceso a los tipos básicos: bóvedas privadas para contraseñas personales y bóvedas compartidas para contraseñas que los usuarios comparten de forma independiente.

• ¿En qué se diferencian los administradores corporativos de los normales? Los administradores corporativos son usuarios que reciben automáticamente derechos de administrador en todas las bóvedas de un tipo específico. Asignar administradores corporativos garantiza un control permanente sobre los datos críticos.

• ¿Puedo cambiar los administradores en un tipo existente? Sí, puede modificar la lista de administradores en la configuración del tipo de bóveda. Al añadir un nuevo usuario, el sistema crea automáticamente solicitudes para añadir al nuevo administrador a todas las bóvedas existentes de ese tipo.

• ¿Cómo restrinjo quién puede crear bóvedas de un tipo específico? Al crear o editar un tipo de bóveda, vaya a Quién puede crear bóvedas y elija una de las opciones: Todos los usuarios — cualquier usuario puede crear una bóveda de este tipo, o acceso limitado — solo usuarios, roles o grupos seleccionados.
• ¿Puedo cambiar el tipo de una bóveda existente? Sí, puede cambiar el tipo de una bóveda existente, pero solo si tiene derechos de administrador en esa bóveda. Al cambiar el tipo, los administradores corporativos del nuevo tipo se añaden automáticamente a la bóveda, se aplican las nuevas reglas de acceso y se crean solicitudes de conexión de usuarios.
• ¿Por qué no puedo eliminar ciertos administradores de una bóveda? Si no puede eliminar administradores de una bóveda, son administradores corporativos. Los administradores corporativos solo pueden ser eliminados cambiando la configuración del tipo de bóveda correspondiente (requiere derechos de administrador).

Casos de uso básicos

Prohibir la creación de bóvedas privadas

Tarea: Impedir que los empleados creen bóvedas privadas.
Solución: En Configuración de bóvedas, abra el tipo Bóvedas de usuario. En Quién puede crear bóvedas, elimine a todos los usuarios o deje solo a aquellos que necesiten conservar este derecho.

Bóvedas con administradores obligatorios

Tarea: Todas las bóvedas creadas por usuarios deben incluir administradores corporativos.
Solución: En Configuración de bóvedas, cree uno o más nuevos tipos de bóvedas. En la sección Administradores, añada los usuarios requeridos (administradores corporativos) — estos se añadirán automáticamente a todas las bóvedas de este tipo con derechos que no pueden ser cambiados ni revocados. Prohíba la creación de otros tipos de bóvedas.

Creación de bóvedas privadas sin derechos de invitación de usuarios

Tarea: Permitir que los usuarios creen sus propias bóvedas pero prohibir invitar a otros usuarios.
Solución: En Configuración de bóvedas, cree un nuevo tipo con nivel de acceso completo para el creador — este nivel prohíbe añadir a otros usuarios.

Delegación de responsabilidades administrativas

Tarea: Configurar el sistema para que diferentes departamentos o proyectos tengan sus propios administradores.
Solución: En Configuración de bóvedas, cree tipos separados para cada departamento y añada los roles correspondientes.

Limitar la gestión de bóvedas

Tarea: Impedir que los administradores vean la lista de todas las bóvedas, gestionen los tipos de bóvedas y la configuración de niveles de acceso.
Solución: En la configuración de roles, abra el rol de Administrador. En la sección Bóvedas, deshabilite los permisos necesarios — puede restringir el acceso a la sección con la lista de todas las bóvedas o a toda la página de Configuración de bóvedas.

Conclusión: Control de datos y eficiencia

Los tipos de bóvedas abordan un desafío clave para las empresas en crecimiento: controlar el acceso a los datos sin sobrecargar al departamento de TI. Los administradores obtienen automáticamente acceso a las nuevas bóvedas de su tipo, mientras que los jefes de departamento pueden gestionar los datos de forma independiente. Passwork escala con su organización, asegurando que los datos permanezcan seguros, los procesos estén automatizados y los empleados puedan trabajar eficientemente.

Lecturas adicionales

Planificación de respuesta a incidentes: Preparación vs. realidad

Descubra información clave del webinar de Passwork sobre planificación de respuesta a incidentes. Por qué el trabajo en equipo y las herramientas impulsan la verdadera resiliencia en ciberseguridad.

Passwork BlogTurpal Makh

Seguridad de contraseñas GDPR: Guía para una formación eficaz del personal

Aprenda estrategias probadas para formar a los empleados en el cumplimiento de seguridad de contraseñas GDPR. Reduzca los riesgos de brechas con métodos de formación prácticos.

