Password Pusher Logo
Password Pusher
Sichere Passwörter per E-Mail senden

FAQ · Häufig gestellte Fragen

Vertrauen & Sicherheit

Password Pusher ist eine bessere Möglichkeit zum Passwortversand via E-Mail, Messenger etc.

Das Versenden von Passwörtern per E-Mail ist grundsätzlich unsicher. Zu den größten Risiken gehören:

  • E-Mails mit Passwörtern enthalten häufig weitere Informationen, die Rückschlüsse auf die Verwendung des Passwortes oder des gesamten Benutzeraccounts zulassen.
  • E-Mails sind konzeptionell unsicher und können an mehreren Stellen von Kriminellen abgefangen werden.
  • Passwörter in E-Mails bleiben oft für immer im Postfach oder im Archiv erhalten.
  • Passwörter in E-Mails können später abgerufen und verwendet werden, wenn ein E-Mail-Konto gestohlen, geknackt oder kompromittiert wird.

Die gleichen Risiken bestehen beim Versenden von Passwörtern per SMS, WhatsApp, Telegram, Chat usw. Die Daten sind oft dauerhaft und außerhalb Ihrer Kontrolle.

Durch die Verwendung von Password Pusher wird all dies umgangen.

Für jedes Passwort, das an Password Pusher gesendet wurde, wird eine eindeutige URL generiert, die nur Sie kennen werden. Zusätzlich, Passwörter verfallen, nachdem eine vordefinierte Anzahl von Ansichten erreicht wurde oder Zeit vergangen ist. Nach Ablauf der Gültigkeitsdauer werden die Passwörter unwiderruflich gelöscht.

Wenn das für Sie interessant klingt, probieren Sie es aus oder lesen Sie die anderen häufig gestellten Fragen unten.

Und das zu Recht. Sicherheit beginnt mit einer gesunden Skepsis gegenüber allen beteiligten Komponenten.

Password Pusher ist eine bessere Alternative zum Versand von Kennwörtern per E-Mail. PP verhindert, dass Passwörter in E-Mail-Archiven auf ewig existieren. Passwort Pusher ist keine allumfassende Sicherheitslösung!

Password Pusher ist Open Source Der Quellcode kann öffentlich überprüft werden. Alternativ kann Password Pusher intern in Ihrer Organisation ausgeführt werden kann.

Passwörter werden nach Ablauf der Gültigkeitsdauer unwiderruflich aus der Datenbank gelöscht. Darüber hinaus werden zufällige URL-Token im Handumdrehen generiert und Passwörter werden ohne Kontext für ihre Verwendung veröffentlicht.

Ein Hinweis für Personen, die an höchster Sicherheit interessiert sind: Ich kann nicht zuverlässig beweisen, dass der Open-Source-Quellcode derselbe ist, der auf pwpush.com läuft (dies gilt in Wirklichkeit für alle Websites). Das Einzige, was ich in dieser Hinsicht bieten kann, ist mein öffentliches Renommee auf Github, LinkedIn, Twitter und Mein Blog. Wenn dies für Sie ein Problem darstellt, können Sie den Quellcode überprüfen, Fragen stellen und in Erwägung ziehen, ihn stattdessen intern in Ihrer Organisation einzusetzen.

Tools, Dienstprogramme und Anwendungen

Natürlich! Password Pusher verfügt über eine ganze Reihe von Anwendungen und Befehlszeilenprogrammen (CLI), die eine Schnittstelle zu pwpush.com oder privat ausgeführten Instanzen bieten. Passworterstellung via CLI, Slack, Alfred App und vielen anderen Möglichkeiten.

Siehe Tools und Applikationen für weitere Details und konkrete Anleitungen.

Ja. Mithilfe der zuvor erwähnten Tools integrieren viele Benutzer und Organisationen Password Pusher in ihre Sicherheitsrichtlinien und Prozesse.

