Hvordan dele passord på en sikker måte
OBS! Informasjonen her kan være utdatert!
Denne artikkelen er mange år gammel, og mye kan ha endret seg siden den ble skrevet. Vær kritisk, og sjekk også andre kilder.
Rett som det er må man dele sensitiv informasjon (typisk: et passord) med noen. Vanligvis gjøres dette ved å sende en e-post/sms eller lignende med passordet skrevet i klartekst i meldingen.
Ulempene med å dele på denne måten er flere: Kommunikasjonsplattformen(e) er enkle å overvåke, og meldingen med passordet blir liggende i innboksen til "alles" åsyn til evig tid, eller i allefall til noen sletter meldingen for godt. (Når det gjelder sletting av e-post: Det er utrolig mange som ikke skjønner/bryr seg om at e-postsletting er en totrinnsprosess: De gjennomfører første trinn, som er å flytte ting til papirkurven. Den tømmer de imidlertid aldri...)
Dette er det selvsagt mange glupinger som har tenkt på, og noen av de har også kommet opp med noen fiffige løsninger. En av de er den jeg presenterer i dag: PasswordPusher.
PasswordPusher
PasswordPusher, som du finner på https://pwpush.com lar deg dele passord på en elegant og sikker måte:
- Besøk https://pwpush.com og skriv inn passordet du skal dele med noen i tekstfeltet på toppen.
- Bruk skyvekontrollene under tekstfeltet til å bestemme når passordet skal slettes. Parametrene strekker seg fra én til 90 dager, og/eller at passordet kan vises mellom én og 100 ganger.
- Trykk på knappen "Push it!".
- En lenke vises nå i en liten ramme (Typisk som denne: https://pwpush.com/p/oq8rppk4dph3sobz). Denne kopierer du, og sender til mottager (pr e-post/sms/chat eller hva du måtte ønske).
Det var det! Mottageren klikker naturligvis på lenken for å se passordet. Som blir presentert for vedkommende på følgende måte:
Først når den som har mottatt lenken klikker på de utydelige bokstavene kommer de frem i klartekst og kan skrives av/kopieres:
Så hva har du nå egentlig gjort?
Du har delt passordet uten at det blir liggende i klartekst i e-posten hos både deg og mottager. Du har også tatt kontroll over hvor mange ganger lenken du sendte kan klikkes på (og passordet dermed vises). Etter at grensene dine passeres slettes rett og slett url'en (adressen). PasswordPusher er dessuten kryptert, så det er ikke mulig (for andre enn NSA kanskje?) å lese av trafikken mellom deg og nettsiden.
Dette alene er ikke nok til å sikre deg 100 % mot å bli hacket, men er nok et lite skritt på veien...
Kildekoden til PasswordPusher ligger for øvrig på GitHub, til fritt gjennomsyn for de som måtte ønske å gå løsningen nærmere etter i sømmene.