Qual è un modo efficiente per cambiare le mie password di oltre 200 account?


87

Ho un sacco di account online, servizi web e così via - personale e aziendale - quindi ovviamente (?) Utilizzo un gestore di password per gestirli tutti. Nello specifico utilizzo Lastpass ma la mia domanda si applica a tutti:

Dato il problema Heartbleed e le relative domande , anche se volessi cambiare tutte le mie password (e non dovremmo farlo tutti a intervalli regolari ??), come posso cambiare così tante password in modo efficiente in tutto il mondo ?

Se devo visitare ogni servizio e sito individualmente e modificare manualmente la PW, è chiaro che ci vorrà un fine settimana di lavoro dedicato ... la sicurezza della password è buona e tutto ma non è pratico.

Aggiornamento: ho appena usato la "sfida della sicurezza" di Lastpass che riporta che ho 274 siti e un punteggio di sicurezza superiore all'83%. Diversi siti intranet al lavoro riutilizzano lo stesso pw che riduce significativamente il mio punteggio. Tutti i miei account Internet hanno un punteggio superiore al 92%.


6
Si prega di leggere questa eccellente letteratura prima di cambiare tutte le password: security.stackexchange.com/questions/55283/…
MonkeyZeus

4
Sono contento che ti sia piaciuto il mio umorismo :) ma in tutta serietà non c'è via d'uscita facile. E penso che potresti aver perso il punto principale del mio link che è questa sezione: cambiare le password su un sito che è / era vulnerabile a Heartbleed è efficace solo dopo
MonkeyZeus

Facendo riferimento a questa domanda sulla sicurezza delle informazioni : API per modificare le password?
unor

1
buona cosa che ora stiamo passando a OpenID / OpenAuth basato sull'accesso. Tutto ciò che serve è solo cambiare la password per il provider di identità e il resto è sui singoli siti Web. Inoltre, tieni presente che vale la pena cambiare la password per i siti che hanno già aggiornato la loro libreria OpenSSL; probabilmente un buon numero di quei 200 siti Web che non hai mai fatto aggiornamenti sul loro sistema nemmeno di fronte a Heartbleed.
Lie Ryan,

2
Congratulazioni per essere l'unico utente che utilizza effettivamente password diverse per ciascun servizio diverso.
JFA,

Risposte:


61

Onestamente, non ce n'è. A meno che non offrano un'API in cui è possibile eseguire la gestione remota dei propri account. Prendi e scegli. Quali sono le priorità più alte. Banca per esempio, dovresti cambiare. Forum e altri siti multimediali potrebbero essere classificati in basso e modificati in base alle necessità.

PS: Penso anche che le persone stiano esplodendo in modo sproporzionato.


1
I commenti sono stati eliminati. Super User non è un forum di discussione: i commenti devono essere utilizzati per chiedere chiarimenti (che dovrebbero essere affrontati in seguito nella risposta) o per evidenziare problemi in un post. Se vuoi parlare di Heartbleed, Super User Chat sarebbe il posto migliore. Grazie.
slhck,

^ @slhck Suggerisco di discuterne in una stanza speciale per la sicurezza IT o simili, per evitare di schiacciare la stanza normale. Puoi pubblicare un link nella stanza adatta?
smci,

@smci Credo che la nostra sala principale sia effettivamente adatta per quel tipo di discussione. Di solito non applichiamo alcun argomento. La sicurezza delle informazioni ha anche una chat room.
slhck,

12

Sono curioso di sapere che tipo di risposta ti aspetti di ottenere ... Un software che collega la password cambia attraverso vari protocolli, siti, procedure, ecc.? Mi mordo la lingua sulla mia opinione del costo / beneficio di cambiare effettivamente tutte quelle password, considerando che ognuna di esse potrebbe essere violata in un lasso di tempo ragionevole, indipendentemente dal fatto che siano compromesse. Invece, ti consiglio di raccogliere le informazioni di contatto per ciascuno di questi siti e servizi. Quindi inviare un'e-mail a tutti coloro che richiedono il ripristino della password o per ristabilire una nuova password al successivo accesso. Non vedo altre scorciatoie qui.


8
Molti siti web probabilmente invieranno una risposta affermando "Se si desidera reimpostare la password, fare clic sul seguente collegamento: collegamento per reimpostare la password ".
Nzall,

11

Poiché la tua domanda probabilmente non si presta a una risposta semplice, ti suggerirei di modificare le password dei siti Web in base alla vulnerabilità che ti rendono (perdita di denaro, perdita di privacy, perdita di reputazione, ecc.)


7

Probabilmente:

  • rivedere l'elenco per i siti che memorizzano informazioni veramente sensibili
  • cambiarli non appena sembra chiaro che il sito è pronto per quello
  • cambio il resto la prossima volta che utilizzo il sito o se il sito richiede / impone una modifica.

