Який ефективний спосіб змінити паролі акаунта 200+?


87

У мене дуже багато інтернет-акаунтів, веб-служб тощо - як особистих, так і ділових - так очевидно (?) Я використовую менеджер паролів, щоб обробляти їх усіма. Конкретно я використовую Lastpass, але моє запитання стосується будь-яких:

Враховуючи проблему з Heartbleed і пов'язані з цим питання , навіть якщо я хотів змінити всі свої паролі (і чи не повинні ми це робити через регулярні інтервали ??), як у світі я можу змінити стільки паролів ефективно?

Якщо мені доведеться відвідувати кожну службу та сайт окремо і змінювати PW вручну, зрозуміло, що на вихідні буде потрібна віддана робота ... Захист паролем хороший і все, але це просто не практично.

Оновлення: Я щойно використав "Проблему безпеки" Lastpass, яка повідомляє, що у мене 274 сайти та показник безпеки понад 83%. Кілька сайтів інтрамережі на роботі повторно використовують один і той же Pw, що значно знижує мою оцінку. Усі мої облікові записи в Інтернеті перевищують 92%.


6
Будь ласка, прочитайте цю прекрасну літературу перед тим, як змінити всі ваші паролі: security.stackexchange.com/questions/55283/…
MonkeyZeus

4
Я радий, що ти сподобався моєму гумору :), але з усією серйозністю не існує простого виходу. І я думаю, що ви, можливо, пропустили основну точку мого посилання, а саме цей розділ: Зміна паролів на веб-сайті, який є вразливим для Heartbleed, діє лише після
MonkeyZeus

Посилання на це питання щодо інформаційної безпеки : API для зміни паролів?
unor

1
добре, що зараз ми переходимо до системи реєстрації на основі OpenID / OpenAuth. Все, що вам потрібно, це просто змінити пароль для постачальника посвідчень особи, а решта - на окремих веб-сайтах. Також зауважте, що варто лише змінити пароль для сайтів, які вже оновили свою бібліотеку OpenSSL; напевно, гарна кількість цих 200 веб-сайтів, на яких ви ніколи не проводили жодних оновлень у своїй системі, навіть перед обличчям Heartbleed.
Лежати Райан

2
Вітаємо вас тим, що є одним користувачем, який фактично використовує різні паролі для кожної різної послуги.
JFA

Відповіді:


61

Чесно кажучи, такого немає. За винятком випадків, коли вони пропонують API, де ви можете здійснювати віддалене управління своїми обліковими записами. Виберіть і виберіть. Які з них є найвищим пріоритетом. Банк, наприклад, ви повинні змінити. Форуми та інші медіа-сайти можна класифікувати нижчими та змінити за потребою.

PS: Я також думаю, що люди дують цим сердечним способом пропорційно.


1
Коментарі очищені. Супер Користувач не є дискусійним форумом - коментарі слід використовувати для запитання про роз'яснення (на які згодом слід звернутись у відповіді) або вказувати питання у публікації. Якщо ви хочете поговорити про Heartbleed, найкращим місцем став би чат Super User . Дякую.
slhck

^ @ slhck Я пропоную обговорити це в спеціальній кімнаті для ІТ-безпеки або подібній формі, щоб уникнути переповненості звичайної кімнати. Чи можете ви опублікувати посилання на відповідну кімнату?
smci

@smci Я вважаю, що наша основна кімната насправді добре підходить для такої дискусії. Зазвичай ми не застосовуємо жодних тем. Інформаційна безпека також має кімнату чату.
slhck

12

Мені цікаво, яку відповідь ви очікуєте отримати ... Шматок програмного забезпечення, яке каскадно змінює пароль для різних протоколів, сайтів, процедур тощо? Я розкушу мою думку про вартість / вигоду від фактичної зміни всіх цих паролів, вважаючи, що будь-який з них може бути зламаний у розумні часові рамки, незалежно від того, якщо вони порушені. Натомість я рекомендую вам зібрати контактну інформацію для кожного із цих сайтів та служб. Потім надішліть всім електронним листом запит на скидання пароля або відновлення нового пароля при наступному вході. Я не бачу тут ніяких інших ярликів.


8
Багато веб-сайтів, ймовірно, надішле відповідь назад із зазначенням "Якщо ви хочете скинути свій пароль, натисніть на таке посилання: посилання для скидання пароля ".
Nzall

11

Оскільки ваше запитання, ймовірно, не піддається легкій відповіді, я пропоную вам змінити паролі веб-сайтів, виходячи з того, наскільки вони вразливі для вас (втрата грошей, втрата конфіденційності, втрата репутації тощо).


7

Я, мабуть, буду:

  • переглянути список сайтів, на яких зберігається дійсно конфіденційна інформація
  • змінити їх, як тільки здасться зрозумілим, сайт готовий до цього
  • змінити залишок наступного разу, коли я використовую сайт, або якщо сайт вимагає / примушує зміни.

