Вопрос: Каков эффективный способ изменить мои 200 + пароли учетной записи?


у меня есть много онлайн-счетов, веб-сервисов и т. д. - как личных, так и бизнес - так очевидно (?) Я использую диспетчер паролей для их обработки. В частности, я использую Lastpass, но мой вопрос касается всех и всех:

Учитывая Проблемы с сердцем и связанные с ними вопросы, даже если бы я хотел изменить все мои пароли (и разве мы все не будем делать это с регулярными интервалами?), как в мире я могу изменить так много паролей эффективным образом?

Если мне приходится каждый раз посещать каждый сервис и сайт и менять PW вручную, ясно, что на выходные уйдет целая работа ... безопасность паролей - это хорошо, и все это просто не практично.

Обновление: я просто использовал «проблему безопасности» Lastpass, в которой сообщается, что у меня есть 274 сайта и оценка безопасности более 83%. Несколько сайтов интрасети на работе используют одно и то же значение, что значительно снижает мой балл. Все мои учетные записи интернета превышают 92%.


85
2018-04-09 19:17


Источник


Пожалуйста, прочитайте эту прекрасную литературу, прежде чем изменять все свои пароли: security.stackexchange.com/questions/55283/... - MonkeyZeus
Я рад, что вам понравился мой юмор :), но со всей серьезностью нет простого выхода. И я думаю, что вы, возможно, пропустили основную точку моей ссылки, которая находится в этом разделе: Изменение паролей на сайте, который был / уязвим для Heartbleed, действует только после - MonkeyZeus
Ссылка на этот вопрос на Информационная безопасность: API для изменения паролей? - unor
хорошо, что теперь мы переходим к подписке OpenID / OpenAuth. Все, что вам нужно, это просто изменить пароль для поставщика удостоверений, а остальное - на отдельных веб-сайтах. Кроме того, обратите внимание, что стоит только сменить пароль для сайтов, которые уже обновили свою библиотеку OpenSSL; вероятно, большое количество этих 200 веб-сайтов, которые вы никогда не делаете никаких обновлений в своей системе даже перед лицом Heartbleed. - Lie Ryan
Поздравляем вас с тем, что один пользователь фактически использует разные пароли для каждой другой службы. - JFA


Ответы:


Честно, их нет. Если они не предлагают API, где вы можете осуществлять удаленное управление своими учетными записями. Тщательно выбирать. Какие из них являются наивысшим приоритетом. Банк, например, должен измениться. Форумы и другие медиа-сайты могут быть ранжированы ниже и изменены на основе потребностей.

PS: Я также думаю, что люди дуют из этого безмятежного пути из пропорции.


61
2018-04-09 19:31



Комментарии были очищены. Суперпользователь не является дискуссионным форумом - комментарии должны использоваться для запроса разъяснений (которые позже должны быть рассмотрены в ответе) или указать проблемы в сообщении. Если вы хотите поговорить о Heartbleed, Супер пользовательский чат было бы лучшим местом. Благодарю. - slhck
^ @slhck Я предлагаю, чтобы они обсуждали это в специальной комнате для ИТ-безопасности и т. д., чтобы избежать подавления обычной комнаты. Вы можете разместить ссылку на подходящую комнату? - smci
@smci Я считаю, что наша главная комната действительно хорошо подходит для такого обсуждения. Обычно мы не применяем какие-либо темы. Информационная безопасность также есть чат. - slhck


Мне любопытно, какой ответ вы ожидаете получить ... Часть программного обеспечения, которое каскадирует пароль, изменяется по различным протоколам, сайтам, процедурам и т. Д.? Я буду кусать свой язык по моему мнению о стоимости / выгоде от фактического изменения всех этих паролей, учитывая, что любой из них может быть взломан в разумные сроки, независимо от того, скомпрометированы ли они. Вместо этого я рекомендую вам собрать контактную информацию для каждого из этих сайтов и служб. Затем отправьте электронное письмо всем им, запрашивающему сброс пароля, или восстановите новый пароль при следующем входе в систему. Я не вижу никаких других ярлыков здесь.


