FAQ | Password Pusher

Preguntas Frecuentes

Confianza y Seguridad

Password Pusher existe como una mejor alternativa al envío de contraseñas por correo electrónico.

Enviar contraseñas por correo electrónico es intrínsecamente inseguro. Los mayores riesgos incluyen:

Las contraseñas enviadas por correo electrónico generalmente se envían con el contexto a lo que van o pueden derivarse potencialmente del nombre de usuario del correo electrónico, dominio, etc.
El correo electrónico es inherentemente inseguro y puede ser interceptado en múltiples puntos por entidades maliciosas.
Las contraseñas enviadas por correo electrónico viven a perpetuidad (es decir: para siempre) en los archivos de correo electrónico.
Las contraseñas en el correo electrónico se pueden recuperar y usar más adelante si una cuenta de correo electrónico es robada, descifrada, etc.

Los mismos riesgos persisten cuando se envían contraseñas a través de SMS, WhatsApp, Telegram, Chat, etc. Los datos pueden y suelen ser perpetuos y fuera de su control.

Al usar Password Pusher, omite todo esto.

Para cada contraseña publicada en Password Pusher, se genera una URL única que solo tú conocerás. Adicionalmente, las contraseñas caducan después de que se alcanza un conjunto predefinido de vistas o después de que pasa el tiempo. Una vez caducadas, las contraseñas se eliminan de forma inequívoca.

Si eso le parece interesante, pruébelo o consulte las otras preguntas frecuentes a continuación.

Y con razón. Toda buena seguridad comienza con un escepticismo saludable de todos los componentes involucrados.

Password Pusher existe como una mejor alternativa al envío de contraseñas por correo electrónico. Evita que existan contraseñas en archivos de correo electrónico a perpetuidad. No existe como una solución de seguridad definitiva.

Password Pusher es de código abierto por lo que el código fuente se puede revisar públicamente y, alternativamente, se puede ejecutar internamente en su organización.

Las contraseñas se eliminan inequívocamente de la base de datos una vez que caducan. Además, los tokens de URL aleatorios se generan sobre la marcha y las contraseñas se publican sin contexto para su uso.

Una nota para aquellos interesados en la seguridad extrema: No hay forma de que pueda probar de manera confiable que el código de fuente abierto es el mismo que se ejecuta en pwpush.com (esto es cierto para todos los sitios en realidad). Lo único que puedo ofrecer a este respecto es mi reputación pública en Github, LinkedIn, Twitter y mi blog. Si esto le preocupa, no dude en revisar el código, publicar cualquier pregunta que pueda tener y considerar ejecutarlo internamente en su organización.

Herramientas, Utilidades y Aplicaciones

Por supuesto. Password Pusher tiene una serie de aplicaciones y utilidades de línea de comandos (CLI) que interactúan con pwpush.com o instancias de ejecución privada. Inserte contraseñas de CLI, Slack, Alfred App y más.

Ver nuestro Herramientas y Aplicaciones página para más detalles.

Si. Con las herramientas mencionadas anteriormente, muchos usuarios y organizaciones integran Password Pusher en sus políticas y procesos de seguridad.

la Útiles La página describe los recursos disponibles para automatizar la distribución segura de contraseñas.

Actualmente no hay límites y no tengo intención de agregar ninguno. Para asegurar mínimamente la estabilidad del sitio, Empujador de Contraseña está configurado con un limitador de velocidad por defecto.

Ejecución de su Propia Instancia Privada

Si. Proporcionamos Contenedores Docker y Instrucciones de instalación para una amplia variedad de plataformas y servicios.

tldr; docker run -p 5100:5100 pglombardo/pwpush:release

Password Pusher admite el cambio de marca "listo para usar", lo que le permite agregar un logotipo personalizado, texto e incluso cambiar imágenes en la aplicación.

El código fuente se publica bajo la Licencia Pública General GNU v3.0 y eso define prácticamente todas y cada una de las limitaciones. Hay bastantes sitios de clonación de Password Pusher renombrados y rediseñados y les doy la bienvenida a todos.

