12 Февраля 2013 / Интервью

EZ-Login: мечта параноика 

Антон Марченко Автор / Антон Марченко
Антон Марченко - сооснователь компании EZ-Login.
EZ-Login: мечта параноика
Паранойя в области IT-безопасности – это хорошо, уверен Антон Марченко, руководитель проекта EZ-Login. С помощью технологии Single sign on, Единый Вход, SaaS-сервисы пользователя доступны ему в один клик через платформу EZ-Login без дополнительных логинов, паролей и URL, но, как утверждают создатели EZ-Login, это в конечном счете гораздо проще и безопаснее, нежели записывать пароли на стикеры или пытаться их запомнить.

H49d_5%UT67MAD

Меня давно мучал вопрос, как запомнить/сохранить пароли к своим аккаунтам на самым разных консюмерских- и бизнес- онлайн-сервисах, которых вагон и маленькая тележка. Обычный человек способен воспроизвести на память 3-5 несложных паролей, но, как показывают наши исследования, в среднем современный пользователь имеет до 20 аккаунтов, да и сервисы все чаще предъявляют повышенные требования к безопасности, заставляя составлять сложные пароли с большим количеством разных символов. Практика показывает: люди делятся на две категории. К первой относятся те пользователи, которые на тему своих паролей вообще не заморачиваются – обычно они используют один и тот же пароль фактически ко всем сервисам. Эти люди размышляют примерно так: «мне лень помнить много паролей, и ничего страшного, если я когда-то потеряю свои данные, да и кому они нужны?». Вторая группа – параноики, люди у которых очень много чудовищно замороченных паролей, запомнить которые невозможно, и, чтобы не держать весь этот мусор в голове, они записывают их на стикерах, заводят специальный документ на рабочем столе, разрабатывают какие-то сложные схемы запоминания в голове и пр. Второй, а вообще-то первый и главный вопрос – это даже не вопрос сложности запоминания, а вопрос безопасности. Мы выделили несколько признаков того, что вам нужно использовать решение для менеджмента учетных записей. Если хотя бы три из них про вас – это абсолютный маркер того, что равно или поздно ваши «учетки» «уведут». Среди них – если в вашем офисе бывают посторонние люди, в компании нет системы DLP, если ваши сотрудники работают удаленно или используют больше трех SaaS и т.д. Кроме того, компании которые одобряют использование BYOD и мобильных устройств на работе, рискуют вдвойне – телефоны крадут. Я уже не говорю про хулиганские взломы.

Малый бизнес и SaaS-сервисы

Мы вышли из эпохи установленного ПО на локальных компьютерах корпоративных сетей, и сейчас все больше и больше людей стало пользоваться внешними сервисами, которыми компания не может никак управлять. Если крупная компания может позволить себе крутое ПО и просто не пользоваться SaaS-решениями, то для малого бизнеса это уже проблема. Ту же бухгалтерию можно вести в 1С, но для компании из 10 человек это неудобно: нужно где-то держать сервер, нанимать человека, который будет обслуживать программу и т.д.

Мы подумали, что можем решить две проблемы сразу. Есть проблемы у конкретных частных потребителей, которые не хотят запоминать пароли – никто не хочет держать в голове 15 каких-то непонятных буквенно-символьных комбинаций. С другой стороны, есть владельцы бизнесов, у которых такая головная боль есть, но они либо не обращают на нее внимания, либо уверены, что инструмента контроля у них нет. Мы не фокусируемся на сегменте крупных корпораций, для которых чаще всего разрабатываются собственные решения по безопасности, а сосредоточены на СМБ-сегменте. Наш сервис подходит малому бизнесу, равно как им может пользоваться и любое частное лицо. Речь идет о сервисе, который является посредником между внешними сервисами и пользователем или внешними сервисами и компанией.

Рабочий стол: EZ-login

При запуске сервиса EZ-Login через web-браузер у пользователя открывается обычный рабочий стол с ярлычками-программами: «Мегаплан», Gmail, Dropbox и пр. Пользователь кликает на ярлык, залогинивание происходит без его участия. При этом логины и пароли не сохраняются ни на одном компьютере, то есть, если вы входите в свою почту на Gmail с компьютера друга, но через рабочий стол EZ-Login, то пароли не сохраняются, и специально разлогиниваться не нужно. Пароль от нашего сервиса точно не сохраниться, потому что это принудительно запрещено. Кстати, стандартная история – вирусы очень любят воровать пары логин/пароль и куда-нибудь их потом отправлять – так вот у в нашем web-сервисе нигде нет такой формы, чтобы вирус мог догадаться, что это пара логин/пароль.