12
2018-04-09 19:25



Многие веб-сайты, скорее всего, отправят ответ, заявив: «Если вы хотите сбросить свой пароль, нажмите на следующую ссылку: ссылка на сброс пароля». - Nzall


Поскольку ваш вопрос, вероятно, не поддается легкому ответу, я бы предложил изменить пароли веб-сайтов на основе того, насколько они уязвимы (потеря денег, потеря конфиденциальности, потеря репутации и т. Д.),


11
2018-04-10 02:27





Я, вероятно:

  • просмотрите список сайтов, хранящих действительно конфиденциальную информацию
  • измените их, как только станет ясно, что сайт готов к этому
  • измените остаток в следующий раз, когда я буду использовать сайт, или если сайт запрашивает / заставляет изменения.

Это означает, что некоторые из них никогда не будут изменены, потому что я больше никогда не буду использовать сайт, и теперь это источник повышения эффективности, что делает их всех сейчас. На самом деле это может в конечном итоге вызвать ясность бессмысленных счетов. В контексте этого, изменение паролей не является такой большой операцией.

я думать (хотя я не уверен), что, если я очень редко использую сайт, вероятность того, что мой пароль на этом сайте будет скомпрометирован из-за брызг, будет относительно небольшим. Отсюда предпочтение для сайтов, которые я фактически использую.

Главная опасность того, что эта догадка ошибочна, - если окажется, что бровь активно используется в течение длительного времени. Тогда есть много возможностей для того, чтобы массы паролей были скомпрометированы либо напрямую через heartbleed, либо с помощью закрытых ключей или учетных данных администратора от бровь.

[Изменить: это начинает выглядеть, как будто бровь была использована NSA примерно столько, сколько она существовала. Придется подождать больше информации об этом, но в любом случае я не так заинтересован в том, что NSA имеет мои пароли, как вы могли ожидать. Если NSA хочет мои пароли, то у них есть, бровь - одно из многих способов, которыми они могут их приобрести. Если они были у них в течение двух лет, то еще месяц, пока я не найду время, чтобы сменить кучу малоценных учетных записей, не будет иметь никакого значения.]

Основная опасность задержки смены пароля заключается в том, что у кого-то уже может быть мой пароль, но у него не было возможности вытащить его из ГБ данных, которые они получили с помощью брызги, или еще не успели его использовать. Следовательно, предпочтение отдается более чувствительным системам.


7
2018-04-10 18:21





Это сомнительно, если бы это на самом деле Меньше работайте, но если вам вообще удобнее пользоваться Javascript, вы можете написать себе какой-то мини-API, который (один раз на правильной странице) искал правильные поля и менял их для вас:

https://stackoverflow.com/questions/257255/generic-way-to-fill-out-a-form-in-javascript

После этого вы закончите, вы сможете легко перейти к будущим изменениям. Недостатком является буквально все остальное.


6
2018-04-10 13:40



И тогда в любой момент, когда какой-либо из этих сайтов делает какие-либо изменения на рассматриваемой странице, ваш скрипт, скорее всего, сломается ... :-( - Michael
@ Майкл, не обязательно. Сценарии, такие как SuperGenPass, делают именно это и являются очень универсальными и очень успешными. Фактически это было бы полезно инструмент компаньона как только я начну менять пароли сайта. Это был бы простой способ иметь длинные и уникальные пароли. Natch, большинство менеджеров паролей имеют что-то вроде этого, но не как простой щелчок. - Torben Gundtofte-Bruun
Недостаток кажется довольно крутым, когда вы так выразились ... - Raystafarian
@ TorbenGundtofte-Bruun SuperGenPass, похоже, использует технику, которую я делал вручную несколько лет назад, прежде чем у меня был брелок: я бы взял имя веб-сайта и запустил секретное преобразование в голове, чтобы создать свой пароль. Это резко укусило меня, когда сайт, который я купил, купил у другого сайта (тем самым изменив его название). - Michael
@ Майкл. Я сделал то же самое, я остановился, потому что каждый раз, когда мне придется сбросить свой пароль и выбрать новый, я бы выполнил миниатюрный штрих. В любом случае, чтобы ответить на то, что вы сказали ранее: да, супер крутой минус, и нет, я бы никогда не выбрал этот ответ; Я чувствовал, что стоит оставить здесь альтернативное решение для любого из более смелых суперпользователей, которые столкнулись с этим вопросом. - Sandy Gifford


Проверьте, можете ли вы войти в Google OpenID на некоторых сайтах. Это может уменьшить количество паролей, необходимых для изменения / управления / использования.