Passwork BlogAna Moore

Passwork 7: Seguridad verificada por HackerOne

Passwork ha completado exitosamente las pruebas de penetración, realizadas por HackerOne — la plataforma más grande del mundo para coordinar programas de bug bounty y evaluaciones de seguridad. Esta evaluación independiente confirmó el más alto nivel de protección de datos de Passwork y su fuerte resiliencia contra las amenazas cibernéticas modernas. Qué cubrió el pentest Arquitectura de seguridad y datos

Passwork BlogEirik Salmi

Vault types

Passwork 7.1 introduces a robust vault types architecture, providing enterprise-grade access control for enhanced security and management. Vault types address a key challenge for administrators: controlling data access and delegating vault management across large organizations. Previously, the choice was limited to two types. Now, you can create custom vault types tailored to any task or organizational structure.

For each department or project, you can create a dedicated vault type, assign specific administrators, choose creator permissions, and define who can create vaults of this type.

For example, you can create separate vaults for IT department, finance, HR, or temporary project teams. Administrators assigned to a specific vault type will be automatically added to all new vaults of this type, ensuring constant control and transparency.

What are vault types

Vault types allow administrators to establish vault templates with predefined access management settings. For each vault type, you can designate specific administrators, configure vault creator permissions, and set rules or restrictions for creating new vaults.

You can organize vaults by department, project, or access level, ensuring that permissions are assigned accurately

When a vault is created, administrators specified in the vault type settings are automatically granted access. These administrators cannot be removed or demoted, ensuring that key personnel — such as department heads or IT administrators — always retain control over critical data.

Basic vault types

Passwork has two basic vault types: User vaults and Company vaults — they cannot be deleted or renamed:

• User vaults: By default, these are accessible only to their creators and are categorized as either private or shared. A private vault becomes shared when the owner of this vault grants access to other users.
• Company vaults: These vaults are available to both the creator and corporate administrators, who are automatically assigned access. Corporate administrators cannot be removed or demoted, ensuring continuous oversight and control.

Besides basic types, you can create unlimited custom vault types.

Advantages of vault types

Vault types empower Passwork administrators to control who can create vaults, automatically assign administrators who cannot be removed, and effectively manage creator permissions.

• Constant control: New vaults of a specific type automatically include non-removable administrators, ensuring continuous access to critical data and consistent security standards across all vaults of the same type.
• Permission flexibility: You can allow users to create vaults while restricting certain actions, such as prohibiting them from inviting other users.
• Delegation: Vault types enable granular permission distribution — for example, the IT director can manage IT vaults, while the sales director oversees sales department vaults.
• Audit and analysis: Easily view all vaults in the system, along with their types and associated users, and quickly adjust vault types as needed.
• Streamlined vault creation: No need to configure permissions from scratch each time.

Vaults of all types support a multi-level, folder-based structure, allowing administrators to create hierarchies with nested elements

Managing vault types

On the Vault settings page, you can manage all vault types, view their list, and configure action access permissions. Access to this section is controlled by individual role permissions, ensuring that only authorized users can modify critical settings.

Creating vault types

You can choose from basic vault types or create your own custom types. To set up a custom vault type, click Create vault type.

The vault type creation window offers the following options:

• Name — specify the vault type name.
• Administrators — select users who will be automatically added to all vaults of this type with Administrator permissions.
• Creator access — define the access level granted to users who create vaults of this type. For example, you can allow employees to create vaults without permitting them to invite other users.
• Who can create vaults — determine who is allowed to create vaults of this type: specific users, groups, roles, or all users.

Editing vault types

Users with access to the Vault types tab can modify vault types by renaming them, adding or removing administrators, and updating vault creation permissions. To edit a vault type, select it from the list of all types and adjust the necessary fields.

If a user is added as an administrator to an existing vault type, you must confirm the request to grant them access to the corresponding vaults.

Deleting vault types

To delete a vault type, select one or more types on the Vault types tab and click Delete in the dropdown menu at the top of the list.

Audit and vault type change

On the All vaults tab, you can view all vaults along with their types, user lists, and administrators. Additionally, you can quickly change a vault’s type — for example, when a department is reorganized or a new project is created.

You have the option to filter vaults by type or display only those to which you have access.

Settings

The Settings tab makes it possible to define the minimum required access level for performing specific actions within directories, as well as set the maximum file size for attachments linked to passwords.

Migration from previous versions

When migrating from previous versions, you can assign a vault type to imported vaults in the vault import window, provided you choose the option to import to the root directory.

When upgrading from Passwork 6 to version 7, the system automatically converts existing vaults:

• Private vaults remain private and receive the User vaults type. Your permissions and access rights remain unchanged.
• Shared vaults also receive the User vaults type. All users and their permissions are preserved.
• Organization vaults are converted to company vault type. Administrators are restored and become non-removable, with the access structure preserved.

