Jaki jest skuteczny sposób zmiany moich ponad 200 haseł do kont?

Mam wiele kont online, usług internetowych i tak dalej - zarówno osobistych, jak i biznesowych - więc oczywiście (?) Używam menedżera haseł do obsługi ich wszystkich. W szczególności korzystam z Lastpass, ale moje pytanie dotyczy wszystkich:

Biorąc pod uwagę problem Heartbleed i powiązane pytania , nawet gdybym chciał zmienić wszystkie moje hasła (i czy nie powinniśmy robić tego w regularnych odstępach czasu?), Jak, u licha, mogę zmienić tak wiele haseł w skuteczny sposób?

Jeśli będę musiał odwiedzić każdą usługę i witrynę osobno i ręcznie zmienić PW, to jasne, że zajmie to weekend poświęconej pracy ... bezpieczeństwo hasła jest dobre i wszystko, ale to po prostu niepraktyczne.

_{Aktualizacja: Właśnie użyłem „wyzwania bezpieczeństwa” Lastpass, które donosi, że mam 274 strony i wynik bezpieczeństwa przekracza 83%. Kilka witryn intranetowych w pracy ponownie wykorzystuje ten sam PW, co znacznie obniża mój wynik. Wszystkie moje konta internetowe osiągają wynik powyżej 92%.}

Szczerze mówiąc, nie ma. Nie, chyba że oferują interfejs API umożliwiający zdalne zarządzanie kontami. Grymasić. Które mają najwyższy priorytet. Bank na przykład powinieneś zmienić. Fora i inne strony z mediami mogą być oceniane niżej i zmieniane w zależności od potrzeb.

PS: Myślę też, że ludzie rozdmuchują tę serdeczną drogę nieproporcjonalną.

Jestem ciekawy, jakiej odpowiedzi oczekujesz ... Oprogramowanie, które kaskadowo zmienia hasła w różnych protokołach, witrynach, procedurach itp.? Przygryzę się w moją opinię na temat kosztu / korzyści faktycznej zmiany wszystkich haseł, biorąc pod uwagę, że każde z nich może zostać złamane w rozsądnym terminie, niezależnie od tego, czy zostaną naruszone. Zamiast tego zalecam zebranie danych kontaktowych dla każdej z tych witryn i usług. Następnie wyślij do nich wiadomość e-mail z prośbą o zresetowanie hasła lub ponowne ustanowienie nowego hasła przy następnym logowaniu. Nie widzę tu żadnych innych skrótów.

Ponieważ twoje pytanie prawdopodobnie nie daje łatwej odpowiedzi, proponuję zmianę haseł stron internetowych w zależności od tego, jak narażają cię na niebezpieczeństwo (utrata pieniędzy, utrata prywatności, utrata reputacji itp.)

Będę prawdopodobnie:

• przejrzyj listę witryn, w których przechowywane są naprawdę wrażliwe informacje
• zmień je, gdy tylko okaże się jasne, że witryna jest na to gotowa
• zmień pozostałą część przy następnym korzystaniu z witryny lub jeśli strona poprosi / wymusi zmianę.

Oznacza to, że niektóre z nich nigdy nie zostaną zmienione, ponieważ nigdy więcej nie użyję witryny, a to jest źródłem wzrostu wydajności w porównaniu z robieniem ich wszystkich teraz. W rzeczywistości może to ostatecznie doprowadzić do wyczyszczenia bezsensownych kont. W tym kontekście zmiana hasła nie jest tak dużą operacją.

I myśleć (choć nie jestem pewien), że jeśli bardzo rzadko korzystać z witryny potem jest stosunkowo mała szansa mojego hasła na tej stronie mającej wykradzenie powodu heartbleed. Stąd preferencje dla stron, z których faktycznie korzystam.

Głównym niebezpieczeństwem tego domniemanego błędu jest to, że okaże się, że bicie serca było aktywnie wykorzystywane od dłuższego czasu. Wówczas istnieje mnóstwo okazji, aby wiele haseł zostało złamanych albo bezpośrednio przez heartbleed, albo przez użycie prywatnych kluczy lub poświadczeń administratora z heartbleed.

[Edycja: zaczyna wyglądać, jakby NSA wykorzystywała bicie serca przez tak długo, jak istnieje. Będę musiał poczekać na więcej informacji na ten temat, ale w każdym razie NSA nie martwi mnie tak, jak moje hasła, jak można się spodziewać. Jeśli NSA chce moich haseł, to je ma, bicie serca jest jednym z wielu sposobów, w jaki mogą je zdobyć. Jeśli mają je od dwóch lat, to kolejny miesiąc, dopóki nie znajdę czasu, aby zmienić kilka kont o niskiej wartości, nie zrobi różnicy.]

Głównym niebezpieczeństwem opóźnienia zmiany hasła jest to, że ktoś może już mieć moje hasło, ale albo nie udało mu się wyciągnąć go z GB danych uzyskanych za pomocą heartbleed, albo jeszcze nie udało się go użyć. Dlatego preferowane są bardziej wrażliwe systemy.

Wątpliwe jest, czy rzeczywiście zajmie to mniej pracy, ale jeśli jesteś w ogóle przydatny z Javascriptem, możesz napisać sobie coś w rodzaju mini-API, który (raz na właściwej stronie) szukał odpowiednich pól i zmieniał je dla Ciebie:

https://stackoverflow.com/questions/257255/generic-way-to-fill-out-a-form-in-javascript

Rezultat tego jest już zakończony, możesz łatwo przejść do przyszłych zmian. Minusem jest dosłownie wszystko inne.

