Какой эффективный способ изменить пароли моей учетной записи более 200?

16682
Torben Gundtofte-Bruun

У меня много онлайн-аккаунтов, веб-сервисов и т. Д. - как личных, так и деловых - поэтому, очевидно (?), Я использую менеджер паролей для их обработки. В частности, я использую Lastpass, но мой вопрос относится ко всем и каждому:

Учитывая проблему Heartbleed и связанные с ней вопросы, даже если бы я хотел изменить все свои пароли (и разве мы не должны делать это через регулярные промежутки времени?), Как в мире я могу изменить столько паролей эффективным способом?

Если мне придется посещать каждый сервис и сайт по отдельности и менять PW вручную, ясно, что это займет выходные, посвященные работе ... безопасность пароля хорошая и все, но это просто не практично.

Обновление: я только что использовал «вызов безопасности» Lastpass, который сообщает, что у меня 274 сайта и показатель безопасности превышает 83%. Несколько интранет-сайтов на работе используют один и тот же pw, что значительно снижает мой счет. Все мои учетные записи в Интернете набрали более 92%.

85
Пожалуйста, прочтите эту прекрасную литературу, прежде чем менять все свои пароли: http://security.stackexchange.com/questions/55283/should-i-change-all-my-passwords-due-to-heartbleed MonkeyZeus 10 лет назад 6
Я рад, что вам понравился мой юмор :) но на полном серьезе нет легкого выхода. И я думаю, что вы, возможно, пропустили основной пункт моей ссылки, а именно этот раздел: ** [Изменение паролей на сайте, который / был уязвим для Heartbleed, вступает в силу только после] (http://security.stackexchange.com/a / 55285) ** MonkeyZeus 10 лет назад 4
Ссылка на этот вопрос в [security.se]: [API для смены паролей?] (Http://security.stackexchange.com/q/55563/12139) unor 10 лет назад 0
Хорошо, что теперь мы переходим к входу в систему на основе OpenID / OpenAuth. Все, что вам нужно, это просто изменить пароль для провайдера идентификации, а остальное на отдельных сайтах. Также обратите внимание, что стоит менять пароль только для сайтов, которые уже обновили свою библиотеку OpenSSL; вероятно, большое количество из этих 200 веб-сайтов, которые вы никогда не обновляли в своей системе, даже перед лицом Heartbleed. Lie Ryan 10 лет назад 1
это, вероятно, займет выходные, посвященные работе. Sam 10 лет назад 0
Поздравляем с тем, что вы единственный пользователь, который использует разные пароли для каждой отдельной службы. JFA 10 лет назад 2
@JFA ха, спасибо! :-) Это похоже на погоню за медведем, я думаю: мне не нужно опережать медведя, достаточно, если я опередил своего приятеля! Torben Gundtofte-Bruun 10 лет назад 0
Dashlane, очевидно, может сделать это как услугу. CMCDragonkai 8 лет назад 0

12 ответов на вопрос

61
Jason

Honestly, there is none. Not unless they offer an API where you can do remote management on your accounts. Pick and choose. Which ones are the highest priority. Bank for example you should change. Forums and other media sites could be ranked lower and changed on a need basis.

PS: I also think people are blowing this heartbleed way out of proportion.

Комментарии были удалены. Суперпользователь не является дискуссионным форумом - комментарии следует использовать, чтобы попросить разъяснений (о которых позже необходимо будет рассказать в ответе) или указать на проблемы в посте. Если вы хотите поговорить о Heartbleed, [чат] будет лучшим местом. Благодарю. slhck 10 лет назад 1
^ @slhck Я предлагаю, чтобы они обсуждали это в специальной комнате для ИТ-безопасности или чего-то подобного, чтобы не перегружать обычную комнату. Можете ли вы разместить ссылку на подходящую комнату? smci 10 лет назад 0
@ SMCI Я считаю, что наша главная комната действительно подходит для такого рода дискуссий. Мы обычно не применяем никаких тем. [security.SE] также есть чат. slhck 10 лет назад 0
12
Wutnaut

I'm curious what kind of answer you expect to get... A piece of software that cascades password changes over various protocols, sites, procedures, etc.? I'll bite my tongue on my opinion of the cost/benefit of actually changing all those passwords, considering any one of them could be cracked in a reasonable time frame, regardless if they are compromised. Instead, I'll recommend you gather contact information for each of these sites and services. Then send an e-mail to all of them requesting your password reset or to re-establish a new password on next login. I don't see any other shortcuts here.