Це означає, що деякі з них ніколи не будуть змінені, тому що я більше ніколи не буду користуватися сайтом, і це джерело підвищення ефективності над тим, як робити все це зараз. Насправді це може врешті спровокувати очищення безглуздих рахунків. У контексті цього зміна паролів не є такою великою операцією.

Я думаю (хоча я не впевнений), що якщо я дуже рідко використовую сайт, то порівняно мало шансів, що мій пароль на цьому веб-сайті зіпсується через серце. Звідси перевага сайтам, які я фактично використовую.

Основна небезпека того, що здогадатися помилитися, полягає в тому, якщо виявиться, що серцебиття активно експлуатується давно. Тоді є велика кількість можливостей для компрометації маси паролів або безпосередньо через серце, або за допомогою приватних ключів або облікових даних адміністратора від сердець.

[Редагувати: це починає виглядати так, що, можливо, безсердечне експлуатується НСА приблизно так довго, як воно існувало. Доведеться чекати додаткової інформації з цього приводу, але в будь-якому випадку мене не турбує, як АНБ має свої паролі, як ви могли очікувати. Якщо АНБ бажає моїх паролів, значить, їх є, сердечко - це один із лише багатьох засобів, за допомогою яких вони можуть їх отримати. Якщо вони мали їх два роки, то ще місяць, поки я не знайду часу змінити купу низькоцінних рахунків, це не змінить].

Основна небезпека відтермінування зміни пароля полягає в тому, що хтось може вже мати мій пароль, але або не має можливості витягнути його з ГБ даних, отриманих за допомогою сервера, або ще не отримав можливості використовувати його. Звідси перевага більш чутливим системам.


6

Сумнівно, чи справді це займе менше роботи, але якщо ви взагалі зручні з Javascript, ви можете написати собі міні-API, який (потрапивши на правильну сторінку) шукав правильні поля та змінив їх для вас:

https://stackoverflow.com/questions/257255/generic-way-to-fill-out-a-form-in-javascript

Підсумок цього результату, як тільки буде завершено, ви легко перейдете до майбутніх змін. Мінус - це буквально все інше.


І тоді, коли будь-який із цих сайтів внесе якісь зміни до відповідної сторінки, ваш сценарій, швидше за все, порушиться ... :-(
Майкл

@Michael, не обов’язково. Сценарії на кшталт SuperGenPass роблять саме це і є дуже загальними та дуже успішними. Це насправді буде корисним інструментом-компаньйоном, як тільки я розпочну зміну паролів сайту. Це був би мертвий простий спосіб мати довгі та унікальні паролі. Наче, у більшості менеджерів паролів є щось подібне, але не настільки просто в один клік.
Torben Gundtofte-Bruun

1
Мінус здається досить крутим, коли ви так
вирішите

@ TorbenGundtofte-Bruun SuperGenPass, як видається, використовував техніку, яку я робив вручну років тому, перш ніж я взяв брелок: я б взяв ім’я веб-сайту і запустив секретну трансформацію в голові, щоб створити свій пароль. Це різко мене покусало, коли сайт, у якого я купував речі, придбав інший сайт (тим самим змінивши свою назву).
Майкл

@Michael Я зробив те ж саме, я зупинився, тому що в мене був би мініатюрний штрих кожного разу, коли я повинен був би скинути свій пароль і вибрати новий. У будь-якому разі, щоб вирішити те, що ви сказали раніше: так, супер крутий зворотній бік, і ні, я ніколи б не вважав, що це обрана відповідь; Я відчув, що варто залишитись тут, як альтернативне рішення для будь-яких сміливих супер користувачів, які траплялися напротив запитання.
Сенді Гіффорд

4

Перевірте, чи можете ви входити в Google OpenID на деяких сайтах. Це може зменшити кількість паролів, які потрібно змінити / керувати / використовувати.

Закладка на всі сторінки "Змінити пароль" і відкрити їх у вкладках разом (а може, і по 50 партій). Створіть сценарій для створення списку випадкових паролів та скопіюйте їх, вставивши їх за допомогою інструменту копіювання та вставки. Очистіть систему після цього. Зміна 50 паролів за допомогою цього методу не займе у вас більше 10 хвилин, що здається досить розумним часом для щотижневого обслуговування.

Роблячи це, ви будете змінювати всі паролі раз на місяць, вкладаючи 10 хв. тиждень.


1
12 секунд на сайті для мене звучать оптимістично, навіть відкриваючи кожну сторінку зміни пароля на вкладках. Але принцип здається правильним, це, мабуть, найефективніший спосіб відвідування всіх сайтів та зміни паролів.
Стів Джессоп

4

Спеціально для LastPass, оскільки ви згадали про це, ви можете експортувати файл ccv та подавати сайти на один із інструментів перевірки, наприклад, на один LastPass, який пропонує визначити, які сайти навіть готові змінити паролі.

