Logo de Password Pusher
Password Pusher
Go Ahead. Email Another Password.

Foire aux questions

Confiance et sécurité

Password Pusher est une meilleure solution que l'envoi de mots de passe direct par email.

Envoyer un mot de passe par email est fondamentalement non sécurisé Les risques les plus importants sont:

  • Les mots de passe envoyés par e-mail sont généralement envoyés avec des informations de contexte ou qui peuvent potentiellement être déduites du nom d'utilisateur de l'e-mail, du domaine, etc.
  • L'Email est fondamentalement non sécurisé et peut être intercepté depuis plusieurs endroits par des acteurs malveillants.
  • Les mots de passe envoyés par e-mail restent en permanence stockés dans les archives des e-mails.
  • Les mots de passe présent dans des emails peut être récupérés et réutilisés plus tard si le compte a été volé ou fraudé, etc.

Les mêmes risques sont présents lors de l'envoi de mots de passe par SMS, WhatsApp, Telegram, les outils de chat etc… Les données peuvent et sont souvent stockées et hors de votre contrôle.

En utilisant Password Pusher, vous contournez tout cela.

Pour chaque mot de passe publié sur Password Pusher, une URL unique est générée que vous êtes le seul à connaitre. De plus, les mots de passe expirent après un nombre de vues prédéfinies ou un temps écoulé Une fois expirés, les mots de passe sont supprimés définitivement.

Si cela vous semble intéressant, essayez-le ou consultez les autres questions de la FAQ, ci-dessous.

Bonne question. Toute bonne sécurité comment par un sain scepticisme vis à vis de tous les composants en jeu.

Password Pusher est une bien meilleure solution que l'envoi de mots de passe direct par email. Il évite la conservation des mots de passe dans les archives des mails. Ce n'est pas non plus une solution de sécurité universelle.

Password Pusher est un logiciel open source le code source peut donc être étudié par tout le monde et peut également être exécuté en interne dans votre organisation.

Une fois expirés, les mots de passe sont supprimés définitivement de la base de données. De plus, les URLs privées sont générées aléatoirement à la volée et les mots de passe sont publiés sans information permettant de savoir comment les utiliser.

Une note pour ceux qui s'intéressent à un niveau de sécurité : il n'y a aucun moyen que je puisse vous prouver de manière sûre que le code en opensource est le même s'exécutant sur pwpush.com (c'est vrai pour tous les sites web) La seule chose que je peux donner par rapport à ça est ma réputation sur Github, LinkedIn, Twitter et mon blog. Si cela vous préoccupe, n'hésitez pas à examiner le code source, à poster toutes les questions que vous pourriez vous poser et à envisager plutôt de l'exécuter en interne dans votre organisation.

Outils, utilitaires et applications

Absolument. Password Pusher dispose d'applications et d'utilitaires de ligne de commande (CLI) qui s'interfacent avec pwpush.com ou des instances privées. Vous pouvez publier les mots de passe depuis une CLI, depuis Slack, depuis l'application Alfred etc.

Consultez notre page Outils et applications pour plus d'informations.

Oui. À l'aide des outils précédemment cités, de nombreux utilisateurs et organisations intègrent Password Pusher dans leurs politiques et processus de sécurité.

La page Outils présente les ressources disponibles pour automatiser la distribution sécurisée des mots de passe.

Il n'y a pas de limites actuellement et je n'ai pas l'intention d'en ajouter. Pour assurer au minimum la stabilité du site, Password Pusher est configuré avec un limiteur de requêtes paramétré par défaut.

Mettre en oeuvre votre propre installation

Oui. Nous mettons à disposition Containers Docker et Informations d'installation pour divers plateformes et services.

astuce : docker run -p 5100:5100 pglombardo/pwpush-ephemeral:latest

Le code source est publié sous la la licence publique générale GNU v3.0, ce qui définit à peu près toutes les limitations. Il existe de nombreux sites clones renommés et modifiés de Password Pusher, ils sont les bienvenus.

Certaines organisations sont contraintes par des politiques de sécurité qui interdisent l'utilisation de services cloud pour des informations sensibles telles que les mots de passe. Il en existe même qui exigent que l'ensemble de leurs outils soient hébergées en intranet.

Ces pour ces raisons que nous donnons la possibilité aux utilisateurs et organisations d'avoir leur propre instance privée si besoin (et nous l'encourageons).

Exécuter une instance privée de Password Pusher pour votre entreprise ou organisation vous donne la tranquillité d'esprit de savoir exactement quel code vous faites tourner. Vous pouvez la configurer et l'exécuter comme vous le souhaitez.

D'un autre côté, si votre instance privée est piratée, les entités malveillantes disposeraient d'un dictionnaire ciblé de mots de passe pour attaquer en "brute force" votre organisation. Notez que cela se limiterait aux publications non expirées.

De ce point de vue, l'instance publique de pwpush.com est peut-être plus sûre car elle ne contient que des mots de passe sans informations d'identification mélangées entre différents utilisateurs ou organisations du monde entier.

Pesez le pour et le contre et décidez ce qui est le mieux. Nous supportons les deux options.

Autre

Tout à fait. Si vous avez besoin de ressources telles que des statistiques, des graphiques ou autre, n'hésitez pas à me contacter : pglombardo at pwpush.com.

Sans doute. Je suis ouvert à toutes idées et commentaires. Si vous en avez une, merci de les soumettre au Dépôt Github et je vous répondrai aussi vite que possible.

Je n'en gagne pas. C'est juste un projet sur lequel je travaille sur mon temps libre à destination de la communauté. Le coût mensuel est de 34$ par mois chez mon hébergeur Heroku. Tout le temps et les efforts investis ou à venir sont du bénévolat/des dons.

J'ai pensé à migrer le site chez Digital Ocean, mais en même temps Heroku rend les choses tellement faciles. Pas de configuration à faire d'Apache/nginx, de déploiement de scripts, de services de monitoring, etc.

Nouveautés 2021 : La page trafic a augmenté à un point tel que que l'hébergement Heroku Dyno n'est plus suffisant. 2 instances Heroku Dyno professionnelles et l'ajout d'une instance postgres font monter les frais du projet à 59$ par mois. Sur le long terme je dois trouver un moyen de baisser ces frais - peut-être une migration vers Digital Ocean qui a de bien meilleures performances