Скорее всего, многие веб-сайты отправят ответ, в котором будет указано: «Если вы хотите сбросить пароль, перейдите по следующей ссылке: * ссылка для сброса пароля *». Nzall 10 лет назад 8
11
Benjamin Wade

Since your question probably doesn't lend itself to an easy answer, I would propose that you change the passwords of websites based on how vulnerable they make you (loss of money, loss of privacy, loss of reputation, etc.)

7
Steve Jessop

I will probably:

  • review the list for sites storing truly sensitive information
  • change those as soon as it seems clear the site is ready for that
  • change the remainder the next time I use the site or if the site requests/forces a change.

This means some of them will never be changed, because I will never use the site again, and that's the source of the efficiency gain over doing them all now. In fact this might eventually provoke a clear-up of pointless accounts. In the context of doing that, changing passwords isn't such a big operation.

I think (although I am not sure) that if I very infrequently use a site then there's relatively little chance of my password on that site having being compromised due to heartbleed. Hence the preference for sites I actually use.

The main danger of that guess being wrong is if it turns out that heartbleed has been actively exploited for a long time. Then there is plenty of opportunity for masses of passwords to have been compromised either directly via heartbleed, or by the use of private keys or admin credentials from heartbleed.

[Edit: it's starting to look like maybe heartbleed has been exploited by the NSA for about as long as it has existed. Will have to wait for more information on that, but in any case I'm not as concerned by the NSA having my passwords as you might expect. If the NSA wants my passwords then it has them, heartbleed is one of only many means by which they might acquire them. If they've had them for two years then another month until I find time to change a bunch of low-value accounts won't make a difference.]

The main danger of delaying the password change is that somebody might already have my password, but either hasn't got around to pulling it out of the GB of data they obtained using heartbleed, or else hasn't got around to using it yet. Hence the preference for more sensitive systems.

6
Sandy Gifford

It's questionable if this would actually take less work, but if you're at all handy with Javascript, you could write yourself some sort of mini-API that (once on the correct page) seeked out the correct fields and changed them for you:

https://stackoverflow.com/questions/257255/generic-way-to-fill-out-a-form-in-javascript

The upshot of this is once completed you'd have an easy go to for future changes. The downside is literally everything else about it.

И потом, когда любой из этих сайтов вносит какие-либо изменения в страницу, о которой идет речь, ваш сценарий, скорее всего, сломается ... :-( Michael 10 лет назад 0
@ Майкл, не обязательно. Скрипты, такие как SuperGenPass, делают именно это и являются очень общими и очень успешными. На самом деле это будет полезный инструмент для компаньона, как только я начну менять пароли сайта. Это был бы очень простой способ иметь длинные и уникальные пароли. Natch, большинство менеджеров паролей имеют что-то вроде этого, но не так просто, одним щелчком мыши. Torben Gundtofte-Bruun 10 лет назад 0
Недостаток выглядит довольно крутым, когда вы так говорите ... Raystafarian 10 лет назад 1
@ TorbenGundtofte-Bruun SuperGenPass, похоже, использует технику, которую я использовал вручную несколько лет назад, прежде чем у меня была цепочка для ключей: я бы взял имя веб-сайта и запустил секретное преобразование в своей голове, чтобы создать свой пароль. Это внезапно поразило меня, когда сайт, на котором я купил материал, был куплен другим сайтом (таким образом, изменив его название). Michael 10 лет назад 0
@ Майкл Я сделал то же самое, я остановился, потому что у меня был миниатюрный штрих каждый раз, когда мне приходилось сбрасывать свой пароль и выбирать новый. В любом случае, чтобы ответить на то, что вы сказали ранее: да, крутой минус, и нет, я бы никогда не выбрал этот ответ; Я чувствовал, что это стоит оставить здесь как альтернативное решение для любого из смелых суперпользователей, которые столкнулись с вопросом. Sandy Gifford 9 лет назад 0
4
BillR

Specifically for LastPass since you mentioned that, you could export a ccv file and submit the sites to one of the validation tools such as the one LastPass itself offers to determine which sites are even ready to have the passwords changed.

