Cách hiệu quả để thay đổi hơn 200 mật khẩu tài khoản của tôi là gì?


87

Tôi có rất nhiều tài khoản trực tuyến, dịch vụ web, v.v. - cá nhân cũng như doanh nghiệp - vì vậy rõ ràng (?) Tôi sử dụng trình quản lý mật khẩu để xử lý tất cả. Cụ thể tôi sử dụng Lastpass nhưng câu hỏi của tôi áp dụng cho bất kỳ và tất cả:

Đưa ra vấn đề Heartbleed và các câu hỏi liên quan , ngay cả khi tôi muốn thay đổi tất cả mật khẩu của mình (và chúng ta không nên làm điều đó đều đặn ??), làm thế nào tôi có thể thay đổi nhiều mật khẩu một cách hiệu quả?

Nếu tôi phải truy cập từng dịch vụ và trang web riêng lẻ và thay đổi PW theo cách thủ công, thì rõ ràng sẽ mất một ngày cuối tuần làm việc tận tâm ... bảo mật mật khẩu là tốt và tất cả nhưng điều đó không thực tế.

Cập nhật: Tôi vừa sử dụng "thử thách bảo mật" của Lastpass, báo cáo rằng tôi có 274 trang và điểm bảo mật trên 83%. Một số trang web mạng nội bộ tại nơi làm việc sử dụng lại cùng một pw làm giảm đáng kể điểm số của tôi. Tất cả các tài khoản Internet của tôi đạt điểm trên 92%.


6
Vui lòng đọc tài liệu tốt này trước khi thay đổi tất cả mật khẩu của bạn: security.stackexchange.com/questions/55283/
mẹo

4
Tôi rất vui vì bạn thích sự hài hước của tôi :) nhưng trong tất cả sự nghiêm túc, không có cách nào dễ dàng. Và tôi nghĩ rằng bạn có thể đã bỏ lỡ điểm chính trong liên kết của tôi, đó là phần này: Thay đổi mật khẩu trên một trang web dễ bị tổn thương với Heartbleed chỉ có hiệu lực sau
MonkeyZeus


1
thật tốt khi chúng ta đang chuyển sang đăng nhập dựa trên OpenID / OpenAuth. Tất cả bạn cần chỉ là thay đổi mật khẩu cho nhà cung cấp nhận dạng và phần còn lại là trên các trang web cá nhân. Ngoài ra, xin lưu ý rằng chỉ đáng để thay đổi mật khẩu cho các trang web đã cập nhật thư viện OpenSSL của họ; có lẽ là một số lượng tốt trong số 200 trang web mà bạn chưa bao giờ thực hiện bất kỳ cập nhật nào trên hệ thống của họ ngay cả khi đối mặt với Heartbleed.
Lie Ryan

2
Xin chúc mừng vì bạn là một người dùng thực sự sử dụng các mật khẩu khác nhau cho mỗi dịch vụ khác nhau.
JFA

Câu trả lời:


61

Thành thật mà nói, không có. Trừ khi họ cung cấp API nơi bạn có thể quản lý từ xa trên tài khoản của mình. Chọn và chọn. Những cái nào là ưu tiên cao nhất. Ngân hàng ví dụ bạn nên thay đổi. Diễn đàn và các trang truyền thông khác có thể được xếp hạng thấp hơn và thay đổi trên cơ sở cần thiết.

Tái bút: Tôi cũng nghĩ mọi người đang thổi bay con đường đau lòng này ra khỏi tỷ lệ.


1
Bình luận đã bị thanh trừng. Siêu người dùng không phải là một diễn đàn thảo luận Bình luận nên được sử dụng để yêu cầu làm rõ (mà sau này sẽ được giải quyết trong câu trả lời) hoặc chỉ ra các vấn đề trong một bài đăng. Nếu bạn muốn nói về Heartbleed, Super User Chat sẽ là nơi tốt nhất. Cảm ơn.
slhck

^ @slhck Tôi đề nghị họ thảo luận về nó trong một phòng đặc biệt dành cho Bảo mật CNTT hoặc tương tự, để tránh áp đảo phòng thông thường. Bạn có thể gửi một liên kết đến phòng phù hợp?
smci

