86

У меня много онлайн-аккаунтов, веб-сервисов и т.д. - как личных, так и деловых - так очевидно (?) Я использую менеджер паролей, чтобы обработать их все. В частности, я использую Lastpass, но мой вопрос относится ко всем и каждому:

Учитывая проблему Heartbleed и связанные с ней вопросы, даже если бы я хотел изменить все свои пароли (и разве мы не должны делать это через регулярные промежутки времени?), Как в мире я могу изменить столько паролей эффективным способом?

Если мне придется посещать каждый сервис и сайт по отдельности и менять PW вручную, ясно, что это займет выходные, посвященные работе ... безопасность пароля хорошая и все, но это просто не практично.

Обновление: я только что использовал "вызов безопасности" Lastpass, который сообщает, что у меня 274 сайта и показатель безопасности превышает 83%. Несколько интранет-сайтов на работе используют один и тот же pw, что значительно снижает мой счет. Все мои учетные записи в Интернете набрали более 92%.

12 ответов12

61

Честно говоря, нет. Нет, если они не предлагают API, где вы можете осуществлять удаленное управление своими учетными записями. Тщательно выбирать. Какие из них являются наиболее приоритетными. Банк, например, вы должны изменить. Форумы и другие медиа-сайты могут быть ранжированы ниже и изменены по мере необходимости.

PS: я также думаю, что люди несут этот душераздирающий выход из пропорции.

12

Мне интересно, какой ответ вы ожидаете получить ... Часть программного обеспечения, которая каскадно изменяет пароль по различным протоколам, сайтам, процедурам и т.д.? Я укушу язык за то, что мое мнение о стоимости / выгоде фактического изменения всех этих паролей связано с тем, что любой из них может быть взломан в разумные сроки, независимо от того, будут ли они взломаны. Вместо этого я рекомендую вам собрать контактную информацию для каждого из этих сайтов и услуг. Затем отправьте всем им письмо с просьбой сбросить пароль или заново установить новый пароль при следующем входе в систему. Я не вижу здесь никаких других ярлыков.

11

Поскольку ваш вопрос, вероятно, не поддается простому ответу, я бы предложил вам изменить пароли веб-сайтов в зависимости от того, насколько они уязвимы для вас (потеря денег, потеря конфиденциальности, потеря репутации и т.д.)

7

Я, вероятно:

  • просмотрите список сайтов, на которых хранится действительно конфиденциальная информация
  • измените их, как только станет ясно, что сайт готов к этому
  • измените остаток в следующий раз, когда я использую сайт или если сайт запрашивает / вызывает изменение.

Это означает, что некоторые из них никогда не будут изменены, потому что я никогда не буду использовать сайт снова, и это является источником повышения эффективности по сравнению с выполнением их всех сейчас. На самом деле это может в конечном итоге спровоцировать бессмысленные расчеты. В этом контексте смена паролей не такая уж большая операция.

Я думаю (хотя я не уверен), что если я очень редко пользуюсь сайтом, то вероятность того, что мой пароль на этом сайте будет скомпрометирован из-за сильного кровотечения, сравнительно мала. Отсюда и предпочтение сайтов, которые я на самом деле использую.

Главная опасность ошибочного предположения состоит в том, что оказывается, что кровотечение активно эксплуатируется в течение длительного времени. Кроме того, масса паролей может быть скомпрометирована либо напрямую с помощью heartbleed, либо с помощью закрытых ключей или учетных данных администратора из heartbleed.

[Редактировать: это начинает выглядеть так, будто, возможно, сердечные кровопролития использовались АНБ почти столько же, сколько существовали. Придется подождать дополнительной информации об этом, но в любом случае я не так обеспокоен тем, что АНБ имеет мои пароли, как вы могли ожидать. Если АНБ хочет мои пароли, значит, они есть, сердцебиение - одно из многих средств, с помощью которых они могут их получить. Если они были у них два года, то еще месяц, пока я не найду время изменить кучу малоценных аккаунтов, не изменится.]

Основная опасность отсрочки смены пароля заключается в том, что кто-то может уже иметь мой пароль, но либо не удосужился извлечь его из ГБ данных, полученных с помощью heartbleed, либо еще не успел его использовать. Отсюда и предпочтение более чувствительным системам.

6

Сомнительно, что на самом деле это займет меньше работы, но если вам вообще пригодится Javascript, вы можете написать себе какой-нибудь мини-API, который (однажды на правильной странице) будет искать правильные поля и изменять их для вас:

https://stackoverflow.com/questions/257255/generic-way-to-fill-out-a-form-in-javascript

В результате этого, как только вы закончите, вы легко перейдете к будущим изменениям. Недостатком является буквально все остальное об этом.

4

Проверьте, можете ли вы войти в систему с помощью Google OpenID на некоторых сайтах. Это может уменьшить количество паролей, которые вам нужно изменить / управлять / использовать.