Ciò significa che alcuni di essi non verranno mai modificati, perché non userò mai più il sito, e questa è la fonte del guadagno di efficienza rispetto a farli tutti ora. In effetti, ciò potrebbe alla fine provocare un chiarimento di conti inutili. Nel contesto di ciò, cambiare le password non è un'operazione così grande.

Io penso (anche se non sono sicuro) che se molto raramente uso un sito poi c'è relativamente poche possibilità di mia password su quel sito dover essere compromessa a causa di heartbleed. Da qui la preferenza per i siti che effettivamente uso.

Il principale pericolo che questa ipotesi sia sbagliata è se si scopre che il cuore è stato attivamente sfruttato per lungo tempo. Inoltre, ci sono molte opportunità per le masse di password che sono state compromesse direttamente tramite heartble, o mediante l'uso di chiavi private o credenziali di amministrazione da heartble.

[Modifica: sta iniziando a sembrare che forse il cuore spezzato sia stato sfruttato dalla NSA per il tempo in cui è esistito. Dovrà aspettare ulteriori informazioni a riguardo, ma in ogni caso non sono preoccupato che la NSA abbia le mie password come ci si potrebbe aspettare. Se l'NSA vuole le mie password, le ha, il cuore è uno dei tanti mezzi con cui potrebbero acquisirle. Se li hanno avuti per due anni, un altro mese fino a quando non avrò il tempo di cambiare un sacco di account di basso valore non farà la differenza.]

Il principale pericolo di ritardare la modifica della password è che qualcuno potrebbe già avere la mia password, ma o non si è ancora preso la briga di estrarla dai GB di dati che hanno ottenuto usando heartble, oppure non è ancora riuscito a usarla. Da qui la preferenza per i sistemi più sensibili.


6

È discutibile se questo richiederebbe effettivamente meno lavoro, ma se sei a tuo agio con Javascript, potresti scrivere una sorta di mini-API che (una volta sulla pagina corretta) ha cercato i campi corretti e li ha cambiati per te:

https://stackoverflow.com/questions/257255/generic-way-to-fill-out-a-form-in-javascript

Il risultato di questo è una volta completato, avresti una possibilità facile per i cambiamenti futuri. Il rovescio della medaglia è letteralmente tutto il resto.


E poi ogni volta che uno di quei siti apporta qualche tipo di modifica alla pagina in questione, il tuo script probabilmente si interromperà ... :-(
Michael,

@Michael, non necessariamente. Script come SuperGenPass fanno proprio questo e sono entrambi molto generici e di grande successo. Sarebbe effettivamente un utile strumento di accompagnamento una volta che comincio a cambiare le password del sito. Sarebbe un modo estremamente semplice per avere password lunghe e uniche. Natch, la maggior parte dei gestori di password ha qualcosa del genere ma non è così facile con un clic.
Torben Gundtofte-Bruun,

1
Il rovescio della medaglia sembra piuttosto ripido quando lo metti in questo modo ...
Raystafarian

@ TorbenGundtofte-Bruun SuperGenPass sembra usare una tecnica che ho fatto manualmente anni fa prima di avere un portachiavi: avrei preso il nome del sito Web ed eseguito una trasformazione segreta nella mia testa per creare la mia password. Questo mi ha improvvisamente morso quando un sito da cui ho comprato cose è stato acquistato da un sito diverso (cambiando così il suo nome).
Michael,

@Michael Ho fatto la stessa cosa, mi sono fermato perché avrei avuto un colpo in miniatura ogni volta che avrei dovuto resettare la mia password e sceglierne una nuova. Ad ogni modo, per rispondere a ciò che hai detto prima: sì, rovescio della medaglia molto ripido, e no, non avrei mai questa scelta come risposta; Ho pensato che valesse la pena lasciarlo qui come soluzione alternativa per tutti i super utenti più coraggiosi che si sono imbattuti nella domanda.
Sandy Gifford,

4

Verifica se puoi accedere con Google OpenID in alcuni siti. Ciò potrebbe ridurre il numero di password necessarie per modificare / gestire / utilizzare.

Aggiungi tutte le pagine dei "Cambia password" ai segnalibri e aprile tutte insieme in schede (o magari in gruppi di 50). Crea uno script per generare un elenco di password casuali e incollale con uno strumento copia e incolla. Pulisci il tuo sistema dopo aver fatto questo. La modifica di 50 password con questo metodo non richiederà più di 10 minuti, il che sembra un periodo abbastanza ragionevole per una manutenzione settimanale.

In questo modo, cambierai tutte le tue password una volta al mese, investendo 10 min. una settimana.


1
12 secondi per sito mi sembrano ottimisti anche aprendo ogni pagina di modifica della password nelle schede. Ma il principio sembra giusto, questo è probabilmente il modo più efficiente per visitare tutti i siti e cambiare le password.
Steve Jessop,

4

In particolare per LastPass da quando lo hai menzionato, potresti esportare un file ccv e inviare i siti a uno degli strumenti di convalida come quello che LastPass stesso offre per determinare quali siti sono persino pronti a cambiare le password.