Frequently asked questions

• What's the difference between vault types and regular vaults? Regular vaults are containers for storing passwords. Vault types are rules and templates that define how vaults of a specific type are created and managed.
• Is it mandatory to use vault types? No, using custom vault types is not mandatory. You'll always have access to basic types: private vaults for personal passwords and shared vaults for passwords users share independently.

• How do corporate administrators differ from regular ones? Corporate administrators are users who automatically receive administrator rights in all vaults of a specific type. Assigning corporate administrators ensures permanent control over critical data.

• Can I change administrators in an existing type? Yes, you can modify the list of administrators in the vault type settings. When adding a new user, the system automatically creates requests to add the new administrator to all existing vaults of that type.

• How do I restrict who can create vaults of a specific type? When creating or editing a vault type, go to Who can create vaults and choose one of the options: All users — any user can create a vault of this type, or limited access — only selected users, roles, or groups.
• Can I change the type of an existing vault? Yes, you can change an existing vault's type, but only if you have administrator rights in that vault. When changing the type, corporate administrators of the new type are automatically added to the vault, new access rules are applied, and user connection requests are created.
• Why can't I remove certain administrators from a vault? If you cannot remove administrators from a vault, they are corporate administrators. Corporate administrators can only be removed by changing the corresponding vault type setting (requires administrator rights).

Basic use cases

Prohibit private vaults creation

Task: Prevent employees from creating private vaults.
Solution: In Vault settings, open the User vaults type. In Who can create vaults, remove all users or leave only those who need to retain this right.

Vaults with mandatory administrators

Task: All vaults created by users must include corporate administrators.
Solution: In Vault settings, create one or more new vault types. In the Administrators section, add the required users (corporate administrators) — they will automatically be added to all vaults of this type with rights that cannot be changed or revoked. Prohibit creation of other vault types.

Private vaults creation without user invitation rights

Task: Allow users to create their own vaults but prohibit inviting other users.
Solution: In Vault settings, create a new type with Full access level for the creator—this level prohibits adding other users.

Delegating administrative responsibilities

Task: Configure the system so different departments or projects have their own administrators.
Solution: In Vault settings, create separate types for each department and add corresponding roles.

Limit vault management

Task: Prevent administrators from viewing the list of all vaults, managing vault types, and access level settings.
Solution: In role settings, open the Administrator role. In the Vaults section, disable the necessary permissions — you can restrict access to the section with the list of all vaults or to the entire Vault settings page.

Conclusion: Data control and efficiency

Vault types address a key challenge for growing companies: controlling data access without overwhelming the IT department. Administrators automatically gain access to new vaults of their type, while department heads can manage data independently. Passwork scales with your organization, ensuring data remains secure, processes are automated, and employees can work efficiently.

Further reading

Incident response planning: Preparedness vs. reality

Discover key insights from Passwork webinar on incident response planning. Why teamwork and tools drive real cybersecurity resilience.

Passwork BlogTurpal Makh

GDPR password security: Guide to effective staff training

Learn proven strategies to train employees for GDPR password security compliance. Reduce breach risks with practical training methods.

Passwork BlogAna Moore

Passwork 7: Security verified by HackerOne

Passwork has successfully completed the penetration testing, carried out by HackerOne — the world’s largest platform for coordinating bug bounty programs and security assessments. This independent evaluation confirmed Passwork’s highest level of data protection and strong resilience against modern cyber threats. What the pentest covered Security architecture and data

Passwork BlogEirik Salmi

Version 2.0.27

• Verbesserter Clickjacking-Schutz: Blockierung von Klicks auf versteckte Elemente sowie Überprüfung auf Elementüberlappung und CSS-Transformationen hinzugefügt
• Ein Problem beim Folgen eines Links aus einer Benachrichtigung zu einem gelöschten Tresor oder Passwort wurde behoben
• Ein Problem, das zum Abmelden der Erweiterung führen konnte, wurde behoben

Änderungen in den Versionen 2.0.25 und 2.0.26

• In Version 2.0.25 wurde das Pop-up-Fenster für automatisches Ausfüllen deaktiviert, um die Widerstandsfähigkeit der Erweiterung gegen Clickjacking-Angriffe zu testen. Außerdem wurden Warnungen zu verdächtigen Elementen auf Webseiten hinzugefügt.
• In Version 2.0.26 sind Pop-ups für automatisches Ausfüllen wieder verfügbar, und diese können jetzt für die gesamte Organisation deaktiviert werden. Die Erweiterung erkennt und blockiert automatisch die gängigsten Clickjacking-Methoden.

Pop-up-Vorschläge für automatisches Ausfüllen können durch Anpassen der Einstellung Content scripts im Abschnitt Browser extension der Systemeinstellungen deaktiviert werden (verfügbar ab Passwork 7.1.2).