Добавьте в закладки все страницы «Смена пароля» и откройте их все вместе на вкладках (или, возможно, партиями по 50). Сделайте скрипт для генерации списка случайных паролей и скопируйте и вставьте их с помощью инструмента копирования и вставки. Очистите вашу систему после этого. Смена 50 паролей с помощью этого метода не займет у вас более 10 минут, что кажется вполне приемлемым временем для еженедельного обслуживания.

Делая это, вы будете менять все свои пароли раз в месяц, вкладывая 10 минут. неделя.

4

Специально для LastPass, поскольку вы упомянули об этом, вы можете экспортировать файл ccv и отправить сайты в один из инструментов проверки, таких как тот, который предлагает сам LastPass, чтобы определить, какие сайты даже готовы к изменению паролей.

Я уверен, что каждый из поставщиков также занят созданием / рассмотрением инструмента для автоматизации чего-то эквивалентного (например, дополнение к LP Challenge Security Challenge).

Каждый менеджер паролей будет представлять свою задачу. Например, Dashlane не включает в себя возможность сортировки паролей по дате изменения, хотя у него есть поле, которое вы можете повторно назначить для проверки паролей, которые были изменены или которые вы собираетесь игнорировать.

Обновление (октябрь 2015 г.) - LastPass и Dashlane (два, которые я пробовал) и некоторые другие менеджеры паролей теперь имеют процедуру / форму, которая может сделать изменение паролей на нескольких сотнях сайтов таким же простым, как установка флажка (если вы доверяете автоматизации; они даже знают, что некоторые сайты исключают / требуют определенных специальных символов или длины мандата). Кроме того, некоторые перенаправляют вас на страницу изменения сайта по ссылке, предлагают новый пароль и записывают изменения.

Если хотите, откройте другой браузер и очень быстро протестируйте новый пароль, используя процедуру открытия и автозаполнения / автозаполнения от 1 до 3 для этого веб-сайта. Просто знайте, как и когда происходит синхронизация.

Я думал, что это заслуживает обновления, так как у нас было намного больше крупных взломов сайтов и использование сети и маршрутизаторов.

1

Если системы позволяют вам подключаться через telnet или ssh или что-то подобное, вы можете записать изменения пароля относительно простым способом. Если смена пароля должна осуществляться через веб-интерфейс, написание инструментария для работы с вариациями, вероятно, потребует больше усилий, чем стоило бы, но я бы по крайней мере попытался убедиться, что новый пароль был вставлен из надежного Источник, а не надеясь, что я могу точно перепечатать его 400 раз.

Системы федеративных идентификаторов несколько упрощают эту задачу, предоставляя единую точку для изменения пароля для нескольких систем ... но, конечно, вы должны решить, доверяете ли вы этим концентраторам идентификаторов.

ПРИМЕЧАНИЕ. Смена паролей на регулярной основе НЕ повышает безопасность, как это принято считать. Во всяком случае, это может побудить людей выбирать плохие пароли, потому что выбор нового удачного пароля каждые N месяцев - это боль в занятии. Это помогает только в том случае, если вы считаете, что кто-то с достаточной вероятностью украл ваш существующий пароль, и если этот пароль выдает что-то, что вас волнует, или рискует быть использовано для усиления прав.

1

У меня есть предложение, которое звучит выполнимо. Я никогда не пробую себя, хотя.

use AHK (key mouse event recorders ) чтобы выполнить партию изменений пароля, и зарегистрируйте сеанс с помощью AHK. в следующий раз вы захотите сменить пароль. Выньте скрипт AHK и измените только пароль. вам нужно только снова сыграть скрипт AHK.

Я сам использую разные пропуска для разных сайтов, если только они не просочились, мне не нужно менять их одновременно.

1

LastPass услышал вас и опубликовал запись в блоге, объясняющую, как это можно сделать. И суть заключается в следующем: вам нужно сделать это вручную сайт за сайтом.

Также стоит отметить, что вы должны убедиться, что сайты были обновлены, прежде чем менять свой пароль.

0

Вы можете попробовать использовать Dashlane утилиту , которая включает в себя Password Changer функцию (это бесплатно) , который может изменить десятки паролей в один клик.

Он выполняет тяжелую работу по замене старых паролей на надежные новые и защищает их в Dashlane, где они запоминаются и вводятся для вас.

-2

Создайте механический турок Amazon.
Составьте список ваших веб-сайтов, имена пользователей и текущие пароли. Каждый ХИТ выдаст один или несколько из них. Укажите правила, из которых должен состоять новый пароль. Платить $ 0,01 за пароль. Пользователь должен изменить пароль и сообщить новый пароль. Это должно изменить ваши пароли довольно быстро. https://requester.mturk.com/

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .