題 更改200多個帳戶密碼的有效方法是什麼?


我有 很多 在線帳戶,網絡服務等等 - 個人和商業 - 顯然(?)我使用密碼管理器來處理所有這些。具體來說,我使用Lastpass,但我的問題適用於任何和所有:

鑑於 Heartbleed問題和相關問題,即使我想更改所有密碼(我們不應該每隔一段時間都這樣做), 我可以在世界上如何更改這麼多密碼 以有效的方式?

如果我必須單獨訪問每個服務和站點並手動更改PW,很明顯需要一個週末的專門工作...密碼安全性很好,但除此之外都不實用。

更新:我剛剛使用了Lastpass的“安全挑戰”,報告說我有274個站點,安全分數超過83%。工作中的幾個內部網站點重用相同的pw,這顯著降低了我的分數。我所有的互聯網帳戶都得分超過92%。


85
2018-04-09 19:17


起源


在更改所有密碼之前,請閱讀這些優秀的文獻: security.stackexchange.com/questions/55283/... - MonkeyZeus
我很高興你喜歡我的幽默:)但嚴肅地說,沒有簡單的方法。我想你可能已經錯過了我的鏈接的主要內容,這部分是: 更改易受Heartbleed攻擊的站點上的密碼僅在以後生效 - MonkeyZeus
引用這個問題 信息安全: 用於更改密碼的API? - unor
好的,我們現在正在轉向基於OpenID / OpenAuth的登錄。您只需更改身份提供商的密碼,其餘的就在各個網站上。另外,請注意,更改已更新其OpenSSL庫的站點的密碼是唯一的。即使在面對Heartbleed的情況下,這些200個網站中你可能還沒有對他們的系統進行任何更新。 - Lie Ryan
恭喜您成為實際為每種不同服務使用不同密碼的用戶。 - JFA


答案:


老實說,沒有。除非他們提供API,您可以在其中對帳戶進行遠程管理。挑選。哪些是最優先考慮的。例如銀行你應該改變。論壇和其他媒體網站的排名可以降低,並根據需要進行更改。

PS:我也認為人們正在按照這種不可思議的方式吹噓。


61
2018-04-09 19:31



評論已被清除。超級用戶不是討論論壇 - 應該使用評論來要求澄清(後面應該在答案中解決)或指出帖子中的問題。如果你想談談Heartbleed, 超級用戶聊天 將是最好的地方。謝謝。 - slhck
^ @slhck我建議他們在IT安全等特殊房間討論它,以避免壓倒正常房間。你能發佈到合適房間的鏈接嗎? - smci
@smci我相信我們的主要房間實際上非常適合那種討論。我們通常不會強制執行任何主題。 信息安全 還有一個聊天室。 - slhck


我很好奇你期望得到什麼樣的答案......一個軟件級聯密碼改變各種協議,網站,程序等?對於實際更改所有密碼的成本/收益,我會咬自己的看法,考慮到任何一個密碼都可以在合理的時間範圍內破解,無論它們是否被洩露。相反,我建議您收集每個網站和服務的聯繫信息。然後向所有人發送電子郵件,要求重置密碼或在下次登錄時重新建立新密碼。我在這裡看不到任何其他快捷方式。


12
2018-04-09 19:25



許多網站可能會發回回复說“如果您想重置密碼,請點擊以下鏈接: 密碼重置鏈接“。 - Nzall


由於您的問題可能不適合簡單回答,我建議您根據網站的易受攻擊程度(丟失資金,失去隱私,喪失聲譽等)更改網站密碼。


11
2018-04-10 02:27





我可能會:

  • 查看存儲真正敏感信息的網站列表
  • 一旦看起來網站已經準備就緒,就會立即改變這些
  • 下次我使用網站或網站請求/強制更改時更改剩餘部分。

這意味著其中一些永遠不會被改變,因為我永遠不會再使用該網站,而這就是現在完成所有這些工作所帶來的效率提升的源泉。事實上,這可能最終會引發無意義的敘述。在這樣做的背景下,更改密碼並不是一個很大的操作。

一世 認為 (雖然我不確定)如果我很少使用某個網站,那麼我在該網站上的密碼由於心跳而受到損害的可能性相對較小。因此,我實際使用的網站的偏好。

這種猜測錯誤的主要危險在於,事實證明,心靈已被長期積極利用。然後,大量密碼有很多機會直接通過heartbleed,或通過使用來自heartbleed的私鑰或管理員憑據來洩露。