Passwork 7.2 Release

Die neue Version führt anpassbare Benachrichtigungen mit flexiblen Zustelloptionen, verbesserte Beschreibungen für das Event-Logging, erweiterte CLI-Funktionalität, serverseitige PIN-Code-Speicherung für die Browser-Erweiterung sowie die Möglichkeit ein, clientseitige Verschlüsselung während der Erstkonfiguration von Passwork zu aktivieren. Benachrichtigungseinstellungen Es wurde ein eigener Bereich für Benachrichtigungseinstellungen hinzugefügt, in dem Benachrichtigungen ausgewählt werden können

Passwork BlogEirik Salmi

Die Cybersicherheits-Checkliste 2025 für kleine Unternehmen: Ein vollständiger Leitfaden | Passwork

Die Cybersicherheits-Checkliste 2025 von Passwork, basierend auf dem NIST-Framework, bietet umsetzbare Schritte zur Vermeidung von Datenschutzverletzungen und finanziellen Verlusten.

Passwork BlogEirik Salmi

Passwork: Secrets Management und Automatisierung für DevOps

Einführung In Unternehmensumgebungen steigt die Anzahl der Passwörter, Schlüssel und digitalen Zertifikate rasant an, und Secrets Management wird zu einer der kritischen Aufgaben für IT-Teams. Secrets Management umfasst den gesamten Lebenszyklus sensibler Daten: von der sicheren Generierung und verschlüsselten Speicherung bis hin zur automatisierten Rotation und Audit-Protokollierung. Da

Passwork BlogEirik Salmi

Versión 2.0.27

• Protección contra clickjacking mejorada: se añadió el bloqueo de clics en elementos ocultos y la verificación de superposición de elementos y transformaciones CSS
• Se corrigió un problema al seguir un enlace desde una notificación hacia una bóveda o contraseña eliminada
• Se corrigió un problema que podía causar el cierre de sesión de la extensión

Cambios en las versiones 2.0.25 y 2.0.26

• En la versión 2.0.25, se deshabilitó la ventana emergente que ofrece autocompletado para probar la resistencia de la extensión contra ataques de clickjacking. También se añadieron advertencias sobre elementos sospechosos en páginas web.
• En la versión 2.0.26, las ventanas emergentes de autocompletado están disponibles nuevamente, y ahora puede deshabilitarlas para toda la organización. La extensión detecta y bloquea automáticamente los métodos de clickjacking más comunes.

Puede deshabilitar las sugerencias emergentes de autocompletado ajustando la configuración de Content scripts en la sección Browser extension de los ajustes del sistema (disponible a partir de Passwork 7.1.2).

Lanzamiento de Passwork 7.2

La nueva versión introduce notificaciones personalizables con opciones de entrega flexibles, descripciones mejoradas del registro de eventos, funcionalidad ampliada de CLI, almacenamiento del código PIN en el servidor para la extensión de navegador y la posibilidad de habilitar el cifrado del lado del cliente durante la configuración inicial de Passwork. Configuración de notificaciones Hemos añadido una sección dedicada de configuración de notificaciones donde puede elegir la notificación

Passwork BlogEirik Salmi

Lista de verificación de ciberseguridad 2025 para pequeñas empresas: una guía completa | Passwork

La lista de verificación de ciberseguridad 2025 de Passwork, basada en el marco NIST, proporciona pasos prácticos para prevenir violaciones de datos y pérdidas financieras.

Passwork BlogEirik Salmi

Passwork: gestión de secretos y automatización para DevOps

Introducción En el entorno corporativo, el número de contraseñas, claves y certificados digitales está aumentando rápidamente, y la gestión de secretos se está convirtiendo en una de las tareas críticas para los equipos de TI. La gestión de secretos aborda el ciclo de vida completo de los datos sensibles: desde la generación segura y el almacenamiento cifrado hasta la rotación automatizada y los registros de auditoría. A medida que

Passwork BlogEirik Salmi

Version 2.0.27

• Further improved clickjacking protection: added blocking of clicks on hidden elements and checking for element overlap and CSS transformations
• Fixed an issue when following a link from a notification to a deleted vault or password
• Fixed an issue that could cause the extension to log out

Changes in versions 2.0.25 and 2.0.26

• In version 2.0.25, pop-up window offering autofill was disabled to test the extension’s resistance to clickjacking attacks. Warnings about suspicious elements on webpages were also added.
• In version 2.0.26, autofill pop-ups are available again, and you can now disable them for the entire organization. The extension automatically detects and blocks most common clickjacking methods.

You can disable pop-up autofill suggestions by adjusting the Content scripts setting in the Browser extension section of the system settings (available starting from Passwork 7.1.2).