Зачем Васе CRMдома?

Мы гарантируем безопасное хранение данных от аккаунта пользователя: работа идет только по шифрованным каналам. Если необходимо, мы можем подключить услугу одноразового пароля – то есть человек при каждом входе в сервис должен получить смс с одноразовым паролем, действующим в течение двух минут. Данные от учетной записи на EZ-Login можно увести, но если под рукой вора не окажется еще и авторизованного мобильника, в сервис он не попадет. Ведется учет всех действий пользователя – все его входы: откуда, с какого компьютера, сколько времени он провел в том или ином приложении, сколько было попыток ввода пароля, сколько сервисов он запускал, когда из них выходил и так далее. Мы всегда можем назначить правило, к примеру, если человек заходит не с определенного IP-шника, сисадмину будет отправлено уведомление. Владелец компании имеет возможность завести две учетных записи: одна администраторская, вторая – юзерская. Администратор задает все сервисы для пользователей со всеми их учетными данными. Худшее, что может случиться в этом случае – кто-то войдет в учетную запись одного из юзеров, но не сможет внести никаких изменений. Плюс, администратор может задать привязку к конкретным IP-адресам и таким образом исключить возможность входа не с авторизованных машин.

Бизнес

Бизнесу EZ-Login помогает контролировать сотрудников: сколько часов сегодня Петя провел в CRM, а сколько на Facebook, когда Вася заходил в бухгалтерскую программу, а когда на Одноклассники.ру и так далее. Причем, у Васи не будет возможности зайти в тот или иной SaaS-сервис, которым пользуется его компания, минуя EZ-Login, потому что он не будет знать пароля, ведь ему доступен только пользовательский аккаунт, тогда как администраторские права находятся у руководителя. Для «частника» сервис ценен тем, что ему не нужно запоминать пароли к множеству сервисов, которыми он пользуется, плюс, его пароли не сохраняются, если он заходил в аккаунт того или иного сервиса с чужого компьютера.

Интеграция с сервисами

Мы сами проводим интеграции с внешними сервисами – у нас подключены как стандартные консюмерские сервисы вроде соцсетей, почтовых сервисов Yandex и Mail.ru, так и специализированные SaaSы, которые интересны для бизнеса. Есть несколько уровней интеграций с сервисами, все зависит от того, насколько тот или иной дружелюбен по отношению к другим разработчикам. Самый простой, когда сам облачный сервис не предполагает никакой внешней интеграции. Эта ситуация характера для пользовательских сервисов вроде Mail.ru, которая не позволяет внешнему приложению залезать в его «кишки». В этом случае мы получаем с сервера зашифрованные данные и как будто бы вводим их в браузере за пользователя. Если сервис достаточно продвинутый, чтобы аутентифицироваться на уровне сервер-сервер, а не на уровне клиент-сервер, мы используем технологии SAML и OAuth. В этом случае передачи никаких учетных данных не происходит. Правда делать это кроме Google мало, кто умеет. Третий путь – путь серьезной интеграции с сервисом, когда у него есть развитый внешний API. В этом случае администратор из своего пользовательского аккаунта в EZ-Login может полноценно управлять этим сервисом. В публичном каталоге EZ-Login сегодня порядка 70 сервисов. До конца года планируем довести эту цифру до 300-400. Понятно, что не все, что используют в US, имеет смысл предлагать российскому пользователю, и уж точно практически все российские сервисы не интересны американскому рынку. Каждой стране мы выставляем независимые витрины, несмотря на то, что речь идет об одной платформе EZ-Login, так что запустить новый сервис в новой стране – для нас вопрос не технологического характера, а, скорее, экономического.

