Password Pusher Logo
Om Password Pusher
Gå videre. Send e-post til et annet passord.

ofte stilte spørsmål

Tillit og sikkerhet

Password Pusher eksisterer som et bedre alternativ til å sende passord enn via e-post.

E-post med passord er iboende usikkert. Den største risikoen inkluderer:

  • E-postpassord sendes vanligvis med kontekst til det de går til eller kan potensielt avledes fra e-postbrukernavn, domene osv...
  • E-post er iboende usikker og kan bli fanget opp på flere punkter av ondsinnede enheter.
  • E-postede passord lever i evighet (les: evig) i e-postarkiver.
  • Passord i e-post kan hentes og brukes senere hvis en e-postkonto blir stjålet osv.

De samme risikoene vedvarer når du sender passord via SMS, WhatsApp, Telegram, Chat osv... Dataene kan og er ofte evigvarende og utenfor din kontroll.

Ved å bruke Password Pusher omgår du alt dette.

For hvert passord som er lagt ut til Password Pusher, det genereres en unik URL som bare du kjenner. I tillegg, passord utløper etter at et forhåndsdefinert sett med visninger er truffet eller tiden har utløpt. Når de er utløpt, slettes passord umiddelbart

Hvis det høres interessant ut for deg, kan du prøve det eller se de andre ofte stilte spørsmålene nedenfor.

Og med rette. All god sikkerhet begynner med sunn skepsis til alle involverte komponenter.

Password Pusher eksisterer som et bedre alternativ til å sende passord via e-post. Det unngår at passord eksisterer i e-postarkiver i evighet. Den eksisterer ikke som en fullstendig sikkerhetsløsning.

Password Pusher er åpen kildekode slik at kilden kan gjennomgås offentlig og alternativt kan kjøres internt i din organisasjon.

Når de er utløpt, slettes passord umiddelbart I tillegg genereres tilfeldige URL-tokens i farten, og passord legges ut uten kontekst for bruken.

Et notat for de som er interessert i ekstrem sikkerhet: det er ingen måte jeg pålitelig kan bevise at opensource-koden er den samme som kjører på pwpush.com (dette er sant for alle nettsteder i virkeligheten). Det eneste jeg kan gi i denne forbindelse er mitt offentlige rykte på Github, LinkedIn, Twitter og min blogg. Hvis dette er en bekymring for deg, kan du gjerne gå gjennom koden, legge ut spørsmål du måtte ha og vurdere å kjøre den internt i organisasjonen din i stedet.

Verktøy og applikasjoner

Absolutt. Password Pusher har en rekke applikasjoner og kommandolinjeverktøy (CLI) som har grensesnitt med pwpush.com eller privatdrevne instanser. Push passord fra CLI, Slack, Alfred App og mer.

Se vår Verktøy og applikasjoner side for mer informasjon.

Ja. Ved å bruke de tidligere nevnte verktøyene integrerer mange brukere og organisasjoner Password Pusher i sine sikkerhetspolicyer og -prosesser.

Den Verktøy siden skisserer ressursene som er tilgjengelige for å automatisere sikker distribusjon av passord.

Det er ingen grenser for øyeblikket, og jeg har ingen intensjon om å legge til noen. For å minimalt sikre nettstedets stabilitet, er Password Pusher konfigurert med en hastighetsbegrenser som standard.

Kjøre din egen private instans

Ja. Vi sørger for Docker containere og installasjonsinstruksjoner for et bredt utvalg av plattformer og tjenester.

hint: docker run -p 5100:5100 pglombardo/pwpush-ephemeral:latest

Kildekoden er utgitt under GNU General Public License v3.0, og det definerer stort sett alle begrensninger. Det er ganske mange rebrandede og redesignede klonesider av Password Pusher, og jeg ønsker dem alle velkommen.

Noen organisasjoner er bundet av sikkerhetspolicyer som forbyr bruk av offentlige tjenester for sensitiv informasjon som passord. Det er til og med organisasjoner som krever at alle verktøy er på private intranett uten tilgang til omverdenen.

Det er av disse grunnene vi gir muligheten (og oppmuntrer) brukere og organisasjoner til å kjøre private forekomster når det er nødvendig.

Å kjøre en privat forekomst av Password Pusher for din bedrift eller organisasjon gir deg tryggheten ved at du vet nøyaktig hvilken kode som kjører. Du kan konfigurere og kjøre det som du vil.

På den annen side, hvis forekomsten din blir hacket, har ondsinnede enheter nå en målrettet ordbok med passord for å brute force-kontoer i organisasjonen din. Merk at dette vil være begrenset til push som ennå ikke har nådd utløpsgrensene.

I denne forbindelse kan den offentlige forekomsten på pwpush.com være bedre enn den inneholder bare passord uten identifiserende informasjon blandet blant brukere fra hele verden.

Brukeren bør nøye veie fordeler og ulemper og bestemme hvilken rute som er best for dem. Vi støtter gjerne begge strategiene.

Annen

Absolutt. Hvis du trenger noen ressurser som statistikk, grafikk eller noe annet, ikke nøl med å kontakte meg: pglombardo på pwpush.com.

Svært sannsynlig. Jeg elsker å høre alle ideer og tilbakemeldinger. Hvis du har noen, vennligst send dem til Github repository og jeg vil svare så snart som mulig.

Jeg gjør ikke det. Dette er bare et prosjekt jeg jobber med på fritiden bygget for fellesskapet. Månedlige kostnader er $34/måned for Heroku-hosting, og all tid/innsats jeg har lagt ned eller vil legge ned på å utvikle verktøyet er frivillig/donert.

Jeg har tenkt på å flytte nettstedet til en Digital Ocean-dråpe, men Heroku gjør det så enkelt. Ingen konfigurering av Apache/nginx, distribusjon av skript, overvåkingstjenester osv...

2021-oppdatering: Den trafikken har vokst til et beløp hvor 1 Heroku dyno ikke lenger er tilstrekkelig. 2x profesjonelle dynos og postgres-tillegget har nå prosjektet opp til $59/måned. På lengre sikt må jeg finne en måte å redusere kostnadene på - kanskje en eventuell migrering til Digital Ocean som har mye bedre ytelse