Passwork 7.2 release

The new version introduces customizable notifications with flexible delivery options, enhanced event logging descriptions, expanded CLI functionality, server-side PIN code storage for the browser extension, and the ability to enable client-side encryption during initial Passwork configuration. Notification settings We’ve added a dedicated notification settings section where you can choose notification

Passwork BlogEirik Salmi

The 2025 small business cybersecurity checklist: A complete guide | Passwork

Passwork’s 2025 cybersecurity checklist, based on the NIST framework, provides actionable steps to prevent data breaches and financial loss.

Passwork BlogEirik Salmi

Passwork: Secrets management and automation for DevOps

Introduction In corporate environment, the number of passwords, keys, and digital certificates is rapidly increasing, and secrets management is becoming one of the critical tasks for IT teams. Secrets management addresses the complete lifecycle of sensitive data: from secure generation and encrypted storage to automated rotation and audit trails. As

Passwork BlogEirik Salmi

Das Update Passwork 7.1.3 ist im Kundenportal verfügbar.

• Ein Problem wurde behoben, bei dem das Zugangslevel eines Benutzers in Tresoren unverändert blieb, nachdem der Benutzer als Administrator für diesen Tresortyp hinzugefügt wurde

Passwork 7.2 Release

Die neue Version bietet anpassbare Benachrichtigungen mit flexiblen Zustellungsoptionen, erweiterte Beschreibungen für das Ereignisprotokoll, erweiterte CLI-Funktionalität, serverseitige PIN-Code-Speicherung für die Browser-Erweiterung und die Möglichkeit, clientseitige Verschlüsselung während der ersten Passwork-Konfiguration zu aktivieren. Benachrichtigungseinstellungen Wir haben einen speziellen Bereich für Benachrichtigungseinstellungen hinzugefügt, in dem Sie Benachrichtigungen auswählen können

Passwork BlogEirik Salmi

Passwork: Secrets Management und Automatisierung für DevOps

Einführung In Unternehmensumgebungen steigt die Anzahl von Passwörtern, Schlüsseln und digitalen Zertifikaten rapide an, und Secrets Management wird zu einer der kritischen Aufgaben für IT-Teams. Secrets Management befasst sich mit dem gesamten Lebenszyklus sensibler Daten: von der sicheren Generierung und verschlüsselten Speicherung bis hin zur automatisierten Rotation und Audit-Protokollen. Da

Passwork BlogEirik Salmi

Python Connector 0.1.5: Automatisiertes Secrets Management

Die neue Python Connector Version 0.1.5 erweitert die Möglichkeiten des CLI-Dienstprogramms. Wir haben Befehle hinzugefügt, die kritische Aufgaben für DevOps-Ingenieure und Entwickler lösen — sicheres Abrufen und Aktualisieren von Secrets in automatisierten Pipelines. Was dies löst Fest kodierte Secrets, API-Schlüssel, Tokens und Datenbank-Anmeldedaten schaffen Sicherheitslücken und betriebliche Engpässe.

Passwork BlogEirik Salmi

La actualización Passwork 7.1.3 está disponible en el portal de clientes.

• Se corrigió un problema en el que el nivel de acceso de un usuario en las bóvedas permanecía sin cambios después de que el usuario fuera añadido como administrador para ese tipo de bóveda.

Lanzamiento de Passwork 7.2

La nueva versión introduce notificaciones personalizables con opciones de entrega flexibles, descripciones mejoradas del registro de eventos, funcionalidad ampliada de CLI, almacenamiento del código PIN en el servidor para la extensión del navegador, y la posibilidad de habilitar el cifrado del lado del cliente durante la configuración inicial de Passwork. Configuración de notificaciones Hemos añadido una sección dedicada a la configuración de notificaciones donde puede elegir las notificaciones

Passwork BlogEirik Salmi

Passwork: Gestión de secretos y automatización para DevOps

Introducción En el entorno corporativo, el número de contraseñas, claves y certificados digitales está aumentando rápidamente, y la gestión de secretos se está convirtiendo en una de las tareas críticas para los equipos de TI. La gestión de secretos aborda el ciclo de vida completo de los datos sensibles: desde la generación segura y el almacenamiento cifrado hasta la rotación automatizada y los registros de auditoría. A medida que

Passwork BlogEirik Salmi

Conector Python 0.1.5: Gestión automatizada de secretos

La nueva versión 0.1.5 del conector Python amplía las capacidades de la utilidad CLI. Se han añadido comandos que resuelven tareas críticas para ingenieros DevOps y desarrolladores — recuperación segura y actualización de secretos en pipelines automatizados. Qué resuelve Los secretos codificados, las claves API, los tokens y las credenciales de bases de datos crean vulnerabilidades de seguridad y cuellos de botella operativos.

Passwork BlogEirik Salmi

Passwork 7.1.3 update is available in the Customer portal.

