Инструмент / Процедура для оценки того, готов ли каждый сайт в Менеджере паролей (например, KeePass, LastPass, Dashlane) к новому паролю (после Heartbleed)?
394
BillR
Сайты должны быть исправлены для эксплойта Heartbleed до обновления пароля. Некоторые сайты будут исправлены немедленно, но другие могут не обновляться месяцами. У многих из нас есть несколько десятков до нескольких сотен сайтов в менеджере паролей, которые, возможно, потребуется обновить.
Существует ли уже инструмент / утилита / процедура / сайт, который будет определять и отслеживать, какие сайты готовы сбросить свои пароли для всех сайтов в диспетчере паролей (например, KeePass, LastPass или Dashlane).
Если нет, какие функции понадобятся такому инструменту?
Я могу представить три подхода на данный момент.
Некоторые другие менеджеры паролей включают эту функцию, обе имеют пробную версию, а также импортируют данные из текущего менеджера паролей.
Инструмент, который будет принимать данные экспорта из текущего менеджера паролей (например, в .CCV), отправлять каждый сайт на тестовый сайт Heartbleed и
Тестовый сайт Heartbleed, который будет принимать список сайтов (файл или вставленный). Опять же, список будет получен путем экспорта данных из текущего менеджера паролей, возможно, с небольшим разумным редактированием.
Тестовые сайты Heartbleed, о которых я знаю, будут принимать только один сайт за раз для тестирования.
ОБНОВЛЕНИЕ - LastPast Security Challenge теперь включает раздел Heartbleed. Я не знаю, насколько точен тест - или даже может быть без участия администратора сайта.
[LastPass теперь проверяет, страдают ли ваши сайты сердечным кровотечением] (http://blog.lastpass.com/2014/04/lastpass-now-checks-if-your-sites-are.html)
Sathya 10 лет назад
2
1 ответ на вопрос
2
David
Well, you change the password on affected sites anyway, especially if you have used the same password multiple times before. Keepass will help you generate and track unique passwords for each site.
«На тестовых сайтах Heartbleed, о которых я знаю, будет приниматься только один сайт за раз», таких как Qualys, Filippo Valsorda, LastPass и другие тестовые сайты Heartbleed, которые я нашел. Chromebleed может оказаться полезным, но конкретно не учитывает необходимость.
BillR 10 лет назад
0
Также LastPass, даже если вы не используете сервис: https://lastpass.com/heartbleed/?h=
Kip 10 лет назад
0
FWIW, ssllabs говорит мне, что все мои банковские сайты не уязвимы, но LastPass говорит, что «может быть уязвимым» для всех них
Kip 10 лет назад
0
Проверяет ли какой-либо из этих тестов, что новый сертификат был выдан?
10 лет назад
0
Анти-слабые пароли предоставили наиболее полный список средств проверки уязвимости Heartbleed для сайтов (см. Ниже), которые я видел до сих пор в ответ на: HeartBleed - Как обнаруживать взломанные сайты. В нем не упоминается (по крайней мере, пока): LastPass также имеет средство проверки уязвимости сайта (страница) и _just_ добавил его в свой запрос на безопасность: https://lastpass.com/heartbleed/ ChromeBleed - это расширение chrome для выявления уязвимых сайтов: https://chrome.google.com/webstore/detail / chromebleed / eeoekjnjgppnaegdjbcafdggilajhpic
BillR 10 лет назад
0