Jaki jest skuteczny sposób zmiany moich ponad 200 haseł do kont?


87

Mam wiele kont online, usług internetowych i tak dalej - zarówno osobistych, jak i biznesowych - więc oczywiście (?) Używam menedżera haseł do obsługi ich wszystkich. W szczególności korzystam z Lastpass, ale moje pytanie dotyczy wszystkich:

Biorąc pod uwagę problem Heartbleed i powiązane pytania , nawet gdybym chciał zmienić wszystkie moje hasła (i czy nie powinniśmy robić tego w regularnych odstępach czasu?), Jak, u licha, mogę zmienić tak wiele haseł w skuteczny sposób?

Jeśli będę musiał odwiedzić każdą usługę i witrynę osobno i ręcznie zmienić PW, to jasne, że zajmie to weekend poświęconej pracy ... bezpieczeństwo hasła jest dobre i wszystko, ale to po prostu niepraktyczne.

Aktualizacja: Właśnie użyłem „wyzwania bezpieczeństwa” Lastpass, które donosi, że mam 274 strony i wynik bezpieczeństwa przekracza 83%. Kilka witryn intranetowych w pracy ponownie wykorzystuje ten sam PW, co znacznie obniża mój wynik. Wszystkie moje konta internetowe osiągają wynik powyżej 92%.


6
Przeczytaj tę wspaniałą literaturę przed zmianą wszystkich haseł: security.stackexchange.com/questions/55283/…
MonkeyZeus

4
Cieszę się, że podobał ci się mój humor :) ale z całą powagą nie ma łatwego wyjścia. I myślę, że mogłeś przegapić główny punkt mojego linku, którym jest ta sekcja: Zmiana haseł na stronie, która jest / była podatna na Heartbleed, jest skuteczna dopiero po
MonkeyZeus

Odwoływanie się do tego pytania na temat bezpieczeństwa informacji : API do zmiany haseł?
Unor

1
dobrze, że przechodzimy teraz do logowania opartego na OpenID / OpenAuth. Wystarczy zmienić hasło dostawcy tożsamości, a reszta znajduje się na poszczególnych stronach internetowych. Pamiętaj też, że warto zmienić hasło tylko do witryn, które już zaktualizowały bibliotekę OpenSSL; prawdopodobnie duża liczba tych 200 stron internetowych, których nigdy nie aktualizujesz w swoim systemie, nawet w obliczu Heartbleed.
Lie Ryan,

2
Gratulujemy bycia jedynym użytkownikiem, który faktycznie używa różnych haseł dla każdej usługi.
JFA

Odpowiedzi:


61

Szczerze mówiąc, nie ma. Nie, chyba że oferują interfejs API umożliwiający zdalne zarządzanie kontami. Grymasić. Które mają najwyższy priorytet. Bank na przykład powinieneś zmienić. Fora i inne strony z mediami mogą być oceniane niżej i zmieniane w zależności od potrzeb.

PS: Myślę też, że ludzie rozdmuchują tę serdeczną drogę nieproporcjonalną.


1
Komentarze zostały usunięte. Super Użytkownik nie jest forum dyskusyjnym - należy używać komentarzy, aby poprosić o wyjaśnienia (do których należy się odnieść w odpowiedzi) lub wskazać problemy w poście. Jeśli chcesz porozmawiać o Heartbleed, najlepszym miejscem będzie Super User Chat . Dzięki.
slhck

^ @slhck Sugeruję, aby omawiali to w specjalnym pokoju dla bezpieczeństwa IT lub podobnym, aby uniknąć przytłoczenia zwykłego pokoju. Czy możesz zamieścić link do odpowiedniego pokoju?
smci

@smci Uważam, że nasz główny pokój jest właściwie odpowiedni do tego rodzaju dyskusji. Zwykle nie egzekwujemy żadnych tematów. Bezpieczeństwo informacji ma również czat.
slhck

12

Jestem ciekawy, jakiej odpowiedzi oczekujesz ... Oprogramowanie, które kaskadowo zmienia hasła w różnych protokołach, witrynach, procedurach itp.? Przygryzę się w moją opinię na temat kosztu / korzyści faktycznej zmiany wszystkich haseł, biorąc pod uwagę, że każde z nich może zostać złamane w rozsądnym terminie, niezależnie od tego, czy zostaną naruszone. Zamiast tego zalecam zebranie danych kontaktowych dla każdej z tych witryn i usług. Następnie wyślij do nich wiadomość e-mail z prośbą o zresetowanie hasła lub ponowne ustanowienie nowego hasła przy następnym logowaniu. Nie widzę tu żadnych innych skrótów.


