Password Pusher ou comment partager ses mots de passe de manière sécurisée ?
Sommaire
I. Présentation
Les mots de passe sont précieux et si un mot de passe fuite, ça peut rapidement devenir problématique.... Lorsqu'il s'agit de partager un mot de passe de façon sécurisée pour l'envoyer à un collègue ou un client, la bonne pratique ce n'est pas de l'envoyer par e-mail ou par votre solution de messagerie instantanée favorite.
Il est préférable de s'appuyer sur un gestionnaire de mots de passe, comme LastPass que je vous ai déjà présenté, ou alors Keepass qui permet de gérer une base de mots de passe locale. Vous pourrez ensuite partager vos identifiants de cette façon. Si vous utilisez Keepass, il faut avouer que créer une base de données Keepass pour partager un seul mot de passe, c'est un peu lourd.
Comment faire dans ce cas ? Vous pouvez utilise un service en ligne tel que Password Pusher que je vous présente dans cet article et qui va faciliter le partage d'un mot de passe.
II. Qu'est-ce que Password Pusher ?
Password Pusher est un service en ligne, totalement gratuit, et open source, en lequel vous pouvez avoir confiance pour partager un mot de passe. Même si son interface sombre peut faire peur, ce service est pertinent, car vous allez pouvoir créer un lien pour partager un mot de passe. Ce lien sera valide pour X jours ou pourra être consulté seulement X fois. Ensuite, il deviendra inaccessible et d'ailleurs le destinataire a même la possibilité de supprimer le mot de passe avant l'expiration une fois qu'il l'a récupéré.
Pour le tester, il suffit d'accéder à la page suivante : Password Pusher
Il suffit de saisir son mot de passe dans la zone de saisie, et de configurer les deux options avec les curseurs. La première option permet d'indiquer au bout de combien de jours le lien va expirer, et la seconde le nombre de consultation avant que le mot de passe expire. L'option "Allow viewers to optionally delete password before expiration" autorise le destinataire à supprimer le mot de passe avant même qu'il expire.
Après avoir cliqué sur "Push it!", vous obtenez un lien. Il suffit de le partager à votre contact afin qu'il puisse consulter le mot de passe ! ? - De son coté, j'espère qu'il prendra la peine de stocker le mot de passe dans un gestionnaire de mots de passe...
III. Comment héberger soi-même Password Pusher ?
Ce projet open source est disponible sur GitHub, son code source est disponible en libre accès. Voici le lien vers le projet GitHub : Password Pusher - GitHub
Sur même page, on apprend que l'on peut héberger soi-même une instance de Password Pusher, ce qui est une bonne nouvelle. Plusieurs options sont proposées :
- Sur la plateforme Heroku gratuitement grâce à un template publié par l'auteur de Password Pusher
- Sur Docker / Docker Compose et Kubernetes
- Sur OpenShift
- Sur le cloud Azure de Microsoft à l'aide d'un container
- Sur votre propre serveur à l'aide de Git et de Ruby
L'intérêt c'est que vous pourrez le personnaliser, notamment pour intégrer le logo de votre entreprise, mais aussi avoir une totale maitrise de la base de données où sont stockés les mots de passe.
Si vous aimez PowerShell, vous pouvez utiliser ce script pour partager un mot de passe et obtenir le lien grâce à PowerShell : Get-PasswordLink.ps1
Il y a également eu un portage de Password Pusher en PHP pour l'héberger directement sur un serveur Apache, par exemple. Voici le lien : PHPasswordPusher
? Que pensez-vous de cet outil ? Connaissez-vous une alternative ?
Dans le même registre il existe protonurl.ch
Et plus souverain car français il y a wysam.fr