Какой эффективный способ изменить пароли моей учетной записи более 200?

87

У меня много онлайн-аккаунтов, веб-сервисов и т. Д. - как личных, так и деловых - поэтому, очевидно (?), Я использую менеджер паролей для их обработки. В частности, я использую Lastpass, но мой вопрос относится ко всем и каждому:

Учитывая проблему Heartbleed и связанные с ней вопросы , даже если я хочу изменить все свои пароли (и разве мы не должны делать это через регулярные промежутки времени?), Как в мире я могу изменить столько паролей эффективным способом?

Если мне придется посещать каждый сервис и сайт по отдельности и менять PW вручную, то ясно, что это займет выходные, посвященные работе ... безопасность пароля хорошая и все, но это просто не практично.

Обновление: я только что использовал «вызов безопасности» Lastpass, который сообщает, что у меня 274 сайта и показатель безопасности превышает 83%. Несколько интранет-сайтов на работе используют один и тот же pw, что значительно снижает мои оценки. Все мои учетные записи в Интернете набрали более 92%.

Торбен Гундтофте-Бруун
источник
6
Пожалуйста, прочтите эту прекрасную литературу, прежде чем менять все свои пароли: security.stackexchange.com/questions/55283/…
MonkeyZeus
4
Я рад, что вам понравился мой юмор :) но на полном серьезе нет легкого выхода. И я думаю, что вы, возможно, пропустили основную часть моей ссылки, которая заключается в следующем разделе: изменение паролей на сайте, который / был уязвим для Heartbleed, вступает в силу только после
MonkeyZeus
1
Хорошо, что теперь мы переходим к входу в систему на основе OpenID / OpenAuth. Все, что вам нужно, это просто изменить пароль для провайдера идентификации, а остальное на отдельных сайтах. Также обратите внимание, что стоит сменить пароль только для сайтов, которые уже обновили свою библиотеку OpenSSL; вероятно, большое количество из этих 200 веб-сайтов, которые вы никогда не обновляете в своей системе, даже перед лицом Heartbleed.
Ли Райан
2
Поздравляем с тем, что вы единственный пользователь, который использует разные пароли для каждой отдельной службы.
JFA

Ответы:

61

Честно говоря, нет. Нет, если они не предлагают API, где вы можете осуществлять удаленное управление своими учетными записями. Тщательно выбирать. Какие из них являются наиболее приоритетными. Банк, например, вы должны изменить. Форумы и другие медиа-сайты могут быть ранжированы ниже и изменены по мере необходимости.

PS: Я также думаю, что люди сдувают этот душераздирающий путь несоразмерно.

Джейсон
источник
1
Комментарии были удалены. Суперпользователь не является дискуссионным форумом - комментарии следует использовать, чтобы попросить разъяснений (о которых позже следует рассказать в ответе) или указать на проблемы в посте. Если вы хотите поговорить о Heartbleed, Super User Chat будет лучшим местом. Благодарю.
slhck
^ @slhck Я предлагаю, чтобы они обсуждали это в специальной комнате для ИТ-безопасности или чего-то подобного, чтобы не перегружать обычную комнату. Можете ли вы разместить ссылку на подходящую комнату?
smci
@ SMCI Я считаю, что наша главная комната действительно подходит для такого рода дискуссий. Мы обычно не применяем никаких тем. Информационная безопасность также есть чат.
slhck
12

Мне любопытно, какой ответ вы ожидаете получить ... Компонент программного обеспечения, который каскадно меняет пароль для различных протоколов, сайтов, процедур и т. Д.? Я укушу язык за то, что мое мнение о выгоде / выгоде от фактического изменения всех этих паролей, учитывая, что любой из них может быть взломан в разумные сроки, независимо от того, взломаны ли они. Вместо этого я рекомендую вам собрать контактную информацию для каждого из этих сайтов и услуг. Затем отправьте всем им письмо с просьбой сбросить пароль или восстановить новый пароль при следующем входе в систему. Я не вижу здесь никаких других ярлыков.

Wutnaut
источник
8
Скорее всего, многие веб-сайты отправят ответ, в котором будет указано: «Если вы хотите сбросить пароль, нажмите на следующую ссылку: ссылка для сброса пароля ».
Nzall
11

Поскольку ваш вопрос, вероятно, не поддается простому ответу, я бы предложил вам изменить пароли веб-сайтов в зависимости от того, насколько они уязвимы для вас (потеря денег, потеря конфиденциальности, потеря репутации и т. Д.)

Бенджамин Уэйд
источник
7

Я, вероятно:

  • просмотрите список сайтов, хранящих действительно конфиденциальную информацию
  • изменить их, как только станет ясно, что сайт готов к этому
  • измените остаток в следующий раз, когда я использую сайт или если сайт запрашивает / вызывает изменение.