[編輯:它開始看起來似乎心臟已被美國國家安全局利用,只要它已經存在。將不得不等待更多相關信息,但無論如何我並不像我想像的那樣擔心NSA擁有我的密碼。如果美國國家安全局想要我的密碼,那麼它就有了它們,那麼它的心靈就是獲得它們的眾多手段之一。如果他們已經有兩年的時間,那麼又一個月,直到我找到時間來改變一堆低價值賬戶將不會有所作為。]

延遲密碼更改的主要危險是有人可能已經擁有我的密碼,但要么沒有把它從使用heartbleed獲得的GB數據中拉出來,要么還沒有使用它。因此偏愛更敏感的系統。


7
2018-04-10 18:21





這是否真的值得懷疑  工作,但如果你對Javascript一點都不方便,你可以自己寫一些迷你API(一旦在正確的頁面上)找到正確的字段並為你改變它們:

https://stackoverflow.com/questions/257255/generic-way-to-fill-out-a-form-in-javascript

這個結果一旦完成,您就可以輕鬆應對未來的變化。其缺點是其他所有相關內容。


6
2018-04-10 13:40



然後任何時候任何這些網站對相關頁面進行任何類型的更改你的腳本可能會破壞... :-( - Michael
@Michael,不一定。像SuperGenPass這樣的腳本就是這樣做的,並且非常通用且非常成功。它實際上是有用的 配套工具 一旦我開始更改網站密碼。擁有長而獨特的密碼將是一種簡單易行的方法。 Natch,大多數密碼管理器都有這樣的東西,但不是一鍵式輕鬆。 - Torben Gundtofte-Bruun
當你這麼說時,它的缺點似乎很陡峭...... - Raystafarian
@ TorbenGundtofte-Bruun SuperGenPass似乎使用了我多年前手工製作的技術,然後才開始使用鑰匙串:我會拿起網站名稱並在我腦海中運行一個秘密轉換來創建我的密碼。當我從一個不同的網站購買的東西(從而更改其名稱)購買的網站時,這突然咬了我。 - Michael
@Michael我做了同樣的事情,我停下來因為每次我必須重置密碼並選擇一個新密碼時我會有一個微型筆劃。無論如何,要解決你之前所說的話:是的,超級陡峭的缺點,不,我不會有這個選擇的答案;我覺得值得離開這裡作為任何一個發生在整個問題上的勇敢超級用戶的替代解決方案。 - Sandy Gifford


檢查您是否可以在某些網站上使用Google OpenID登錄。這可以減少您需要更改/管理/使用的密碼數量。

將所有“更改密碼”頁面添加為書籤,並將它們全部打開(或者分批50個)。製作一個腳本,用於生成隨機密碼列表,並使用複制粘貼工具對其進行複制粘貼。執行此操作後清潔系統。使用此方法更改50個密碼不會超過10分鐘,這似乎是每周維護的合理時間。

這樣做,您將每月更改一次所有密碼,投資10分鐘。一周。


4
2018-04-10 13:52



即使打開標籤中的每個密碼更改頁面,每個站點12秒對我來說也是樂觀的。但原則似乎是正確的,這可能是訪問所有站點和更改密碼的最有效方式。 - Steve Jessop


特別是對於LastPass,因為您提到過,您可以導出ccv文件並將網站提交給其中一個驗證工具,例如LastPass本身提供的工具,以確定哪些網站甚至可以更改密碼。

我確信每個供應商也在忙著創建/考慮一種自動化等價物的工具(例如,LP安全挑戰的補充)。

每個密碼管理器都會提出不同的挑戰。例如,Dashlane不包括按更改日期對密碼進行排序的功能,儘管它確實有一個字段,您可以重新檢查已更改的密碼或您將忽略的密碼。

更新(2015年10月)  - LastPass和Dashlane(我試過的兩個)和其他一些密碼管理器現在有一個程序/表單可以在幾百個站點更改密碼就像檢查一個盒子一樣簡單(如果你信任自動化;他們甚至知道一些網站排除/要求某些特殊字符或授權長度)。或者,有些人會通過鏈接直接訪問網站更改頁面,建議新密碼並記錄您的更改。

如果您願意,可以打開另一個瀏覽器,並使用該網站的1到3次單擊打開和自動登錄/自動填充程序快速測試新密碼。只要知道同步發生的方式和時間。

我認為這應該是一個更新,因為我們有更多的大型站點裂縫和網絡和路由器漏洞。


4
2018-04-09 23:33