@smci Tôi tin rằng phòng chính của chúng tôi thực sự phù hợp với kiểu thảo luận đó. Chúng tôi thường không thực thi bất kỳ chủ đề. Bảo mật thông tin cũng có một phòng chat.
slhck

12

Tôi tò mò không biết câu trả lời nào bạn mong muốn nhận được ... Một phần mềm xếp tầng thay đổi mật khẩu qua các giao thức, trang web, quy trình, v.v.? Tôi sẽ cắn lưỡi vì ý kiến ​​của tôi về chi phí / lợi ích của việc thực sự thay đổi tất cả các mật khẩu đó, xem xét bất kỳ mật khẩu nào trong số chúng có thể bị bẻ khóa trong khung thời gian hợp lý, bất kể chúng có bị xâm phạm hay không. Thay vào đó, tôi sẽ khuyên bạn nên thu thập thông tin liên hệ cho từng trang web và dịch vụ này. Sau đó gửi e-mail cho tất cả họ yêu cầu đặt lại mật khẩu của bạn hoặc để thiết lập lại mật khẩu mới trong lần đăng nhập tiếp theo. Tôi không thấy bất kỳ phím tắt nào khác ở đây.


8
Rất nhiều trang web có thể sẽ gửi trả lời lại cho biết "Nếu bạn muốn đặt lại mật khẩu của mình, vui lòng nhấp vào liên kết sau: liên kết đặt lại mật khẩu ".
Nzall

11

Vì câu hỏi của bạn có thể không cho vay một câu trả lời dễ dàng, tôi sẽ đề nghị bạn thay đổi mật khẩu của các trang web dựa trên mức độ dễ bị tổn thương của chúng (mất tiền, mất quyền riêng tư, mất danh tiếng, v.v.)


7

Tôi có thể sẽ:

  • xem lại danh sách các trang web lưu trữ thông tin thực sự nhạy cảm
  • thay đổi ngay khi có vẻ rõ ràng trang web đã sẵn sàng cho điều đó
  • thay đổi phần còn lại vào lần tiếp theo tôi sử dụng trang web hoặc nếu trang web yêu cầu / buộc thay đổi.

Điều này có nghĩa là một số trong số chúng sẽ không bao giờ được thay đổi, bởi vì tôi sẽ không bao giờ sử dụng trang web nữa và đó là nguồn gốc của việc đạt được hiệu quả so với việc thực hiện tất cả chúng bây giờ. Trong thực tế, điều này cuối cùng có thể gây ra một tài khoản vô nghĩa. Trong bối cảnh thực hiện điều đó, thay đổi mật khẩu không phải là một hoạt động lớn như vậy.

Tôi nghĩ (mặc dù tôi không chắc chắn) rằng nếu tôi rất ít khi sử dụng một trang web thì có rất ít khả năng mật khẩu của tôi trên trang web đó đã bị xâm phạm do đau lòng. Do đó ưu tiên cho các trang web tôi thực sự sử dụng.

Mối nguy hiểm chính của việc đoán sai là nếu hóa ra việc đau lòng đã được khai thác tích cực trong một thời gian dài. Sau đó, có rất nhiều cơ hội cho hàng loạt mật khẩu đã bị xâm phạm trực tiếp thông qua heartbleed, hoặc bằng cách sử dụng khóa riêng hoặc thông tin đăng nhập của quản trị viên từ heartbleed.

[Chỉnh sửa: nó bắt đầu trông giống như có thể đau lòng đã được NSA khai thác trong khoảng thời gian tồn tại. Sẽ phải chờ thêm thông tin về điều đó, nhưng trong mọi trường hợp tôi không quan tâm đến việc NSA có mật khẩu như bạn mong đợi. Nếu NSA muốn mật khẩu của tôi thì nó có mật khẩu, heartbleed là một trong nhiều phương tiện mà họ có thể có được chúng. Nếu họ đã có chúng trong hai năm thì một tháng nữa cho đến khi tôi tìm thấy thời gian để thay đổi một loạt các tài khoản giá trị thấp sẽ không tạo ra sự khác biệt.]

