Password pusher existe como uma melhor alternativa para enviar senhas por e-mail.

O envio de senhas por e-mail é inerentemente inseguro. Os maiores riscos incluem:

• As senhas enviadas por e-mail geralmente são enviadas com contexto para o que elas vão ou podem ser derivadas do nome de usuário do e-mail, domínio etc.
• O e-mail é inerentemente inseguro e pode ser interceptado em vários pontos por entidades maliciosas.
• As senhas enviadas por e-mail tem vida eterna (leia-se: para sempre) em mensagens de e-mail.
• As senhas no e-mail podem ser recuperadas e usadas posteriormente se uma conta de e-mail for roubada, invadida, etc.

Os mesmos riscos persistem ao enviar senhas via SMS, WhatsApp, Telegram, Chat etc… Os dados podem e muitas vezes são perpétuos e fora de seu controle.

Ao usar o Password Pusher, você ignora tudo isso.

Para cada senha postada no Password Pusher, é gerada uma URL única que somente você saberá. Adicionalmente, as senhas expiram após um conjunto predefinido de visualizações ser atingido ou tempo ter passado. Uma vez expirado, as senhas serão deletadas permanentemente.

Caso isso seja interessante, pode tentar, ou veja outras perguntas frequentes abaixo.

E com razão. Toda boa segurança começa com um ceticismo saudável de todos os componentes envolvidos.

O Password Pusher existe como uma alternativa melhor para enviar senhas por e-mail. Ele evita ter senhas em arquivos de e-mail para sempre. Ele não existe como uma solução de segurança final.

O Password Pusher é opensource para que a fonte possa ser revisada publicamente e, alternativamente, executada internamente em sua organização.

As senhas são excluídas definitivamente do banco de dados assim que expiram. Além disso, tokens de URL aleatórios são gerados dinamicamente e as senhas são postadas sem contexto para seu uso.

Uma nota para aqueles com interesse em segurança extrema: não há como provar com segurança que o código aberto é o mesmo que é executado no pwpush.com (isso é verdade para todos os sites na realidade). A única coisa que posso fornecer a este respeito é a minha reputação pública em Github, LinkedIn, Twitter e meu blog. Se isso for uma preocupação para você, sinta-se à vontade para revisar o código, postar quaisquer dúvidas que você possa ter e considere executar internamente em sua organização.

Absolutamente. O Password Pusher tem vários aplicativos e utilitários de linha de comando (CLI) que fazem interface com pwpush.com ou instâncias executadas de forma privada. Envie senhas da CLI, Slack, Alfred App e muito mais.

Veja nosso Ferramentas e Aplicações página para mais detalhes.

Sim. Usando as ferramentas mencionadas anteriormente, muitos usuários e empresas integram o Password Pusher em suas políticas e processos de segurança.

O Ferramentas página descreve os recursos disponíveis para automatizar a distribuição segura de senhas.

Não há limites atualmente e não tenho intenção de adicionar nenhum. Para garantir ao mínimo a estabilidade do site, o Password Pusher é configurado com um limitador de taxa por padrão.

Sim. Nós provemos Contêineres do Docker e instruções de instalação para uma ampla variedade de plataformas e serviços.

dica: docker run -p 5100:5100 pglombardo/pwpush-ephemeral:latest

O código fonte é lançado sob a licença GNU General Public License v3.0 e e define praticamente toda e qualquer limitação. Existem vários clones com nomes e designs diferentes e damos boas vindas à todas as outras soluções.

Algumas empresas estão sujeitas a políticas de segurança que proíbem o uso de serviços públicos para informações confidenciais, como senhas. Existem até empresas que exigem que todas as ferramentas estejam em intranets privadas sem acesso ao mundo exterior.

É por esses motivos que provemos a capacidade (e incentivamos) usuários e organizações a executar instâncias privadas quando necessário.

A execução de uma instância privada do Password Pusher para sua empresa ou organização dá a você a tranquilidade de saber exatamente qual código está sendo executado. Você pode configurá-lo e executá-lo como quiser.

Por outro lado, se sua instância for invadida, as entidades maliciosas agora terão um dicionário de senhas para aplicar métodos de força bruta para contas em sua organização. Observe que isso seria limitado a pushs que ainda não atingiram seus limites de expiração.

A esse respeito, a versão pública em pwpush.com pode ser superior por conter apenas senhas sem informações de identificação misturadas entre usuários de todo o mundo.

O usuário deve pesar cuidadosamente os prós e os contras e decidir qual rota é melhor para ele. Nós apoiamos ambas as estratégias.

Absolutamente. Se você precisar de recursos como estatísticas, gráficos ou qualquer outra coisa, não hesite em me contatar: [email protected].

Muito provável. Adoraria ouvir qualquer ideia ou feedback. Caso tenha algum, por gentileza, nos envie para Repositório do Github e responderei o mais breve possível.

Eu não. Este é apenas um projeto que eu trabalho no meu tempo livre construído para a comunidade. Os custos mensais são de $ 34/mês para hospedagem Heroku e qualquer tempo/esforço que eu dediquei ou dedico ao desenvolvimento da ferramenta é voluntário/doado.

Eu pensei em mover o site para um droplet na Digital Ocean, mas o Heroku torna tudo isso mais fácil. Sem configurar o Apache/nginx, implantar scripts, monitorar serviços etc…

Atualização de 2021: O o tráfego cresceu para uma quantidade em que 1 "Heroku Dyno" não é mais suficiente. 2x Dynos profissionais e o complemento de Db Postgres agora têm o projeto de até $ 59/mês. A longo prazo, preciso encontrar uma maneira de reduzir custos - talvez uma eventual migração para o Digital Ocean, que desempenho muito melhor…