Это означает, что некоторые из них никогда не будут изменены, потому что я никогда не буду использовать сайт снова, и это является источником повышения эффективности по сравнению с выполнением их всех сейчас. На самом деле это может в конечном итоге спровоцировать бессмысленные расчеты. В этом контексте смена паролей не такая уж большая операция.

Я думаю (хотя я не уверен), что если я очень редко пользуюсь сайтом, то вероятность того, что мой пароль на этом сайте будет скомпрометирован из-за сердечного приступа, сравнительно мала. Отсюда и предпочтение сайтов, которые я на самом деле использую.

Главная опасность того, что это предположение неверно, состоит в том, что оказывается, что кровотечение активно эксплуатируется в течение длительного времени. Кроме того, масса паролей может быть скомпрометирована либо напрямую с помощью heartbleed, либо с помощью закрытых ключей или учетных данных администратора из heartbleed.

[Редактировать: это начинает выглядеть так, будто, возможно, сердечные кровопролития использовались АНБ почти столько же, сколько существовали. Придется подождать дополнительной информации об этом, но в любом случае я не так обеспокоен тем, что АНБ имеет мои пароли, как вы могли ожидать. Если АНБ хочет мои пароли, значит, они есть, сердцебиение - одно из многих средств, с помощью которых они могут их получить. Если они были у них два года, то еще месяц, пока я не найду время, чтобы изменить кучу малоценных аккаунтов, ничего не изменит.]

Основная опасность отсрочки смены пароля состоит в том, что кто-то может уже иметь мой пароль, но либо не удосужился извлечь его из ГБ данных, полученных с помощью heartbleed, либо еще не успел его использовать. Отсюда и предпочтение более чувствительным системам.

Стив Джессоп
источник
6

Сомнительно, что на самом деле это займет меньше работы, но если вам вообще пригодится Javascript, вы можете написать себе какой-нибудь мини-API, который (однажды на правильной странице) будет искать правильные поля и изменять их для вас:

https://stackoverflow.com/questions/257255/generic-way-to-fill-out-a-form-in-javascript

В результате этого, как только вы закончите, вы сможете легко перейти к будущим изменениям. Недостатком является буквально все остальное об этом.

Сэнди Гиффорд
источник
И затем в любое время, когда любой из этих сайтов вносит какие-либо изменения в страницу, о которой идет речь, ваш сценарий, скорее всего, сломается ... :-(
Майкл
@ Майкл, не обязательно. Сценарии, такие как SuperGenPass, делают именно это и являются очень общими и очень успешными. На самом деле это будет полезный компаньон, как только я начну менять пароли сайта. Это был бы очень простой способ иметь длинные и уникальные пароли. Natch, большинство менеджеров паролей имеют что-то вроде этого, но не так просто, одним щелчком мыши.
Торбен Гундтофте-Брюн
1
Недостаток выглядит довольно крутым, если так выразиться ...
Raystafarian
@ TorbenGundtofte-Bruun SuperGenPass, похоже, использует технику, которую я использовал вручную несколько лет назад, прежде чем у меня была цепочка для ключей: я бы взял имя веб-сайта и запустил секретное преобразование в своей голове, чтобы создать свой пароль. Это внезапно поразило меня, когда сайт, на котором я купил материал, был куплен другим сайтом (таким образом, изменив его название).
Майкл
@ Майкл Я сделал то же самое, я остановился, потому что у меня был миниатюрный штрих каждый раз, когда мне приходилось сбрасывать свой пароль и выбирать новый. В любом случае, чтобы ответить на то, что вы сказали ранее: да, крутой минус, и нет, я бы никогда не выбрал этот ответ; Я чувствовал, что это стоит оставить здесь как альтернативное решение для любого из смелых супер пользователей, которые сталкивались с вопросом.
Сэнди Гиффорд
4

Проверьте, можете ли вы войти в систему с помощью Google OpenID на некоторых сайтах. Это может уменьшить количество паролей, которые вам нужно изменить / управлять / использовать.

Добавьте в закладки все страницы «Смена пароля» и откройте их все вместе на вкладках (или, возможно, партиями по 50). Создайте скрипт для генерации списка случайных паролей и скопируйте и вставьте их с помощью инструмента копирования и вставки. Очистите вашу систему после этого. Смена 50 паролей с помощью этого метода не займет у вас более 10 минут, что кажется вполне приемлемым временем для еженедельного обслуживания.

Делая это, вы будете менять все свои пароли один раз в месяц, вкладывая 10 минут. неделя.

Quora Feans
источник
1
12 секунд на сайт звучат для меня оптимистично, даже открывая каждую страницу смены пароля во вкладках. Но принцип кажется правильным, это, пожалуй, самый эффективный способ посетить все сайты и сменить пароли.
Стив Джессоп
4

Специально для LastPass, так как вы упомянули об этом, вы можете экспортировать файл ccv и отправить сайты в один из инструментов проверки, таких как тот, который предлагает LastPass, чтобы определить, какие сайты даже готовы к изменению паролей.