Есть проблема: люди не понимают, что у них есть проблема

Есть две проблемы. Первая – люди не очень понимают, что у них есть такая проблема, они говорят: а зачем мне какой-то внешний сервис, который будет хранить мои пароли? Вторая сложность – владельцы бизнесов не очень понимают, зачем им нужно контролировать своих сотрудников. Они не понимают, зачем им нужно знать, что их подчиненный в нерабочее время из дома заходит в CRM и что-то там копает. Оказывается, не для всех владельцев бизнеса очевидно, что у них таким образом, может быть, уводят базу клиентов. Малый бизнес – в некотором смысле не самый благодарный рынок. С одной стороны, он не формализован и не так запротоколирован, как крупные корпорации, с другой – часто владельцы небольших компаний не готовы к инновационным решениям, и к тому же пытаются экономить на всем.

Поиск рынков

Мы прежде всего ориентированы на Запад. То, что мы выходим сейчас на Россию – это скорее неожиданность, нежели запланированный ход. Начинали не в России – готовность к таким сервисам у нас пока низка, и критической массы пользователей SaaS-сервисов не набралось.

Похожие западные сервисы больше ориентированы на сегмент крупных компаний. Чаще всего они требуют инженеров для обслуживания ПО, и им интересны большие абоненты от пользователей. Мы прошлись по географии Softline – нашего главного инвестора и партнера – остановились на Сингапуре, «Азиатской Америке», и Малайзии. В Азии мы запустились осенью 2012 года, сейчас сервис набирает там свою клиентскую базу. В общей сложности в обеих странах всего порядка 800 тыс. бизнесов, рынок небольшой, из них наш инструмент может быть интересен лишь десятой части. Рынок очень специфический: в двух странах есть в общей сложности три десятка очень крупных госкорпораций и частных государственных партнерств, а все остальное – это компании из 10-15 человек. Процент малого бизнеса грандиозный – переваливает за 70%, но по большей части нам не профильный. Средний бизнес в Малайзии фактически отсутствует как сегмент. Признаюсь честно, мы еще не до конца понимаем, будем ли развивать свой бизнес именно там. Одна из проблем, с которой мы столкнулись – пользователи ведут себя очень по-разному на разных рынках и по-разному пользуются нашим продуктом. Сложно планировать развитие и наращивать клиентскую базу одновременно в Азии, США и России, но именно это мы сейчас и пытаемся делать. Разные рынки требуют разного подхода. Очень неспешно выходим в США. В США рынок очень большой и развитый, но там есть другие проблемы – там не нужно объяснять, что такое безопасность, но и степень доверия к неизвестным компаниям намного ниже. «Кто вы? Какой EZ-Login? У нас есть Symantec, «Касперский» и Microsoft, а вы нам кажется слишком подозрительными», – довольно распространенная история. Там набор проблем другой. Кроме того, в США уже есть аналоги нашего сервиса, порядка 10 компаний, но большая часть из них говорит своим потенциальным клиентам: «У вас меньше двух тысяч рабочих мест? Извините, вы нам неинтересны». Им интересно работать с компаниями, где средний чек будет не меньше пяти тысяч долларов в месяц.

Бизнес-модель

Наш продукт не может быть слишком дорогим, это middleware – он не может стоить столько же, сколько стоит CRM-система. В этой истории можно зарабатывать на массовости: ты либо продаешь очень много мелким клиентам, либо продаешь большие контракты крупным компаниям. Мы начинали с модели, когда человек платит за количество подключенных сервисов, но очень быстро от нее отказались. Сейчас плата взимается с пользователя и за какие-то дополнительные функции. Бизнес-модель EZ-Login похожа на бизнес-модель Dropbox – частники пользуются базовым функционалом бесплатно. Для бизнеса функционал более расширенный и гибкий. Например, те же SMS с одноразовым паролем, очевидно, стоят каких-то денег, и компания просто покупает пакет на 1000 сообщений – тысячу входов за месяц. Пока в России мы запускаемся только с бесплатной версией. Для США характерный ценник – $5 за пользователя в месяц. В Enterprise-сегменте в США это уже сейчас живой миллиардный рынок. Если говорить про СМБ-сегмент, он не меньше первого по объему. Сколько мы готовы «откусить» – пока говорить рано, но речь идет о десятках тысяч компаний.

Проект можно изучить здесь http://ez-login.com

Комментарии