Заблокируйте все страницы «Сменить пароль» и откройте их все в закладках вместе (или, может быть, в партиях по 50). Создайте сценарий для создания списка случайных паролей и скопируйте их с помощью инструмента копирования и вставки. После этого очистите вашу систему. Изменение 50 паролей с помощью этого метода не займет у вас более 10 минут, что кажется довольно разумным временем для недельного обслуживания.

Делая это, вы будете менять все свои пароли раз в месяц, инвестируя 10 минут. неделя.


4
2018-04-10 13:52



12 секунд на сайт звучит оптимистично для меня, даже открывая каждую страницу смены пароля в закладках. Но принцип кажется правильным, это, вероятно, самый эффективный способ посетить все сайты и изменить пароли. - Steve Jessop


В частности, для LastPass, поскольку вы упомянули об этом, вы можете экспортировать файл ccv и отправить сайты в один из инструментов проверки, например, тот, который сам LastPass предлагает определить, какие сайты даже готовы изменить пароли.

Я уверен, что каждый из поставщиков также занят созданием / рассмотрением инструмента для автоматизации чего-то эквивалентного (например, дополнения к Challenge Security LP).

Каждый менеджер паролей собирается представить другой вызов. Например, Dashlane не включает возможность сортировки паролей по дате, измененной, хотя в ней есть поле, которое вы можете повторно использовать для проверки паролей, которые были изменены или которые вы проигнорируете.

Обновление (октябрь 2015 г.) - LastPass и Dashlane (те два, которые я пробовал), и некоторые другие менеджеры паролей теперь имеют процедуру / форму, которые могут изменять пароли на нескольких сот сайтах так же просто, как проверять поле (если вы доверяете автоматизации, они даже знают, что некоторые сайты исключают / требуют определенных специальных символов или мандатной длины). Кроме того, некоторые из вас сразу попадают на страницу смены сайта по ссылке, предлагают новый пароль и записывают ваши изменения.

Если вам нравится, откройте другой браузер и очень быстро протестируйте новый пароль, используя процедуру открытия и автоматического автоопределения от 1 до 3 кликов для этого веб-сайта. Просто знайте, как и когда происходит синхронизация.

Я думал, что это заслуживает обновления, поскольку у нас было так много более крупных трещин сайта, а также сетевых и роутер-эксплойтов.


4
2018-04-09 23:33





Если системы позволяют подключаться через telnet или ssh или что-то подобное, вы можете сценарий изменения пароля относительно простым способом. Если смена пароля должна быть выполнена через веб-интерфейс, написание инструментов для обработки вариантов, вероятно, будет больше работы, чем было бы полезно, но я бы хотя бы попытался убедиться, что новый пароль был вставлен с надежного скорее, чем надеяться, я мог бы точно повторить его 400 раз.

Системы Federated ID упрощают это, предоставляя единую точку для изменения пароля для нескольких систем ... но, конечно, вам нужно решить, доверяете ли вы этим концентраторам ID.

ПРИМЕЧАНИЕ. Изменение паролей на регулярной основе НЕ повысить безопасность, насколько это принято считать.  Во всяком случае, это может побудить людей выбирать более низкие пароли, потому что выбор нового хорошего в каждый N месяцев - это боль в патоти. Это помогает только в том случае, если вы полагаете, что кто-то разумно может украсть ваш существующий пароль, и если этот пароль выйдет, вы увидите что-то, о чем вы беспокоитесь, или можете рискнуть за счет усиления прав.


1
2018-04-11 02:10





У меня есть предложение, которое кажется возможным. Я никогда не пробовал себя.

use AHK (key mouse event recorders ) вы выполняете партию изменений пароля и регистрируете сеанс с использованием AHK. в следующий раз вы хотите сменить пароль. выньте скрипт AHK и измените пароль. вам нужно снова воспроизвести скрипт AHK.

Я сам использую разные проходы для разных сайтов, если только они не просочились, мне не нужно менять их за один раз.


1
2018-04-11 07:32





LastPass услышал вас и опубликовал запись в блоге объясняя, как это можно сделать. И нижняя строка: вам нужно сделать это вручную по сайту.

Также стоит отметить, что вы должны убедиться, что сайты были обновлены до смены пароля.


1
2018-04-17 09:28