Я впевнений, що кожен з постачальників також зайнятий створенням / розглядом інструменту для автоматизації чогось еквівалентного (наприклад, доповнення до LP Security Challenge).

Кожен менеджер паролів повинен поставити різні завдання. Наприклад, Dashlane не включає можливість сортування паролів за зміненою датою, хоча в ній є поле, яке можна повторно призначити для перевірки паролів, які були змінені або які ви збираєтесь ігнорувати.

Оновлення (жовтень 2015 р.) - LastPass і Dashlane (два, які я пробував) та деякі інші менеджери паролів тепер мають процедуру / форму, завдяки якій зміна паролів на кількох сотнях сайтів може бути простою, як встановити прапорець (якщо ви довіряєте автоматизації; вони навіть знають, що деякі сайти виключають / вимагають певних спеціальних символів або тривалості мандату). Крім того, деякі переносять вас безпосередньо на сторінку зміни сайту за посиланням, пропонують новий пароль та записують зміни.

Якщо вам подобається, відкрийте інший браузер і дуже швидко протестуйте новий пароль, скориставшись процедурою відкриття та автозавантаження / автозаповнення для цього веб-сайту. Просто знайте, як і коли відбувається синхронізація.

Я вважав, що це заслуговує на оновлення, оскільки у нас було так багато великих тріщин на сайті та експлуатації мереж та маршрутизаторів.


1

Якщо системи дозволяють вам підключитися через telnet або ssh або щось подібне, ви можете зафіксувати зміни пароля порівняно просто. Якщо зміни пароля потрібно здійснити через веб-інтерфейс, написання інструментів для вирішення варіантів, ймовірно, буде більше роботи, ніж варто, але я б принаймні намагаюся переконатися, що новий пароль був вставлений з надійного джерело, а не сподівання, що я міг би його точно повторити 400 разів.

Системи об'єднаних ідентифікаторів спрощують це дещо, надаючи єдину точку змінити пароль для декількох систем ... але, звичайно, ви повинні вирішити, чи довіряєте ви цим концентраторам ідентифікаторів.

ПРИМІТКА: регулярна зміна паролів НЕ покращує безпеку настільки, як прийнято вважати. Якщо що-небудь, це може закликати людей вибирати неповноцінні паролі, адже вибір нового хорошого кожні N місяців - це біль у патуті. Це допомагає лише в тому випадку, якщо ви вважаєте, що хтось з великою ймовірністю вкрав ваш існуючий пароль і якщо виходу з нього викриває щось, що вас хвилює, або є ризик отримати його за посилення прав.


1

У мене є пропозиція, яка звучить здійсненно. Я ніколи не пробую себе, хоча.

use AHK (key mouse event recorders ) Ви робите пакет змін паролів і реєструєте сеанс за допомогою AHK. наступного разу, коли ви захочете змінити пароль. вийміть сценарій AHK і змініть лише пароль. вам потрібно лише знову відтворити сценарій AHK.

Я сам використовую різні пропуски для різних сайтів, якщо всі вони не просочені, мені не потрібно їх змінювати за один раз.


1

LastPass почув вас і опублікував запис у блозі, де пояснюється, як це можна зробити. І суть полягає в тому, що це потрібно робити вручну за сайтом.

Також варто зазначити, що перед зміною пароля слід переконатися, що сайти були оновлені.


0

Ви можете спробувати скористатися утилітою Dashlane , яка включає функцію Changer Password (безкоштовно), яка може змінювати десятки паролів за один клік.

Здійснює важку підміну заміни старих паролів на нові міцні та захищає їх у Dashlane, де вони запам'ятовуються та вводяться для вас.


Як і багато інших менеджерів паролів через 3 або 5 років після початкової публікації в 2014 році, включаючи LastPass, згаданий у початковій публікації.
BillR

-2

Створіть механічний тюрк Amazon.
Складіть список своїх веб-сайтів, імен користувачів та поточних паролів. Кожен HIT видасть одну або декілька з них. Наведіть правила того, з чого повинен складатися новий пароль. Сплата 0,01 долара за пароль. Користувач повинен змінити пароль і повідомити про новий пароль. Це має змінити ваші паролі досить швидко. https://requester.mturk.com/


21
Ви справді впевнені, що це добра ідея довіряти незнайомцям, які працюють у MTurk, щоб змінити ваші паролі?

8
Я можу витлумачити це лише як жарт, який у гіршому випадку повинен пройти на сесії коментарів.
Quora Feans

1
LOL, чому б не пропустити середнього чоловіка і просто надіслати свій БД менеджер PW прямо до російської мафії (або в якусь іншу не менш авторитетну групу). Нарівні з порадами, які ви очікуєте отримати від хлопця, одягненого в комбінезон DOC.
krowe
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.