8
Wiele stron prawdopodobnie odeśle odpowiedź zatytułowaną „Jeśli chcesz zresetować hasło, kliknij następujący link: link resetowania hasła ”.
Nzall,

11

Ponieważ twoje pytanie prawdopodobnie nie daje łatwej odpowiedzi, proponuję zmianę haseł stron internetowych w zależności od tego, jak narażają cię na niebezpieczeństwo (utrata pieniędzy, utrata prywatności, utrata reputacji itp.)


7

Będę prawdopodobnie:

  • przejrzyj listę witryn, w których przechowywane są naprawdę wrażliwe informacje
  • zmień je, gdy tylko okaże się jasne, że witryna jest na to gotowa
  • zmień pozostałą część przy następnym korzystaniu z witryny lub jeśli strona poprosi / wymusi zmianę.

Oznacza to, że niektóre z nich nigdy nie zostaną zmienione, ponieważ nigdy więcej nie użyję witryny, a to jest źródłem wzrostu wydajności w porównaniu z robieniem ich wszystkich teraz. W rzeczywistości może to ostatecznie doprowadzić do wyczyszczenia bezsensownych kont. W tym kontekście zmiana hasła nie jest tak dużą operacją.

I myśleć (choć nie jestem pewien), że jeśli bardzo rzadko korzystać z witryny potem jest stosunkowo mała szansa mojego hasła na tej stronie mającej wykradzenie powodu heartbleed. Stąd preferencje dla stron, z których faktycznie korzystam.

Głównym niebezpieczeństwem tego domniemanego błędu jest to, że okaże się, że bicie serca było aktywnie wykorzystywane od dłuższego czasu. Wówczas istnieje mnóstwo okazji, aby wiele haseł zostało złamanych albo bezpośrednio przez heartbleed, albo przez użycie prywatnych kluczy lub poświadczeń administratora z heartbleed.

[Edycja: zaczyna wyglądać, jakby NSA wykorzystywała bicie serca przez tak długo, jak istnieje. Będę musiał poczekać na więcej informacji na ten temat, ale w każdym razie NSA nie martwi mnie tak, jak moje hasła, jak można się spodziewać. Jeśli NSA chce moich haseł, to je ma, bicie serca jest jednym z wielu sposobów, w jaki mogą je zdobyć. Jeśli mają je od dwóch lat, to kolejny miesiąc, dopóki nie znajdę czasu, aby zmienić kilka kont o niskiej wartości, nie zrobi różnicy.]

Głównym niebezpieczeństwem opóźnienia zmiany hasła jest to, że ktoś może już mieć moje hasło, ale albo nie udało mu się wyciągnąć go z GB danych uzyskanych za pomocą heartbleed, albo jeszcze nie udało się go użyć. Dlatego preferowane są bardziej wrażliwe systemy.


6

Wątpliwe jest, czy rzeczywiście zajmie to mniej pracy, ale jeśli jesteś w ogóle przydatny z Javascriptem, możesz napisać sobie coś w rodzaju mini-API, który (raz na właściwej stronie) szukał odpowiednich pól i zmieniał je dla Ciebie:

https://stackoverflow.com/questions/257255/generic-way-to-fill-out-a-form-in-javascript

Rezultat tego jest już zakończony, możesz łatwo przejść do przyszłych zmian. Minusem jest dosłownie wszystko inne.