Mối nguy hiểm chính của việc trì hoãn thay đổi mật khẩu là ai đó có thể đã có mật khẩu của tôi, nhưng họ đã không có ý định rút nó ra khỏi GB dữ liệu họ có được bằng cách sử dụng, hoặc người nào khác chưa sử dụng nó. Do đó ưu tiên cho các hệ thống nhạy cảm hơn.


6

Thật đáng nghi nếu điều này thực sự sẽ tốn ít công sức hơn , nhưng nếu bạn hoàn toàn có ích với Javascript, bạn có thể tự viết cho mình một số loại API nhỏ (một lần trên trang chính xác) đã tìm ra các trường chính xác và thay đổi chúng cho bạn:

https://stackoverflow.com/questions/257255/generic-way-to-fill-out-a-form-in-javascript

Kết quả cuối cùng đã được hoàn thành, bạn có thể dễ dàng thực hiện các thay đổi trong tương lai. Nhược điểm là tất cả mọi thứ khác về nó.


Và sau đó, bất cứ lúc nào, bất kỳ trang web nào trong số các trang web đó thực hiện bất kỳ loại thay đổi nào đối với trang được đề cập đến, kịch bản của bạn có thể sẽ bị hỏng ... :-(
Michael

@Michael, không nhất thiết. Các tập lệnh như SuperGenPass làm điều đó và cả hai đều rất chung chung và rất thành công. Nó thực sự sẽ là một công cụ đồng hành hữu ích khi tôi bắt đầu thay đổi mật khẩu trang web. Nó sẽ là một cách đơn giản để có mật khẩu dài và duy nhất. Natch, hầu hết các trình quản lý mật khẩu có một cái gì đó như thế này nhưng không dễ dàng bằng một cú nhấp chuột.
Torben Gundtofte-Bruun

1
Nhược điểm có vẻ khá dốc khi bạn đặt nó theo cách đó ...
Raystafarian

@ TorbenGundtofte-Bruun SuperGenPass dường như sử dụng một kỹ thuật tôi đã làm thủ công nhiều năm trước khi tôi có một móc khóa: Tôi sẽ lấy tên trang web và chạy một biến đổi bí mật trong đầu để tạo mật khẩu. Điều này đột ngột cắn tôi khi một trang web tôi đã mua thứ được mua bởi một trang web khác (do đó thay đổi tên của nó).
Michael

@Michael Tôi đã làm điều tương tự, tôi dừng lại vì tôi bị đột quỵ mỗi lần tôi phải đặt lại mật khẩu và chọn mật khẩu mới. Dù sao, để giải quyết những gì bạn đã nói trước đó: có, nhược điểm siêu dốc, và không, tôi sẽ không bao giờ có câu trả lời được chọn này; Tôi cảm thấy rằng đáng để rời khỏi đây như một giải pháp thay thế cho bất kỳ siêu người dùng dũng cảm nào đã xảy ra trong câu hỏi.
Sandy Gifford

4

Kiểm tra xem bạn có thể đăng nhập bằng Google OpenID trong một số trang web không. Điều đó có thể làm giảm số lượng mật khẩu bạn cần thay đổi / quản lý / sử dụng.

Đánh dấu tất cả các trang 'Thay đổi mật khẩu' và mở tất cả chúng trong các tab cùng nhau (hoặc có thể theo đợt 50). Tạo một kịch bản để tạo một danh sách các mật khẩu ngẫu nhiên và sao chép-dán chúng bằng một công cụ sao chép và dán. Làm sạch hệ thống của bạn sau khi làm điều này. Thay đổi 50 mật khẩu bằng phương pháp này sẽ không mất hơn 10 phút, đây có vẻ là thời gian khá hợp lý để bảo trì hàng tuần.

Làm điều này, bạn sẽ thay đổi tất cả mật khẩu của mình mỗi tháng một lần, đầu tư 10 phút. một tuần.