Das Tools Seite werden die verfügbaren Ressourcen zur Automatisierung der sicheren Verteilung von Kennwörtern beschrieben.

Derzeit gibt es keine Begrenzungen und ich habe auch nicht die Absicht, solche einzuführen. Um die Stabilität der Website so hoch wie möglich zu halten, ist Password Pusher standardmäßig mit einer Begrenzung konfiguriert.

Eigene private Instanz betreiben

Ja. Wir bieten Docker-Container und Installationsanleitungen für eine breite Palette an Plattformen und Diensten.

Tipp: docker run -p 5100:5100 pglombardo/pwpush-ephemeral:latest

Der Quellcode ist unter der GNU General Public License v3.0 veröffentlicht und das definiert so ziemlich alle Einschränkungen. Es gibt eine ganze Reihe von umbenannten und neu gestalteten Klon-Seiten von Password Pusher und ich begrüße sie alle.

Einige Unternehmen sind an strenge Sicherheitsrichtlinien gebunden, die die Nutzung öffentlicher Dienste für sensible Daten verbieten. Es gibt sogar Organisationen, die vorschreiben, dass alle Tools in privaten Intranets ohne Zugang zur Außenwelt eingesetzt werden müssen.

Aus diesen Gründen bieten wir die Möglichkeit und ermutigen sogar dazu, private Instanzen zu betreiben.

Der Betrieb einer privaten Instanz von Password Pusher für Ihr Unternehmen oder Ihre Organisation gibt Ihnen die Gewissheit, dass Sie genau wissen, welcher Code ausgeführt wird. Sie können es nach Belieben konfigurieren und ausführen.

Wenn Ihre Instanz jedoch gehackt wird, haben böswillige Akteure nun ein gezieltes Wörterbuch von Kennwörtern, um Konten in Ihrem Unternehmen mit roher Gewalt zu knacken. Beachten Sie, dass dies auf Pushes beschränkt ist, deren Verfallsdatum noch nicht abgelaufen ist.

In dieser Hinsicht ist die öffentliche Instanz auf pwpush.com vielleicht besser, da sie nur Passwörter ohne identifizierende Informationen enthält, die von Nutzern aus aller Welt stammen.

Der Nutzer sollte die Vor- und Nachteile sorgfältig abwägen und entscheiden, welcher Weg für ihn der beste ist. Wir unterstützen gern beide Strategien.

Sonstiges

Natürlich! Wenn Statistiken, Grafiken oder weitere Informationen benötigt werden – bitte eine E-Mail an: „pglombardo at pwpush.com“ senden.

Sehr wahrscheinlich. Ich freue mich über alle Ideen und Rückmeldungen. Bitte alle Ideen, Rückmeldungen, Fehlermeldungen oder sonstigen Anregungen in das GitHub-Repository eintragen und ich werde so schnell wie möglich antworten!

Ich verdiene mit dem Projekt kein Geld. Dies ist ein Projekt, an dem ich in meiner Freizeit arbeite und dass ich für die Gemeinschaft entwickle. Die monatlichen Kosten betragen $34 / Monat für das Heroku-Hosting. Und nicht vergessen jede Menge Freizeit und Aufwand, welche ich in die Entwicklung investiert habe und investieren werde.

Ich habe darüber nachgedacht, die Website auf ein Digital Ocean-Droplet zu verlagern, aber mit Heroku ist es so einfach. Kein Konfigurieren von Apache/nginx, Bereitstellungsskripte, Überwachungsdienste, ...

2021 Update: Das Datenaufkommen ist angewachsen bis zu einem Wert, bei dem 1 Heroku-Dyno nicht mehr ausreichend war. 2x professionelle Dynos und das Postgres-Add-on haben die Kosten auf $59/Monat erhöht. Längerfristig muss ich einen Weg finden, um die Kosten zu senken - vielleicht eine Migration zu Digital Ocean, mit viel besserer Leistung