• Fixed an issue where a user's access level in vaults remained unchanged after the user was added as an administrator for that vault type

Passwork 7.2 release

The new version introduces customizable notifications with flexible delivery options, enhanced event logging descriptions, expanded CLI functionality, server-side PIN code storage for the browser extension, and the ability to enable client-side encryption during initial Passwork configuration. Notification settings We’ve added a dedicated notification settings section where you can choose notification

Passwork BlogEirik Salmi

Passwork: Secrets management and automation for DevOps

Introduction In corporate environment, the number of passwords, keys, and digital certificates is rapidly increasing, and secrets management is becoming one of the critical tasks for IT teams. Secrets management addresses the complete lifecycle of sensitive data: from secure generation and encrypted storage to automated rotation and audit trails. As

Passwork BlogEirik Salmi

Python connector 0.1.5: Automated secrets management

The new Python connector version 0.1.5 expands CLI utility capabilities. We’ve added commands that solve critical tasks for DevOps engineers and developers — secure retrieval and updating of secrets in automated pipelines. What this solves Hardcoded secrets, API keys, tokens, and database credentials create security vulnerabilities and operational bottlenecks.

Passwork BlogEirik Salmi

Das Update Passwork 7.1.2 ist im Kundenportal verfügbar.

• Option zum Deaktivieren von Erweiterungs-Content-Skripten auf Organisationsebene hinzugefügt
• Option zum Importieren von Passwörtern ohne Namen hinzugefügt
• Detailliertere Beschreibungen für einige Aktionen im Aktivitätsprotokoll hinzugefügt
• Einschränkung für clientseitige Änderungen an Berechtigungen und Einstellungen der eigenen Rolle hinzugefügt
• Fehlerhaftes Suchverhalten beim Hinzufügen von Benutzern zu einem Tresor oder Ordner behoben
• Problem behoben, das dazu führte, dass die Tabs „Aktionsverlauf" und „Versionen" unter bestimmten Umständen nicht angezeigt wurden
• Problem behoben, das zum Fehlschlagen des Downloads von Passwort-Anhängen führte, wenn die Hashes nicht übereinstimmten

Python Connector 0.1.5: Automatisiertes Secrets-Management

Die neue Python-Connector-Version 0.1.5 erweitert die Funktionen des CLI-Dienstprogramms. Es wurden Befehle hinzugefügt, die kritische Aufgaben für DevOps-Ingenieure und Entwickler lösen — sicheres Abrufen und Aktualisieren von Secrets in automatisierten Pipelines. Das Problem Hartcodierte Secrets, API-Schlüssel, Tokens und Datenbank-Anmeldedaten verursachen Sicherheitslücken und betriebliche Engpässe.

Passwork BlogEirik Salmi

Passwork 7.2 Release

Die neue Version führt anpassbare Benachrichtigungen mit flexiblen Zustelloptionen, verbesserte Beschreibungen der Ereignisprotokollierung, erweiterte CLI-Funktionalität, serverseitige PIN-Code-Speicherung für die Browser-Erweiterung und die Möglichkeit ein, die clientseitige Verschlüsselung bei der Ersteinrichtung von Passwork zu aktivieren. Benachrichtigungseinstellungen Es wurde ein eigener Bereich für Benachrichtigungseinstellungen hinzugefügt, in dem Sie Benachrichtigungen auswählen können

Passwork BlogEirik Salmi

Passwork: Secrets-Management und Automatisierung für DevOps

Einführung In Unternehmensumgebungen nimmt die Anzahl der Passwörter, Schlüssel und digitalen Zertifikate rasant zu, und Secrets-Management wird zu einer der kritischen Aufgaben für IT-Teams. Secrets-Management umfasst den gesamten Lebenszyklus sensibler Daten: von der sicheren Generierung und verschlüsselten Speicherung bis hin zur automatisierten Rotation und Audit-Protokollen. Da

Passwork BlogEirik Salmi

La actualización Passwork 7.1.2 está disponible en el portal de clientes.

• Se añadió una opción para desactivar los scripts de contenido de la extensión a nivel de organización
• Se añadió una opción para importar contraseñas sin nombres
• Se añadieron más detalles a algunas de las acciones en el registro de actividad
• Se añadió una restricción sobre los cambios del lado del cliente a los permisos y configuraciones de su propio rol
• Se corrigió un comportamiento de búsqueda incorrecto al añadir usuarios a una bóveda o carpeta
• Se corrigió un problema que causaba que las pestañas «Historial de acciones» y «Ediciones» no aparecieran en ciertos escenarios
• Se corrigió un problema que causaba que la descarga de archivos adjuntos de contraseñas fallara si los hashes no coincidían

Python connector 0.1.5: Gestión automatizada de secretos

La nueva versión 0.1.5 del conector Python amplía las capacidades de la utilidad CLI. Se han añadido comandos que resuelven tareas críticas para ingenieros DevOps y desarrolladores — recuperación y actualización segura de secretos en pipelines automatizados. Qué resuelve Los secretos codificados, claves API, tokens y credenciales de bases de datos crean vulnerabilidades de seguridad y cuellos de botella operativos.