Algunas organizaciones están sujetas a políticas de seguridad que prohíben el uso de servicios públicos para información sensible como contraseñas. Incluso hay organizaciones que requieren que todas las herramientas estén en intranets privadas sin acceso al mundo exterior.

Es por estas razones que brindamos la capacidad (y alentamos) a los usuarios y organizaciones a ejecutar instancias privadas cuando sea necesario.

Ejecutar una instancia privada de Password Pusher para su empresa u organización le da la tranquilidad de saber exactamente qué código se está ejecutando. Puede configurarlo y ejecutarlo como desee.

Por otro lado, si su instancia es pirateada y el cifrado se rompe, las entidades malintencionadas ahora tienen un diccionario específico de contraseñas para cuentas de fuerza bruta en su organización. Tenga en cuenta que esto se limitaría a los enlaces que aún no han alcanzado sus límites de vencimiento.

En este sentido, la instancia pública en pwpush.com puede ser superior porque contiene sólo contraseñas sin información de identificación mezclada entre usuarios de todo el mundo.

El usuario debe sopesar cuidadosamente los pros y los contras y decidir qué ruta es mejor para él. Con mucho gusto apoyamos ambas estrategias.

Otro

Algunos sistemas, como el correo electrónico, los firewalls y los sistemas de chat, a menudo tienen escáneres de enlaces que pueden consumir vistas. Esto se hace por seguridad o simplemente para generar una "vista previa" para los sistemas de chat.

Para evitar esto, use la opción de paso de recuperación de 1 clic cuando envíe contraseñas. Esto requiere que los usuarios hagan clic en una página preliminar para proteger las vistas de dichos escáneres.

Como medida preventiva adicional, si crea una cuenta, se proporciona un registro de auditoría para cada envío creado. Este registro de auditoría puede revelar quién y cuándo se vio el envío.

Por supuesto. Si necesita recursos como estadísticas, gráficos o cualquier otra cosa, no dude en ponerse en contacto conmigo: pglombardo en pwpush.com.

Muy probable. Me encanta escuchar todas las ideas y comentarios. Si tiene alguno, envíelo al Repositorio de GitHub y te responderé lo antes posible.

Este es un proyecto de código abierto creado por el amor por la tecnología y el deseo de mejorar la seguridad (y la vida cotidiana) de la comunidad tecnológica.

No genera beneficios, pero incurre en alojamiento que cuesta alrededor de $ 50 / mes para pwpush.com. Estos son felizmente pagados de mi bolsillo por más de 10 años.

Si quiere colaborar con Password Pusher puede registrarse en Digital Ocean utilizando el enlace del siguiente icono. Password Pusher obtendrá un crédito de hosting por los primeros $25 que gaste.

Para conocer otras formas de colaborar con Password Pusher, consulte también la sección "¿Quiere ayudar?" en la página acerca de. ¡Gracias! ❤️

Preguntas Frecuentes

Confianza y Seguridad

¿Para qué sirve Password Pusher?

La confianza es una preocupación. ¿Por qué debería utilizar Password Pusher?

Herramientas, Utilidades y Aplicaciones

¿Hay otras formas de acceder a Password Pusher fuera de un navegador?

¿Puedo automatizar la distribución de mi contraseña?

¿Cuántas solicitudes puedo enviar a Password Pusher?

Ejecución de su Propia Instancia Privada

¿Puedo ejecutar mi propia versión para mi organización internamente?

¿Puedo aplicar un logotipo personalizado o cambiar el diseño?

¿Existe alguna restricción de licencia para mí, mi empresa o mi organización?

¿Por qué querría ejecutar mi propia instancia privada de Password Pusher?

¿Cuáles son los posibles riesgos de seguridad de ejecutar mi propia versión internamente?

Otro

La URL que envié parece no haber funcionado en el momento en que se recibió. ¿Sucede esto de vez en cuando y hay alguna manera de prevenirlo?

¿Puedo usar Password Pusher en mi charla / presentación / conferencia?

¿Podría agregar una función específica para mi organización?

¿Cómo se gana dinero?