Qual è un modo efficiente per cambiare le mie password di oltre 200 account?

Ho un sacco di account online, servizi web e così via - personale e aziendale - quindi ovviamente (?) Utilizzo un gestore di password per gestirli tutti. Nello specifico utilizzo Lastpass ma la mia domanda si applica a tutti:

Dato il problema Heartbleed e le relative domande , anche se volessi cambiare tutte le mie password (e non dovremmo farlo tutti a intervalli regolari ??), come posso cambiare così tante password in modo efficiente in tutto il mondo ?

Se devo visitare ogni servizio e sito individualmente e modificare manualmente la PW, è chiaro che ci vorrà un fine settimana di lavoro dedicato ... la sicurezza della password è buona e tutto ma non è pratico.

_{Aggiornamento: ho appena usato la "sfida della sicurezza" di Lastpass che riporta che ho 274 siti e un punteggio di sicurezza superiore all'83%. Diversi siti intranet al lavoro riutilizzano lo stesso pw che riduce significativamente il mio punteggio. Tutti i miei account Internet hanno un punteggio superiore al 92%.}

Onestamente, non ce n'è. A meno che non offrano un'API in cui è possibile eseguire la gestione remota dei propri account. Prendi e scegli. Quali sono le priorità più alte. Banca per esempio, dovresti cambiare. Forum e altri siti multimediali potrebbero essere classificati in basso e modificati in base alle necessità.

PS: Penso anche che le persone stiano esplodendo in modo sproporzionato.

Sono curioso di sapere che tipo di risposta ti aspetti di ottenere ... Un software che collega la password cambia attraverso vari protocolli, siti, procedure, ecc.? Mi mordo la lingua sulla mia opinione del costo / beneficio di cambiare effettivamente tutte quelle password, considerando che ognuna di esse potrebbe essere violata in un lasso di tempo ragionevole, indipendentemente dal fatto che siano compromesse. Invece, ti consiglio di raccogliere le informazioni di contatto per ciascuno di questi siti e servizi. Quindi inviare un'e-mail a tutti coloro che richiedono il ripristino della password o per ristabilire una nuova password al successivo accesso. Non vedo altre scorciatoie qui.

Poiché la tua domanda probabilmente non si presta a una risposta semplice, ti suggerirei di modificare le password dei siti Web in base alla vulnerabilità che ti rendono (perdita di denaro, perdita di privacy, perdita di reputazione, ecc.)

Probabilmente:

• rivedere l'elenco per i siti che memorizzano informazioni veramente sensibili
• cambiarli non appena sembra chiaro che il sito è pronto per quello
• cambio il resto la prossima volta che utilizzo il sito o se il sito richiede / impone una modifica.

Ciò significa che alcuni di essi non verranno mai modificati, perché non userò mai più il sito, e questa è la fonte del guadagno di efficienza rispetto a farli tutti ora. In effetti, ciò potrebbe alla fine provocare un chiarimento di conti inutili. Nel contesto di ciò, cambiare le password non è un'operazione così grande.

Io penso (anche se non sono sicuro) che se molto raramente uso un sito poi c'è relativamente poche possibilità di mia password su quel sito dover essere compromessa a causa di heartbleed. Da qui la preferenza per i siti che effettivamente uso.

Il principale pericolo che questa ipotesi sia sbagliata è se si scopre che il cuore è stato attivamente sfruttato per lungo tempo. Inoltre, ci sono molte opportunità per le masse di password che sono state compromesse direttamente tramite heartble, o mediante l'uso di chiavi private o credenziali di amministrazione da heartble.

[Modifica: sta iniziando a sembrare che forse il cuore spezzato sia stato sfruttato dalla NSA per il tempo in cui è esistito. Dovrà aspettare ulteriori informazioni a riguardo, ma in ogni caso non sono preoccupato che la NSA abbia le mie password come ci si potrebbe aspettare. Se l'NSA vuole le mie password, le ha, il cuore è uno dei tanti mezzi con cui potrebbero acquisirle. Se li hanno avuti per due anni, un altro mese fino a quando non avrò il tempo di cambiare un sacco di account di basso valore non farà la differenza.]

Il principale pericolo di ritardare la modifica della password è che qualcuno potrebbe già avere la mia password, ma o non si è ancora preso la briga di estrarla dai GB di dati che hanno ottenuto usando heartble, oppure non è ancora riuscito a usarla. Da qui la preferenza per i sistemi più sensibili.

È discutibile se questo richiederebbe effettivamente meno lavoro, ma se sei a tuo agio con Javascript, potresti scrivere una sorta di mini-API che (una volta sulla pagina corretta) ha cercato i campi corretti e li ha cambiati per te:

https://stackoverflow.com/questions/257255/generic-way-to-fill-out-a-form-in-javascript

Il risultato di questo è una volta completato, avresti una possibilità facile per i cambiamenti futuri. Il rovescio della medaglia è letteralmente tutto il resto.