Я уверен, что каждый из поставщиков также занят созданием / анализом инструмента для автоматизации чего-то эквивалентного (например, дополнение к LP Security Challenge).

Каждый менеджер паролей будет представлять свою задачу. Например, Dashlane не включает в себя возможность сортировки паролей по дате изменения, хотя у него есть поле, которое вы можете повторно назначить для проверки паролей, которые были изменены или которые вы собираетесь игнорировать.

Обновление (октябрь 2015 г.) - LastPass и Dashlane (два, которые я пробовал) и некоторые другие менеджеры паролей теперь имеют процедуру / форму, которая может сделать изменение паролей на нескольких сотнях сайтов таким же простым, как установка флажка (если вы доверяете автоматизации; они даже знают, что некоторые сайты исключают / требуют определенных специальных символов или длины мандата). Кроме того, некоторые перенаправляют вас на страницу изменения сайта по ссылке, предлагают новый пароль и записывают изменения.

Если хотите, откройте другой браузер и очень быстро протестируйте новый пароль, используя процедуру открытия и автозаполнения / автозаполнения от 1 до 3 для этого веб-сайта. Просто знайте, как и когда происходит синхронизация.

Я подумал, что это заслуживает обновления, так как у нас было намного больше крупных взломов сайтов и использование сети и маршрутизаторов.

BillR
источник
1

Если системы позволяют вам подключаться через telnet или ssh или что-то подобное, вы можете записать изменения пароля относительно простым способом. Если смена пароля должна производиться через веб-интерфейс, написание инструментария для работы с вариациями, вероятно, потребует больше усилий, чем стоило бы, но я бы по крайней мере попытался убедиться, что новый пароль был вставлен из надежного Источник, а не надеясь, что я могу точно перепечатать его 400 раз.

Системы федеративных идентификаторов несколько упрощают эту задачу, предоставляя единую точку для изменения пароля для нескольких систем ... но, конечно, вы должны решить, доверяете ли вы этим концентраторам идентификаторов.

ПРИМЕЧАНИЕ. Смена паролей на регулярной основе НЕ повышает безопасность, как это принято считать. Во всяком случае, это может побудить людей выбирать некачественные пароли, потому что выбор нового хорошего пароля каждые N месяцев - это неприятность. Это помогает только в том случае, если вы считаете, что кто-то с достаточной вероятностью украл ваш существующий пароль, и если этот пароль выдает что-то, что вас волнует, или рискует быть использовано для усиления прав.

keshlam
источник
1

У меня есть предложение, которое звучит выполнимо. Я никогда не пробую себя, хотя.

use AHK (key mouse event recorders ) вы делаете партию изменений пароля и регистрируете сеанс, используя AHK. в следующий раз вы захотите сменить пароль. выньте скрипт AHK и поменяйте только пароль. Вам нужно только снова сыграть скрипт AHK.

Я сам использую разные пропуска для разных сайтов, если только они не просочились, мне не нужно менять их одновременно.

Кованые изделия
источник
1

LastPass услышал вас и опубликовал запись в блоге, объясняющую, как это можно сделать. И суть заключается в следующем: вам нужно сделать это вручную сайт за сайтом.

Также стоит отметить, что вы должны убедиться, что сайты были обновлены, прежде чем менять свой пароль.

assylias
источник
0

Вы можете попробовать использовать Dashlane утилиту , которая включает в себя Password Changer функцию (это бесплатно) , который может изменить десятки паролей в один клик.

Он выполняет тяжелую работу по замене старых паролей на надежные новые и защищает их в Dashlane, где они запоминаются и вводятся для вас.

kenorb
источник
Как и многие другие менеджеры паролей через 3 или 5 лет после первоначального поста в 2014 году, включая LastPass, упомянутый в оригинальном посте.
BillR
-2

Создайте механический турок Amazon.
Составьте список ваших веб-сайтов, имена пользователей и текущие пароли. Каждый ХИТ выдаст один или несколько из них. Укажите правила, из которых должен состоять новый пароль. Платить $ 0,01 за пароль. Пользователь должен сменить пароль и сообщить новый пароль. Это должно изменить ваши пароли довольно быстро. https://requester.mturk.com/

Кристофер Томас Никодим
источник
21
Вы действительно уверены, что стоит доверять незнакомцам, работающим на MTurk, менять свои пароли?
8
Я могу только истолковать это как шутку, которая должна идти в комментариях в худшем случае.
Quora Feans
1
LOL, почему бы не пропустить посредника и просто отправить свою БД менеджера PW прямо русской мафии (или какой-нибудь другой столь же уважаемой группе). Наравне с советом, который вы ожидаете получить от парня в комбинезоне DOC.
krowe