A następnie za każdym razem, każdy z tych miejsc sprawia jakichkolwiek zmian do danej strony skrypt będzie prawdopodobnie złamać ... :-(
Michaela

@Michael, niekoniecznie. Skrypty takie jak SuperGenPass właśnie to robią i są zarówno bardzo ogólne, jak i bardzo udane. Byłoby to przydatne narzędzie towarzyszące, gdy zacznę zmieniać hasła do witryny. Byłby to bardzo prosty sposób na posiadanie długich i unikalnych haseł. Natch, większość menedżerów haseł ma coś takiego, ale nie tak łatwo jednym kliknięciem.
Torben Gundtofte-Bruun

1
Minus wydaje się dość stromy, gdy
ujmujesz

@ TorbenGundtofte-Bruun SuperGenPass wydaje się korzystać z techniki, którą zrobiłem ręcznie lata temu, zanim miałem pęku kluczy: wziąłbym nazwę strony internetowej i uruchomiłem tajną transformację w głowie, aby utworzyć moje hasło. Nagle mnie to ugryzło, gdy strona, z której kupiłem rzeczy, została kupiona przez inną stronę (zmieniając w ten sposób jej nazwę).
Michael

@Michael Zrobiłem to samo, przestałem, ponieważ za każdym razem musiałbym wykonać miniaturowe uderzenie, aby zresetować hasło i wybrać nowe. W każdym razie, aby odnieść się do tego, co powiedziałeś wcześniej: tak, bardzo stromy minus, i nie, nigdy nie wybrałbym takiej odpowiedzi; Czułem, że warto opuścić to miejsce jako alternatywne rozwiązanie dla każdego odważnego superużytkownika, który spotkał się z tym pytaniem.
Sandy Gifford,

4

Sprawdź, czy możesz zalogować się za pomocą Google OpenID w niektórych witrynach. Może to zmniejszyć liczbę haseł potrzebnych do zmiany / zarządzania / używania.

Dodaj do zakładek wszystkie strony „Zmień hasło” i otwórz je wszystkie razem w kartach (lub w partiach po 50). Utwórz skrypt do generowania listy losowych haseł i skopiuj i wklej je za pomocą narzędzia kopiuj i wklej. Po wykonaniu tej czynności wyczyść system. Zmiana 50 haseł za pomocą tej metody nie zajmie więcej niż 10 minut, co wydaje się dość rozsądnym czasem na cotygodniową konserwację.

W ten sposób zmienisz wszystkie hasła raz w miesiącu, inwestując 10 min. tydzień.


1
12 sekund na stronę brzmi optymistycznie, nawet otwierając każdą stronę zmiany hasła w kartach. Ale zasada wydaje się słuszna, jest to prawdopodobnie najskuteczniejszy sposób odwiedzenia wszystkich stron i zmiany haseł.
Steve Jessop,

4

W szczególności dla LastPass, ponieważ o tym wspomniałeś, możesz wyeksportować plik ccv i przesłać strony do jednego z narzędzi sprawdzania poprawności, takich jak to, które oferuje LastPass, aby ustalić, które witryny są gotowe na zmianę haseł.

Jestem pewien, że każdy z dostawców jest również zajęty tworzeniem / rozważaniem narzędzia do automatyzacji czegoś równoważnego (np. Dodatek do LP Security Security Challenge).

Każdy menedżer haseł przedstawi inne wyzwanie. Na przykład Dashlane nie obejmuje możliwości sortowania haseł według zmienionej daty, chociaż ma pole, które można zmienić w celu sprawdzenia haseł, które zostały zmienione lub które chcesz zignorować.

Aktualizacja (październik 2015 r.) - LastPass i Dashlane (dwa, których próbowałem) i niektórzy inni menedżerowie haseł mają teraz procedurę / formularz, dzięki którym zmiana haseł w kilkuset witrynach jest tak prosta, jak sprawdzenie pola (jeśli ufasz automatyzacji; wiedzą nawet, że niektóre witryny wykluczają / wymagają określonych znaków specjalnych lub długości mandatu). Alternatywnie, niektórzy przenoszą Cię bezpośrednio do strony zmiany witryny za pomocą linku, sugerują nowe hasło i rejestrują zmianę.

Jeśli chcesz, otwórz inną przeglądarkę i bardzo szybko przetestuj nowe hasło, korzystając z procedury otwierania i autologowania / autouzupełniania 1 do 3 dla tej witryny. Po prostu bądź świadomy tego, jak i kiedy występuje synchronizacja.