Sprawdź, czy możesz zalogować się za pomocą Google OpenID w niektórych witrynach. Może to zmniejszyć liczbę haseł potrzebnych do zmiany / zarządzania / używania.

Dodaj do zakładek wszystkie strony „Zmień hasło” i otwórz je wszystkie razem w kartach (lub w partiach po 50). Utwórz skrypt do generowania listy losowych haseł i skopiuj i wklej je za pomocą narzędzia kopiuj i wklej. Po wykonaniu tej czynności wyczyść system. Zmiana 50 haseł za pomocą tej metody nie zajmie więcej niż 10 minut, co wydaje się dość rozsądnym czasem na cotygodniową konserwację.

W ten sposób zmienisz wszystkie hasła raz w miesiącu, inwestując 10 min. tydzień.

W szczególności dla LastPass, ponieważ o tym wspomniałeś, możesz wyeksportować plik ccv i przesłać strony do jednego z narzędzi sprawdzania poprawności, takich jak to, które oferuje LastPass, aby ustalić, które witryny są gotowe na zmianę haseł.

Jestem pewien, że każdy z dostawców jest również zajęty tworzeniem / rozważaniem narzędzia do automatyzacji czegoś równoważnego (np. Dodatek do LP Security Security Challenge).

Każdy menedżer haseł przedstawi inne wyzwanie. Na przykład Dashlane nie obejmuje możliwości sortowania haseł według zmienionej daty, chociaż ma pole, które można zmienić w celu sprawdzenia haseł, które zostały zmienione lub które chcesz zignorować.

Aktualizacja (październik 2015 r.) - LastPass i Dashlane (dwa, których próbowałem) i niektórzy inni menedżerowie haseł mają teraz procedurę / formularz, dzięki którym zmiana haseł w kilkuset witrynach jest tak prosta, jak sprawdzenie pola (jeśli ufasz automatyzacji; wiedzą nawet, że niektóre witryny wykluczają / wymagają określonych znaków specjalnych lub długości mandatu). Alternatywnie, niektórzy przenoszą Cię bezpośrednio do strony zmiany witryny za pomocą linku, sugerują nowe hasło i rejestrują zmianę.

Jeśli chcesz, otwórz inną przeglądarkę i bardzo szybko przetestuj nowe hasło, korzystając z procedury otwierania i autologowania / autouzupełniania 1 do 3 dla tej witryny. Po prostu bądź świadomy tego, jak i kiedy występuje synchronizacja.

Pomyślałem, że zasługuje na aktualizację, ponieważ mieliśmy o wiele więcej poważnych pęknięć witryny oraz exploitów sieciowych i routerowych.

Jeśli systemy pozwalają na połączenie przez telnet, ssh lub coś podobnego, możesz skryptować zmiany hasła w stosunkowo prosty sposób. Jeśli zmiany hasła muszą zostać wykonane za pomocą interfejsu internetowego, pisanie narzędzi do radzenia sobie z odmianami prawdopodobnie będzie więcej pracy niż byłoby warte, ale przynajmniej postaram się upewnić, że nowe hasło zostało wklejone z wiarygodnego źródło zamiast mieć nadzieję, że uda mi się dokładnie go wpisać 400 razy.

Systemy identyfikacji federacyjnej nieco to upraszczają, zapewniając jeden punkt zmiany hasła do wielu systemów ... ale oczywiście musisz zdecydować, czy ufasz tym koncentratorom identyfikatorów.

UWAGA: Regularna zmiana hasła NIE poprawia bezpieczeństwa w takim stopniu, jak się powszechnie uważa. Jeśli już, może to zachęcić ludzi do wybierania gorszych haseł, ponieważ wybranie nowego dobrego co N miesięcy jest uciążliwe. Pomaga to tylko wtedy, gdy uważasz, że ktoś prawdopodobnie ukradł twoje istniejące hasło i jeśli to hasło ujawnia coś, na czym ci zależy lub istnieje ryzyko, że zostaniesz wykorzystany do wzmocnienia praw.

Mam propozycję, która brzmi wykonalnie. Nigdy jednak nie próbowałem.

use AHK (key mouse event recorders ) dokonujesz partii zmian hasła i logujesz sesję za pomocą AHK. następnym razem chcesz zmienić hasło. wyjmij skrypt AHK i zmień tylko hasło. wystarczy ponownie odtworzyć skrypt AHK.

Sam używam różnych przepustek dla różnych stron, chyba że wszystkie są wyciekły, nie muszę ich zmieniać jednocześnie.

LastPass usłyszał cię i opublikował wpis na blogu wyjaśniający, jak to zrobić. Najważniejsze jest to, że musisz to zrobić ręcznie, strona po stronie.

Warto również zauważyć, że przed zmianą hasła należy upewnić się, że strony zostały uaktualnione.

Możesz spróbować użyć narzędzia Dashlane , które zawiera funkcję zmieniacza haseł (za darmo), która może zmieniać dziesiątki haseł jednym kliknięciem.

Wykonuje ciężki wysiłek polegający na zastępowaniu starych haseł mocnymi nowymi i zabezpiecza je w Dashlane, gdzie są zapamiętane i wpisane dla Ciebie.

Utwórz Amazon Mechanical Turk.
Zrób listę swoich stron internetowych, nazw użytkowników i aktualnych haseł. Każde trafienie da jeden lub więcej z nich. Podaj reguły, z których musi składać się nowe hasło. Płacenie 0,01 USD za hasło. Użytkownik musi zmienić hasło dla Ciebie i zgłosić nowe hasło. To powinno zmienić twoje hasła dość szybko. https://requester.mturk.com/