Pro začátek jsem si vybral jako nejslibnější LastPass Enterprise, otevřel jsem v něm trial a začal naplno testovat. Hned na úvod musím říct, že zatím v podstatě sám, resp. pár kolegů se přidalo, ale týmové interakce jsme si moc neužili (na závadu to ale myslím není).

První dojmy bych shrnul asi takto – Přes naději, že to bude snadný výběr na první dobrou, se ukázalo, že LastPass Enterprise je sice obstojným produktem, který si umím jako náš týmový password manager představit, nicméně naděje ve snadné vítězství se nepotvrdila a mám nutkání zkusit i něco dalšího.

Nalezená pozitiva

1. Enterprise feature-rich. Kromě mnoha nastavení v Admin Console to má třeba i podporu SAML a REST API.
2. Cena. Ve srovnání s ostatními zvažovanými je $2/user/month jedna z nejnižších.
3. Podpora prakticky všech platforem. Extensions prakticky pro všechny browsery, aplikace pro všechny mobilní platformy. Za mě třeba iOS dobrý – podporuje fingerprint ověřování i doplňování hesel do Safari.
4. Možnost asociace soukromého účtu. Je myslím výhoda, že lze LastPass bez obav používat rovnou i jako osobní password manager s tím, že soukromá hesla si člověk ukládá do asociovaného osobního účtu a nemusí se obávat, že by se na ně někdo z firmy dostal, nebo že by o ně přišel při odchodu z firmy.
5. Umí víceméně vše, co potřebujeme. Sdílená hesla, vlastní hesla a při troše fantazie lze vyřešit i emergency (break glass) access.
6. Dospělý produkt. Mají zjevně hodně uživatelů, včetně Enterprise edice. Přežili ve zdraví už i nějaký ten breach. Nějakou dobu už existují a vypadá to, že existovat budou.

Nalezená negativa

1. Logika “nejrestriktivnějšího oprávnění” na sdílených složkách. Asi nejhorší věc, na kterou jsem zatím narazil, je pravidlo „most restrictive rule applies“ při nastavování oprávnění na sdílené složky. Prakticky to znamená, že pokud máte skupinu Team-A a z jejích členů ještě vyberete skupinu Team-A-Power-Users, tak pokud na sdílené složce dáte právo read skupině Team-A a k tomu právo write skupině Team-A-Power-Users, tak všichni členové Team-A-Power-Users, kteří jsou i členy Team-A ztrácí právo write a uplatní se jim restriktivnější read. Toto chování mi potvrdil i support a zatím se marně snažím dobrat nějakého schématu skupin, jak se vyhnout maintenance hell (Team-A-Except-Power-Users). Zapomeňte na skupinu Everyone, že by se jí dalo dát právo read.
2. Horší UX v některých situacích. Např. navigace ve složkách, kopírování hesla přes schránku, atp. Částečně to trpí i tím, že desktopová aplikace je „jen“ extension v browseru. I po týdnu používání docela dost často hledám běžné funkce.
3. Není přímá podpora break-glass emergency přístupu. Edice Enteprise má dokonce vypnutou i Emergency Access feature, která je u osobních účtů pro případ úmrtí uživatele. Není to sice klasický break-glass, ale s nulovou čekací dobou by se to využít dalo. Je to v podstatě i cesta, jak to celé obejít a uspořádat – vytvořit dedikovaný „osobní“ (non-Enterprise) účet, do kterého se uloží příslušný break-glass přístup a v podstatě úplně mimo Enterprise se nastaví Emergency Access s nulovou nebo minimální čekací dobou.

Neutrální aspekty

1. Reagující support. Za ten týden jsem přes support řešil dva dotazy a reportoval jeden bug. Chybu akceptovali hned a předali do vývoje, dotazy odpovídají zpravidla do 24 hodin a je to takový klasický helpdesk – templatované odpovědi, žádná hluboká snaha o metodickou pomoc (např. s tím pravidlem o restriktivnějších oprávněních, nebo jak uspořádat break-glass).
2. Data lze zálohovat. Není to sice žádný zázrak, ale celý účet lze exportovat do šifrovaného souboru, který lze pak i offline otevřít v jejich portable klientovi. Lze tak tedy vytvořit offline zálohu, byť zřejmě jen pro jednotlivý účet, nikoliv celou firmu.

Jako další zkusím asi 1Password Team. Mají do 15/OCT akci, že všichni Team zákazníci dostávající life-time edici Pro za cenu Standard, tak abych to případně stihnul využít.

Mimochodem: Tenhle blogpost jsem nakonec psal ve webovém editoru WordPressu, přestože jsem ho rozepsal v Open Live Writeru. Poslední dobou fakt už nějak nemám trpělivost s tím jeho různým przněním flow a formátování při přechodech mezi odstavci, nadpisy, atp.