Verifica se puoi accedere con Google OpenID in alcuni siti. Ciò potrebbe ridurre il numero di password necessarie per modificare / gestire / utilizzare.

Aggiungi tutte le pagine dei "Cambia password" ai segnalibri e aprile tutte insieme in schede (o magari in gruppi di 50). Crea uno script per generare un elenco di password casuali e incollale con uno strumento copia e incolla. Pulisci il tuo sistema dopo aver fatto questo. La modifica di 50 password con questo metodo non richiederà più di 10 minuti, il che sembra un periodo abbastanza ragionevole per una manutenzione settimanale.

In questo modo, cambierai tutte le tue password una volta al mese, investendo 10 min. una settimana.

In particolare per LastPass da quando lo hai menzionato, potresti esportare un file ccv e inviare i siti a uno degli strumenti di convalida come quello che LastPass stesso offre per determinare quali siti sono persino pronti a cambiare le password.

Sono sicuro che anche tutti i venditori sono impegnati a creare / prendere in considerazione uno strumento per automatizzare qualcosa di equivalente (ad esempio un supplemento alla Security Challenge di LP).

Ogni gestore di password presenterà una sfida diversa. Ad esempio, Dashlane non include la possibilità di ordinare le password per data di modifica, sebbene abbia un campo che puoi riutilizzare per controllare le password che sono state modificate o che stai per ignorare.

Aggiornamento (ottobre 2015) - LastPass e Dashlane (i due che ho provato) e alcuni altri gestori di password ora hanno una procedura / un modulo che può rendere la modifica delle password in diverse centinaia di siti semplice come selezionare una casella (se ti fidi dell'automazione; sanno anche che alcuni siti escludono / richiedono determinati caratteri speciali o durata del mandato). In alternativa, alcuni ti portano direttamente alla pagina di modifica del sito tramite un link, suggeriscono una nuova password e registrano la modifica.

Se lo desideri, apri un altro browser e testa molto rapidamente la nuova password utilizzando la procedura di apertura e inserimento automatico 1/3 per quel sito Web. Basta essere consapevoli di come e quando si verifica la sincronizzazione.

Ho pensato che questo meritasse un aggiornamento poiché abbiamo avuto così tante altre crepe nel sito e exploit di rete e router.

Se i sistemi ti consentono di connetterti tramite telnet o ssh o qualcosa di simile, potresti modificare le modifiche della password in modo relativamente semplice. Se le modifiche alla password devono essere eseguite tramite un'interfaccia Web, la scrittura di strumenti per gestire le variazioni sarebbe probabilmente più lavoro di quanto varrebbe la pena, ma almeno proverei a assicurarmi che la nuova password sia stata incollata da un affidabile fonte piuttosto che sperare di poterlo riscrivere accuratamente 400 volte.

I sistemi ID federati semplificano in qualche modo questo fornendo un unico punto per cambiare la password per più sistemi ... ma ovviamente devi decidere se ti fidi di quegli hub ID.

NOTA: la modifica delle password su base regolare NON migliora la sicurezza come si ritiene comunemente. Semmai, può incoraggiare la gente a scegliere password inferiori, perché sceglierne una nuova ogni N mesi è una seccatura. Aiuta solo se ritieni che qualcuno abbia ragionevolmente rubato la tua password esistente e se quella password sta uscendo espone qualcosa che ti interessa o ha il rischio di essere sfruttato per l'amplificazione dei diritti.

Ho una proposta che sembra fattibile. Non ho mai provato me stesso però.

use AHK (key mouse event recorders ) si esegue una serie di modifiche alla password e si registra la sessione utilizzando AHK. la prossima volta che vuoi cambiare la password. estrarre lo script AHK e modificare solo la password. devi solo riprodurre di nuovo lo script AHK.

Io stesso uso pass diversi per siti diversi, a meno che non siano tutti trapelati, non ho bisogno di cambiarli contemporaneamente.

LastPass ti ha ascoltato e ha pubblicato un post sul blog che spiega come farlo. E la linea di fondo è: è necessario farlo manualmente sito per sito.

Vale anche la pena notare che è necessario assicurarsi che i siti siano stati aggiornati prima di modificare la password.

Puoi provare a utilizzare l' utilità Dashlane che include la funzione Cambia password (è gratuita) che può cambiare dozzine di password con un solo clic.

Fa il duro lavoro di sostituire vecchie password con nuove forti e le protegge in Dashlane dove sono ricordate e digitate per te.

Crea un Turk meccanico Amazon.
Crea un elenco di siti Web, nomi utente e password correnti. Ogni HIT darà uno o più di questi. Fornisci regole per la composizione della nuova password. Pagando $ 0,01 per password. L'utente deve cambiare la password per te e riportare la nuova password. Questo dovrebbe far cambiare le tue password abbastanza velocemente. https://requester.mturk.com/