Passwork BlogEirik Salmi

Lanzamiento de Passwork 7.2

La nueva versión introduce notificaciones personalizables con opciones de entrega flexibles, descripciones mejoradas del registro de eventos, funcionalidad CLI ampliada, almacenamiento del código PIN del lado del servidor para la extensión del navegador, y la capacidad de habilitar el cifrado del lado del cliente durante la configuración inicial de Passwork. Configuración de notificaciones Se ha añadido una sección dedicada de configuración de notificaciones donde puede elegir

Passwork BlogEirik Salmi

Passwork: Gestión de secretos y automatización para DevOps

Introducción En el entorno corporativo, el número de contraseñas, claves y certificados digitales está aumentando rápidamente, y la gestión de secretos se está convirtiendo en una de las tareas críticas para los equipos de TI. La gestión de secretos aborda el ciclo de vida completo de los datos sensibles: desde la generación segura y el almacenamiento cifrado hasta la rotación automatizada y los registros de auditoría. A medida que

Passwork BlogEirik Salmi

Passwork 7.1.2 update is available in the Customer portal.

• Added an option to disable extension content scripts on the organisation level
• Added an option to import passwords without names
• Added more details to some of the actions in the activity log
• Added a restriction on client-side changes to permissions and settings of your own role
• Fixed an incorrect search behavior when adding users into a vault or a folder
• Fixed an issue that caused "Action history" and "Editions" tabs not to appear under certain scenarios
• Fixed an issue that caused a password attachment download to fail if the hashes did not match

Python connector 0.1.5: Automated secrets management

The new Python connector version 0.1.5 expands CLI utility capabilities. We’ve added commands that solve critical tasks for DevOps engineers and developers — secure retrieval and updating of secrets in automated pipelines. What this solves Hardcoded secrets, API keys, tokens, and database credentials create security vulnerabilities and operational bottlenecks.

Passwork BlogEirik Salmi

Passwork 7.2 release

The new version introduces customizable notifications with flexible delivery options, enhanced event logging descriptions, expanded CLI functionality, server-side PIN code storage for the browser extension, and the ability to enable client-side encryption during initial Passwork configuration. Notification settings We’ve added a dedicated notification settings section where you can choose notification

Passwork BlogEirik Salmi

Passwork: Secrets management and automation for DevOps

Introduction In corporate environment, the number of passwords, keys, and digital certificates is rapidly increasing, and secrets management is becoming one of the critical tasks for IT teams. Secrets management addresses the complete lifecycle of sensitive data: from secure generation and encrypted storage to automated rotation and audit trails. As

Passwork BlogEirik Salmi

In der neuen Version wurde die Möglichkeit eingeführt, benutzerdefinierte Tresortypen mit automatisch zugewiesenen Administratoren zu erstellen. Zudem wurde die Vererbung von gruppenbasierten Zugriffsrechten und die Verarbeitung von TOTP-Code-Parametern verfeinert sowie zahlreiche Fehlerbehebungen und Verbesserungen vorgenommen.

Tresortypen

In Passwork 7.1 können Sie benutzerdefinierte Tresortypen mit flexiblen Einstellungen erstellen, die auf die Anforderungen Ihrer Organisation zugeschnitten sind:

• Jeder Tresortyp ermöglicht es Ihnen, dedizierte Administratoren zuzuweisen, Einschränkungen für die Tresorerstellung festzulegen und das Zugangslevel des Erstellers zu definieren
• Wenn Sie einen Tresor erstellen oder seinen Typ ändern, erhalten ausgewählte Unternehmensadministratoren automatisch Zugriff darauf. Andere Administratoren können deren Zugangslevel nicht herabsetzen oder sie vollständig entfernen
• Jetzt können Sie verschiedene Tresortypen für unterschiedliche Abteilungen oder Projekte einrichten, relevante Administratoren zuweisen und Berechtigungen für bestimmte Aufgaben konfigurieren

Anzeige aller Systemtresore

Es wurde die Möglichkeit hinzugefügt, alle innerhalb der Organisation erstellten Tresore anzuzeigen, einschließlich der privaten. Die Liste zeigt nur die Namen der Tresore sowie Benutzer und Gruppen an, die Zugriff darauf haben, während die Tresorinhalte weiterhin ausschließlich Benutzern mit direktem Zugriff zur Verfügung stehen. Dies eröffnet umfangreiche Möglichkeiten für systemweite Datenspeicheraudits. Der Zugriff auf die Tresorliste wird durch Rolleneinstellungen bestimmt.

