A Password Pusher a jelszavak e-mailben történő küldésének jobb alternatívája.

A jelszavak e-mailben történő küldése eredendően nem biztonságos. A legnagyobb kockázatok közé tartozik:

• Az e-mailben küldött jelszavakat általában kontextussal együtt küldik el, hogy hova valók, vagy származhatnak e-mail felhasználónévből, domainből stb.
• Az e-mail természeténél fogva nem biztonságos, és rosszindulatú entitások több ponton is elfoghatják.
• Az e-mailben elküldött jelszavak sokáig (értsd: örökké) élnek az e-mail archívumokban.
• Az e-mailekben lévő jelszavak visszakereshetők és később felhasználhatók, ha egy e-mail fiókot ellopnak, feltörnek stb.

Ugyanezek a kockázatok továbbra is fennállnak, ha SMS-ben, WhatsApp-on, Telegram-on, Chat-en stb. küld jelszavakat… Az adatok gyakran örökre maradhatnak, és az Ön ellenőrzésén kívül maradnak.

A Password Pusher használatával mindezt megkerüli.

A Password Pusher szolgáltatásban elküldött minden egyes jelszó esetében, egyedi URL jön létre, amelyet csak Ön ismerhet. Ezenkívül a jelszavak egy előre meghatározott megtekintés szám elérése vagy idő elteltével járnak le. A lejárt jelszavak egyértelműen törlődnek.

Ha ez érdekesnek tűnik, próbálja ki, vagy tekintse meg az alábbi gyakran ismételt kérdéseket.

És jogosan. Minden jó biztonság az összes érintett összetevővel szembeni egészséges szkepticizmussal kezdődik.

A Password Pusher a jelszavak e-mailben történő küldésének jobb alternatívája. Ezzel elkerülhető, hogy a jelszavak örökre jelen legyenek az e-mail archívumokban. Nem nyújt teljes körű biztonsági megoldást.

A Password Pusher nyílt forráskódú így a forrás nyilvánosan áttekinthető, vagy akár a szervezeten belül is futtatható.

A jelszavak lejártát követően egyértelműen törlődnek az adatbázisból. Ezenkívül a véletlenszerű URL-tokeneket menet közben generálják, és a jelszavakat kontextus nélkül teszik közzé a használatukhoz.

Megjegyzés azoknak, akiket érdekel a rendkívüli biztonság: semmilyen módon nem tudom megbízhatóan bizonyítani, hogy a nyílt forráskód ugyanaz, mint a pwpush.com-on (ez a valóságban minden webhelyre igaz). Az egyetlen dolog, amit e tekintetben nyújthatok, az a nyilvános hírnevem Github, LinkedIn, Twitter és a blogom. Ha ez aggodalomra ad okot, nyugodtan tekintse át a kódot, tegye fel kérdéseit, és fontolja meg a szervezeten belüli futtatást.

Minenképpen! A Password Pusher számos alkalmazást és parancssori segédprogramot (CLI) tartalmaz, amelyek a pwpush.com webhelyhez vagy privát módon futtatott példányokhoz kapcsolódnak. Jelszavak küldése a CLI, a Slack, az Alfred alkalmazásból és egyebekből.

Lásd a mi Eszközök és alkalmazások oldalon további részletekért.

Igen. A korábban említett eszközök segítségével sok felhasználó és szervezet integrálja a Password Pushert biztonsági szabályzataiba és folyamataiba.

Az Eszközök oldal ismerteti a jelszavak biztonságos elosztásának automatizálásához rendelkezésre álló erőforrásokat.

Jelenleg nincsenek korlátozások, és nem is áll szándékomban hozzáadni. A webhely stabilitásának minimális biztosítása érdekében a Password Pusher alapértelmezés szerint sebességkorlátozóval van konfigurálva.

Igen. Biztosítjuk Docker konténerek és Telepítési útmutató platformok és szolgáltatások széles skálájához.

tipp: docker run -p 5100:5100 pglombardo/pwpush-ephemeral:latest

A forráskód a GNU General Public License v3.0 alatt jelent meg, és ez nagyjából meghatároz minden korlátozást. A Password Pusher-nek számos újramárkázott és újratervezett másolata van, és üdvözlöm őket.

Egyes szervezeteket olyan biztonsági szabályzatok kötnek, amelyek tiltják a publikus szolgáltatások használatát érzékeny információk, például jelszavak céljára. Vannak még olyan szervezetek is, amelyeknek minden eszköznek magán intraneten kell lennie anélkül, hogy hozzáférne a külvilághoz.

Ezen okok miatt biztosítjuk (és bátorítjuk) a felhasználókat és szervezeteket, hogy szükség esetén privát példányokat futtassanak.

A Password Pusher privát példányának futtatása vállalata vagy szervezete számára nyugalmat biztosít, hogy pontosan tudja, milyen kód fut. Tetszés szerint konfigurálhatja és futtathatja.

Másrészt, ha a példányát feltörik, a rosszindulatú entitások mostantól célzott jelszavakat tartalmazó szótárral rendelkeznek, amellyel brute force módszerrel próbálkozhatnak a fiókokon a szervezetében. Vegye figyelembe, hogy ez azokra a küldésekre korlátozódik, amelyek még nem érték el a lejárati korlátot.

Ebben a tekintetben a pwpush.com nyilvános példánya jobb lehet, mert csak jelszavakat tartalmaz, anélkül, hogy a világ minden tájáról származó felhasználók között azonosító információkat tartalmazna.

A felhasználónak gondosan mérlegelnie kell az előnyöket és hátrányokat, és el kell döntenie, hogy melyik útvonal a legjobb a számára. Örömmel támogatjuk mindkét stratégiát.

Mindenképp! Ha bármilyen erőforrásra van szüksége, például statisztikákra, grafikákra vagy bármi másra, ne habozzon kapcsolatba lépni velem: pglombardo at pwpush.com.

Nagyon valószínű. Szeretek hallani minden ötletet és visszajelzést. Ha van ilyen, kérjük, küldje el a Github adattár és a lehető leghamarabb válaszolok.

Én nem. Ez csak egy projekt, amin a szabadidőmben dolgozom, a közösségnek építettem. A Heroku-tárhely havi költsége 34 USD/hó, és minden idő/erőfeszítés, amit az eszköz fejlesztésébe belefektettem vagy bele fogok fordítani, önkéntes/adományozott.

Gondolkodtam azon, hogy áthelyezzem az oldalt egy Digital Ocean droplet-re, de a Heroku annyira egyszerűvé teszi. Nem kell konfigurálni az Apache/nginx-et, telepíteni szkripteket, figyelni szolgáltatásokat stb.

2021-es frissítés: Az nőtt a forgalom olyan mennyiségre, ahol 1 Heroku dyno már nem elegendő. A 2x professzionális dynók és a postgres kiegészítő immár akár 59 dollár/hó árat is biztosítanak a projektnek. Hosszabb távon módot kell találnom a költségek csökkentésére – esetleg át kell térnem a Digital Ocean-ra, amely igen sokkal jobb teljesítmény…