I'm sure each of the vendors is also busy creating/considering a tool to automate something equivalent (e.g., a supplement to LP's Security Challenge).

Each password manager is going to present a different challenge. For example Dashlane does not include the ability to sort passwords by date changed, although it does have a field you can re-purpose to checkoff passwords that have been changed or that you are going to ignore.

Update (Oct 2015) - LastPass and Dashlane (the two I've tried) and some other password managers now have a procedure/form that can make changing passwords at several hundred sites as simple as checking a box (if you trust the automation; they even know that some sites exclude/require certain special characters or mandate length). Alternatively, some take you directly to the site change page via a link, suggest a new password, and record your change.

If you like, open another browser and very quickly test the new password by using the 1 to 3 click open-and-autologin/autofill procedure for that website. Just be cognizant of how and when sync occurs.

I thought this deserved an update since we have had so many more large site cracks and network and router exploits.

4
Quora Feans

Check whether you can login with Google OpenID in some sites. That could reduce the number of passwords you need to change/manage/use.

Bookmark all 'Change password' pages and open them all in tabs together (or maybe in batches of 50). Make a script for generating a list of random passwords and copy-paste them with a copy-and-paste tool. Clean your system after doing this. Changing 50 passwords with this method won't take you more than 10 minutes, which seems a pretty reasonable time for a weekly maintenance.

Doing this, you'll change all your passwords once a month, investing 10 min. a week.

12 секунд на сайт звучит для меня оптимистично, даже открывая каждую страницу смены пароля во вкладках. Но принцип кажется правильным, это, пожалуй, самый эффективный способ посетить все сайты и сменить пароли. Steve Jessop 10 лет назад 1
1
keshlam

Если системы позволяют вам подключаться через telnet или ssh или что-то подобное, вы можете записать изменения пароля относительно простым способом. Если смена пароля должна осуществляться через веб-интерфейс, написание инструментария для работы с вариациями, вероятно, потребует больше усилий, чем стоило бы, но я бы по крайней мере попытался убедиться, что новый пароль был вставлен из надежного Источник, а не надеясь, что я могу точно перепечатать его 400 раз.

Системы федеративных идентификаторов несколько упрощают эту задачу, предоставляя единую точку для изменения пароля для нескольких систем ... но, конечно, вы должны решить, доверяете ли вы этим концентраторам идентификаторов.

ПРИМЕЧАНИЕ. Смена паролей на регулярной основе НЕ повышает безопасность, как это принято считать. Во всяком случае, это может побудить людей выбирать плохие пароли, потому что выбор нового удачного пароля каждые N месяцев - это боль в занятии. Это помогает только в том случае, если вы считаете, что кто-то с достаточной вероятностью украл ваш существующий пароль, и если этот пароль выдает что-то, что вас волнует, или рискует быть использовано для усиления прав.

1
zinking

У меня есть предложение, которое звучит выполнимо. Я никогда не пробую себя, хотя.

use AHK (key mouse event recorders ) вы делаете партию изменений пароля и регистрируете сеанс, используя AHK. в следующий раз вы захотите сменить пароль. Выньте скрипт AHK и измените только пароль. вам нужно только снова сыграть скрипт AHK.

Я сам использую разные пропуска для разных сайтов, если только они не просочились, мне не нужно менять их одновременно.

1
assylias

LastPass услышал вас и опубликовал запись в блоге, объясняющую, как это можно сделать. И суть заключается в следующем: вам нужно сделать это вручную сайт за сайтом.

Также стоит отметить, что вы должны убедиться, что сайты были обновлены, прежде чем менять свой пароль.

Похожие вопросы