Pomyślałem, że zasługuje na aktualizację, ponieważ mieliśmy o wiele więcej poważnych pęknięć witryny oraz exploitów sieciowych i routerowych.


1

Jeśli systemy pozwalają na połączenie przez telnet, ssh lub coś podobnego, możesz skryptować zmiany hasła w stosunkowo prosty sposób. Jeśli zmiany hasła muszą zostać wykonane za pomocą interfejsu internetowego, pisanie narzędzi do radzenia sobie z odmianami prawdopodobnie będzie więcej pracy niż byłoby warte, ale przynajmniej postaram się upewnić, że nowe hasło zostało wklejone z wiarygodnego źródło zamiast mieć nadzieję, że uda mi się dokładnie go wpisać 400 razy.

Systemy identyfikacji federacyjnej nieco to upraszczają, zapewniając jeden punkt zmiany hasła do wielu systemów ... ale oczywiście musisz zdecydować, czy ufasz tym koncentratorom identyfikatorów.

UWAGA: Regularna zmiana hasła NIE poprawia bezpieczeństwa w takim stopniu, jak się powszechnie uważa. Jeśli już, może to zachęcić ludzi do wybierania gorszych haseł, ponieważ wybranie nowego dobrego co N miesięcy jest uciążliwe. Pomaga to tylko wtedy, gdy uważasz, że ktoś prawdopodobnie ukradł twoje istniejące hasło i jeśli to hasło ujawnia coś, na czym ci zależy lub istnieje ryzyko, że zostaniesz wykorzystany do wzmocnienia praw.


1

Mam propozycję, która brzmi wykonalnie. Nigdy jednak nie próbowałem.

use AHK (key mouse event recorders ) dokonujesz partii zmian hasła i logujesz sesję za pomocą AHK. następnym razem chcesz zmienić hasło. wyjmij skrypt AHK i zmień tylko hasło. wystarczy ponownie odtworzyć skrypt AHK.

Sam używam różnych przepustek dla różnych stron, chyba że wszystkie są wyciekły, nie muszę ich zmieniać jednocześnie.


1

LastPass usłyszał cię i opublikował wpis na blogu wyjaśniający, jak to zrobić. Najważniejsze jest to, że musisz to zrobić ręcznie, strona po stronie.

Warto również zauważyć, że przed zmianą hasła należy upewnić się, że strony zostały uaktualnione.


0

Możesz spróbować użyć narzędzia Dashlane , które zawiera funkcję zmieniacza haseł (za darmo), która może zmieniać dziesiątki haseł jednym kliknięciem.

Wykonuje ciężki wysiłek polegający na zastępowaniu starych haseł mocnymi nowymi i zabezpiecza je w Dashlane, gdzie są zapamiętane i wpisane dla Ciebie.


Podobnie jak wielu innych menedżerów haseł 3 lub 5 lat po oryginalnym poście w 2014 r., W tym LastPass wspomniany w oryginalnym poście.
BillR

-2

Utwórz Amazon Mechanical Turk.
Zrób listę swoich stron internetowych, nazw użytkowników i aktualnych haseł. Każde trafienie da jeden lub więcej z nich. Podaj reguły, z których musi składać się nowe hasło. Płacenie 0,01 USD za hasło. Użytkownik musi zmienić hasło dla Ciebie i zgłosić nowe hasło. To powinno zmienić twoje hasła dość szybko. https://requester.mturk.com/


21
Czy naprawdę jesteś pewien, że dobrym pomysłem jest ufanie nieznajomym pracującym dla MTurk w sprawie zmiany hasła?

8
Mogę to potraktować tylko jako żart, który w najgorszym przypadku powinien znaleźć się w sesji komentarzy.
Quora Feans

1
LOL, dlaczego nie pominąć środkowego człowieka i po prostu wysłać DB menedżera PW prosto do rosyjskiego tłumu (lub innej równie renomowanej grupy). Na równi z poradami, których można oczekiwać od faceta w kombinezonie DOC.
krowe
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.