Verbesserungen

• Die Logik der Vererbung von Zugriffsrechten aus mehreren Gruppen wurde verbessert: Wenn ein Benutzer Gruppen angehört, die sowohl „Vollständiger Zugang" als auch „Verboten" für ein bestimmtes Verzeichnis haben, wird nun das Zugangslevel „Verboten" angewendet
• Die Einstellungen „Erforderliches Zugangslevel zum Verlassen von Tresoren" und „Erforderliches Zugangslevel zum Kopieren von Ordnern und Passwörtern" wurden hinzugefügt
• Die Option wurde hinzugefügt, nicht authentifizierten Benutzern ein benutzerdefiniertes Banner anzuzeigen: Wenn die Option „Nicht authentifizierten Benutzern anzeigen" aktiviert ist, wird das Banner auf den Seiten für Anmeldung, Registrierung, Masterpasswort und Passwortzurücksetzung sichtbar sein
• Die Verarbeitung von Ziffern- und Punkt-Parametern während der TOTP-Code-Generierung wurde hinzugefügt
• Klickbare Links zu Tresoren, Ordnern, Passwörtern, Rollen, Gruppen und Benutzern in Benachrichtigungen wurden hinzugefügt
• Die Übertragung des Benutzersitzungsverlaufs bei der Migration von Passwork 6 wurde hinzugefügt

Fehlerbehebungen

• Ein Problem wurde behoben, bei dem die 2FA-Einrichtungsseite nicht angezeigt wurde, wenn man sich nach der Aktivierung von „Obligatorische 2FA" in den Rolleneinstellungen bei Passwork anmeldete
• Die fehlerhafte Zählung fehlgeschlagener Anmeldeversuche bei aktiver Einstellung „Limit für fehlgeschlagene Anmeldeversuche innerhalb eines bestimmten Zeitraums" wurde korrigiert
• Ein Problem wurde behoben, bei dem Sitzungen der mobilen App und der Browsererweiterung nach der Deaktivierung von „Mobile Apps aktivieren" und „Browsererweiterungen aktivieren" in den Rolleneinstellungen nicht zurückgesetzt wurden
• Ein Problem wurde behoben, bei dem das nach einem bestimmten Tresor gefilterte Aktivitätsprotokoll Ereignisse aus Ordnern innerhalb des Tresors anzeigte: Jetzt werden nur Ereignisse auf der ausgewählten Verschachtelungsebene angezeigt
• Ein Problem wurde behoben, bei dem die Suche nach Farb-Tag bei einigen Passwörtern nicht funktionierte
• Ein Problem wurde behoben, bei dem Benutzerdaten bei der LDAP-Anmeldung aktualisiert werden konnten, obwohl die Einstellung „Benutzeränderung während LDAP-Synchronisierung zulassen" deaktiviert war
• Ein Problem im Exportfenster wurde behoben, bei dem das Abwählen aller Ordner innerhalb eines Tresors auch den Tresor selbst abwählte
• Das fehlerhafte Verhalten der Einstellung „Automatisch nach Inaktivität abmelden" wurde korrigiert
• Die fehlerhafte Anzeige von Notizen wurde korrigiert
• Die fehlerhafte Weiterleitung zum ursprünglichen Verzeichnis des Passworts oder Shortcuts nach dem Bearbeiten dieser Elemente in Favoriten wurde korrigiert
• Ein Problem wurde behoben, bei dem das Löschdatum von Elementen im Papierkorb während der Migration von Passwork 6 zurückgesetzt wurde

Alle Informationen zu Passwork-Updates finden Sie in unserer technischen Dokumentation.

The 2025 small business cybersecurity checklist: A complete guide | Passwork

Passwork's 2025 cybersecurity checklist, based on the NIST framework, provides actionable steps to prevent data breaches and financial loss.

Passwork BlogEirik Salmi

Passwork 7.2 release

The new version introduces customizable notifications with flexible delivery options, enhanced event logging descriptions, expanded CLI functionality, server-side PIN code storage for the browser extension, and the ability to enable client-side encryption during initial Passwork configuration. Notification settings We've added a dedicated notification settings section where you can choose notification

Passwork BlogEirik Salmi

Python connector 0.1.5: Automated secrets management

The new Python connector version 0.1.5 expands CLI utility capabilities. We've added commands that solve critical tasks for DevOps engineers and developers — secure retrieval and updating of secrets in automated pipelines. What this solves Hardcoded secrets, API keys, tokens, and database credentials create security vulnerabilities and operational bottlenecks.

Passwork BlogEirik Salmi