Przekazywacz Haseł to lepsza alternatywa dla przesyłania haseł poprzez e-mail.

Wysyłanie haseł e-mailem nie jest bezpieczną metodą. Do największych zagrożeń należą::

• Hasła wysyłane pocztą e-mail są zwykle wysyłane wraz z kontekstem, którego dotyczą lub mogą potencjalnie być powiązane z nazwą użytkownika poczty e-mail, domeny itp.
• Poczta e-mail z natury nie jest bezpieczna i może zostać przechwycona w wielu miejscach przez stronę trzecią.
• Hasła wysyłane pocztą e-mail żyją wiecznie (czytaj: zostają na zawsze) w archiwach poczty e-mail.
• Hasła przesyłane w wiadomości e-mail mogą zostać później przechwycone i wykorzystane, jeśli konto e-mail zostanie przejęte, odgadnięte zostanie do niego hasło itp.

To samo ryzyko występuje podczas wysyłania haseł przez SMS, WhatsApp, Telegram, Czat itp. Dane mogą pozostać i często pozostają tam na zawsze i są poza Twoją kontrolą.

Używając narzędzia Przekazywacz Haseł, omijasz to wszystko.

Dla każdego hasła wysłanego przez Przekazywacz Haseł, generowany jest unikalny adres URL, który znasz tylko Ty. Dodatkowo, hasła wygasają po upłynięciu czasu lub określonej liczby wyświetleń. Po wygaśnięciu hasła są definitywnie usuwane.

Jeśli brzmi to dla Ciebie interesująco, wypróbuj go lub zapoznaj się z innymi często zadawanymi pytaniami poniżej.

I słusznie. Każde dobre zabezpieczenie zaczyna się od zdrowego sceptycyzmu wobec wszystkich elementów.

Przekazywacz Haseł to lepsza alternatywa dla przesyłania haseł przez e-mail. Pozwala to uniknąć wiecznego istnienia haseł w archiwach poczty e-mail.

Przekazywacz Haseł jest oprogramowaniem typu open source. więc źródło może być publicznie przeglądane i alternatywnie może być uruchamiane wewnętrznie w Twojej organizacji.

Po wygaśnięciu hasła są definitywnie usuwane z bazy danych. Dodatkowo losowe tokeny URL są generowane na bieżąco, a hasła są publikowane bez kontekstu do ich użycia.

Uwaga dla osób zainteresowanych ekstremalnym bezpieczeństwem: nie ma sposobu, abym wiarygodnie udowodnił, że kod open source jest taki sam, jak działa na pwpush.com (dotyczy to wszystkich witryn). Jedyne, co mogę w tym zakresie zapewnić, to moja publiczna reputacja na Github, LinkedIn, Twitter i mój blog. Jeśli jest to dla Ciebie problem, zapoznaj się z kodem, opublikuj wszelkie pytania i rozważ uruchomienie go wewnętrznie w swojej organizacji.

Absolutnie. Password Pusher zawiera wiele aplikacji i narzędzi wiersza poleceń (CLI), które współpracują z pwpush.com lub uruchamianymi prywatnie instancjami. Przesyłaj hasła z CLI, Slacka, aplikacji Alfred i nie tylko.

Zobacz nasze Narzędzia i aplikacje stronę po więcej szczegółów.

Tak. Korzystając z wcześniej wspomnianych narzędzi, wielu użytkowników i organizacji integruje narzędzie Przekazywacz Haseł ze swoimi politykami i procesami bezpieczeństwa.

ten Narzędzia Strona przedstawia dostępne zasoby do automatyzacji bezpiecznej dystrybucji haseł.

Obecnie nie ma limitów i nie mam zamiaru ich dodawać. Aby zapewnić minimalną stabilność witryny, Przekazywacz Haseł jest domyślnie skonfigurowany z ogranicznikiem szybkości.

Tak. Zapewniamy Kontenery Dockera i instrukcje Instalacji dla szerokiej gamy platform i usług.

wskazówka: docker run -p 5100:5100 pglombardo/pwpush-ephemeral:latest

Kod źródłowy jest udostępniany na licencji GNU General Public License v3.0 i to w zasadzie definiuje wszelkie ograniczenia. Istnieje wiele rebrandowanych i przeprojektowanych witryn z klonami Przekazywacza Haseł i wszystkie je pozdrawiamy.

W niektórych organizacjach obowiązują zasady bezpieczeństwa, które zabraniają korzystania z usług publicznych w przypadku poufnych informacji, takich jak hasła. Istnieją nawet organizacje, które wymagają, aby wszystkie narzędzia znajdowały się w prywatnych intranetach bez dostępu do świata zewnętrznego.

Z tych powodów umożliwiamy (i zachęcamy) użytkowników i organizacje do uruchamiania prywatnych instancji w razie potrzeby.

Uruchomienie prywatnej instancji Przekazywacza Haseł w Twojej firmie lub organizacji daje pewność, że wiesz dokładnie, jaki kod jest uruchomiony. Możesz go skonfigurować i uruchomić tak, jak chcesz.

Z drugiej strony, jeśli Twoja instancja zostanie zhakowana, złośliwe podmioty mają teraz ukierunkowany słownik haseł do wykorzystania w ataku brute force na konta w Twojej organizacji. Pamiętaj, że byłoby to ograniczone do haseł, które jeszcze nie wygasły.

Pod tym względem instancja publiczna na pwpush.com może być lepsza, ponieważ zawiera tylko hasła bez informacji identyfikujących, które są rozproszone wśrod użytkowników z całego świata.

Użytkownik powinien dokładnie rozważyć zalety oraz wady i zdecydować, która opcja dla niego najlepsza. Chętnie wspieramy obie strategie.

Absolutnie. Jeśli potrzebujesz zasobów, takich jak statystyki, grafika lub cokolwiek innego, nie wahaj się ze mną skontaktować: pglombardo na pwpush.com.

Bardzo możliwe. Jestem otwarty na wszystkie pomysły i opinie. Jeśli masz jakieś, prześlij je do Repozytorium Github i odpowiem jak najszybciej.

Ja nie. To tylko projekt, nad którym pracuję w wolnym czasie, zbudowany dla społeczności. Miesięczne koszty to 34 USD miesięcznie za hosting Heroku, a każdy czas/wysiłek, który włożyłem lub włożę w rozwój narzędzia, jest dobrowolny/darowizny.

Myślałem o przeniesieniu strony do dropletu Digital Ocean, ale Heroku po prostu to ułatwia. Bez konfigurowania Apache/nginx, wdrażania skryptów, usług monitorowania itp…

Aktualizacja 2021: ten ruch wzrósł do kwoty, przy której 1 Heroku dyno już nie wystarcza. 2x profesjonalne dyno i dodatek postgres kosztuja teraz do 59 USD miesięcznie. Na dłuższą metę muszę znaleźć sposób na obniżenie kosztów - być może ewentualna migracja do Digital Ocean, która ma znacznie lepsza wydajność…