Sono sicuro che anche tutti i venditori sono impegnati a creare / prendere in considerazione uno strumento per automatizzare qualcosa di equivalente (ad esempio un supplemento alla Security Challenge di LP).

Ogni gestore di password presenterà una sfida diversa. Ad esempio, Dashlane non include la possibilità di ordinare le password per data di modifica, sebbene abbia un campo che puoi riutilizzare per controllare le password che sono state modificate o che stai per ignorare.

Aggiornamento (ottobre 2015) - LastPass e Dashlane (i due che ho provato) e alcuni altri gestori di password ora hanno una procedura / un modulo che può rendere la modifica delle password in diverse centinaia di siti semplice come selezionare una casella (se ti fidi dell'automazione; sanno anche che alcuni siti escludono / richiedono determinati caratteri speciali o durata del mandato). In alternativa, alcuni ti portano direttamente alla pagina di modifica del sito tramite un link, suggeriscono una nuova password e registrano la modifica.

Se lo desideri, apri un altro browser e testa molto rapidamente la nuova password utilizzando la procedura di apertura e inserimento automatico 1/3 per quel sito Web. Basta essere consapevoli di come e quando si verifica la sincronizzazione.

Ho pensato che questo meritasse un aggiornamento poiché abbiamo avuto così tante altre crepe nel sito e exploit di rete e router.


1

Se i sistemi ti consentono di connetterti tramite telnet o ssh o qualcosa di simile, potresti modificare le modifiche della password in modo relativamente semplice. Se le modifiche alla password devono essere eseguite tramite un'interfaccia Web, la scrittura di strumenti per gestire le variazioni sarebbe probabilmente più lavoro di quanto varrebbe la pena, ma almeno proverei a assicurarmi che la nuova password sia stata incollata da un affidabile fonte piuttosto che sperare di poterlo riscrivere accuratamente 400 volte.

I sistemi ID federati semplificano in qualche modo questo fornendo un unico punto per cambiare la password per più sistemi ... ma ovviamente devi decidere se ti fidi di quegli hub ID.

NOTA: la modifica delle password su base regolare NON migliora la sicurezza come si ritiene comunemente. Semmai, può incoraggiare la gente a scegliere password inferiori, perché sceglierne una nuova ogni N mesi è una seccatura. Aiuta solo se ritieni che qualcuno abbia ragionevolmente rubato la tua password esistente e se quella password sta uscendo espone qualcosa che ti interessa o ha il rischio di essere sfruttato per l'amplificazione dei diritti.


1

Ho una proposta che sembra fattibile. Non ho mai provato me stesso però.

use AHK (key mouse event recorders ) si esegue una serie di modifiche alla password e si registra la sessione utilizzando AHK. la prossima volta che vuoi cambiare la password. estrarre lo script AHK e modificare solo la password. devi solo riprodurre di nuovo lo script AHK.

Io stesso uso pass diversi per siti diversi, a meno che non siano tutti trapelati, non ho bisogno di cambiarli contemporaneamente.


1

LastPass ti ha ascoltato e ha pubblicato un post sul blog che spiega come farlo. E la linea di fondo è: è necessario farlo manualmente sito per sito.

Vale anche la pena notare che è necessario assicurarsi che i siti siano stati aggiornati prima di modificare la password.


0

Puoi provare a utilizzare l' utilità Dashlane che include la funzione Cambia password (è gratuita) che può cambiare dozzine di password con un solo clic.

Fa il duro lavoro di sostituire vecchie password con nuove forti e le protegge in Dashlane dove sono ricordate e digitate per te.


Come molti altri gestori di password 3 o 5 anni dopo il post originale nel 2014, incluso LastPass menzionato nel post originale.
BillR

-2

Crea un Turk meccanico Amazon.
Crea un elenco di siti Web, nomi utente e password correnti. Ogni HIT darà uno o più di questi. Fornisci regole per la composizione della nuova password. Pagando $ 0,01 per password. L'utente deve cambiare la password per te e riportare la nuova password. Questo dovrebbe far cambiare le tue password abbastanza velocemente. https://requester.mturk.com/


21
Sei davvero sicuro che sia una buona idea fidarsi degli estranei che lavorano per MTurk per cambiare le tue password?

8
Posso solo interpretarlo come uno scherzo, che dovrebbe andare nella sessione dei commenti nel peggiore dei casi.
Quora Feans

1
LOL, perché non saltare l'uomo di mezzo e mandare il tuo DB manager PW direttamente al mob russo (o qualche altro gruppo altrettanto rispettabile). Alla pari con i consigli che ti aspetteresti di ricevere da un ragazzo che indossa una tuta DOC.
Krowe,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.