1
12 giây cho mỗi trang web nghe có vẻ lạc quan với tôi thậm chí mở mọi trang thay đổi mật khẩu trong các tab. Nhưng nguyên tắc có vẻ đúng, đây có lẽ là cách hiệu quả nhất để truy cập tất cả các trang web và thay đổi mật khẩu.
Steve Jessop

4

Cụ thể cho LastPass kể từ khi bạn đề cập rằng, bạn có thể xuất tệp ccv và gửi các trang web đến một trong những công cụ xác thực như chính LastPass cung cấp để xác định trang web nào đã sẵn sàng để thay đổi mật khẩu.

Tôi chắc rằng mỗi nhà cung cấp cũng đang bận rộn tạo / xem xét một công cụ để tự động hóa một cái gì đó tương đương (ví dụ: bổ sung cho Thử thách bảo mật của LP).

Mỗi người quản lý mật khẩu sẽ đưa ra một thách thức khác nhau. Ví dụ: Dashlane không bao gồm khả năng sắp xếp mật khẩu theo ngày đã thay đổi, mặc dù nó có một trường bạn có thể tái mục đích để kiểm tra mật khẩu đã được thay đổi hoặc bạn sẽ bỏ qua.

Cập nhật (Tháng 10 năm 2015) - LastPass và Dashlane (hai người tôi đã thử) và một số trình quản lý mật khẩu khác hiện có một quy trình / biểu mẫu có thể thực hiện thay đổi mật khẩu tại hàng trăm trang web đơn giản như kiểm tra một hộp (nếu bạn tin tưởng vào tự động hóa; họ thậm chí biết rằng một số trang web loại trừ / yêu cầu một số ký tự đặc biệt hoặc độ dài bắt buộc). Ngoài ra, một số đưa bạn trực tiếp đến trang thay đổi trang web thông qua một liên kết, đề xuất mật khẩu mới và ghi lại thay đổi của bạn.

Nếu bạn thích, hãy mở một trình duyệt khác và nhanh chóng kiểm tra mật khẩu mới bằng cách sử dụng quy trình 1 đến 3 lần nhấp mở và tự động điền / tự động điền cho trang web đó. Chỉ cần nhận thức về cách thức và thời điểm xảy ra đồng bộ hóa.

Tôi nghĩ rằng điều này xứng đáng được cập nhật vì chúng tôi đã có quá nhiều vết nứt trang web lớn hơn và khai thác mạng và bộ định tuyến.


1

Nếu các hệ thống cho phép bạn kết nối qua telnet hoặc ssh hoặc một cái gì đó tương tự, bạn có thể kịch bản thay đổi mật khẩu theo cách tương đối đơn giản. Nếu việc thay đổi mật khẩu phải được thực hiện thông qua giao diện web, việc viết công cụ để xử lý các biến thể có thể sẽ hiệu quả hơn giá trị của nó nhưng ít nhất tôi sẽ cố gắng đảm bảo mật khẩu mới được dán từ một người đáng tin cậy nguồn hơn là hy vọng tôi có thể gõ lại chính xác 400 lần.

Các hệ thống ID được liên kết đơn giản hóa điều này bằng cách cung cấp một điểm duy nhất để thay đổi mật khẩu cho nhiều hệ thống ... nhưng tất nhiên bạn phải quyết định xem bạn có tin tưởng các trung tâm ID đó hay không.

LƯU Ý: Thay đổi mật khẩu một cách thường xuyên KHÔNG cải thiện bảo mật nhiều như thường được tin. Nếu bất cứ điều gì, nó có thể khuyến khích mọi người chọn mật khẩu kém hơn, bởi vì chọn một mật khẩu mới mỗi N tháng là một nỗi đau trong patootie. Nó chỉ hữu ích nếu bạn tin rằng ai đó có khả năng đã đánh cắp mật khẩu hiện tại của bạn một cách hợp lý và nếu mật khẩu đó bị lộ sẽ làm lộ ra thứ gì đó bạn quan tâm hoặc có nguy cơ bị thúc đẩy để khuếch đại quyền.


1

Tôi có một đề xuất nghe có vẻ khả thi. Tôi không bao giờ thử bản thân mình mặc dù.

use AHK (key mouse event recorders ) bạn thực hiện một loạt các thay đổi mật khẩu và đăng nhập phiên bằng AHK. lần sau bạn muốn thay đổi mật khẩu. lấy kịch bản AHK và chỉ thay đổi mật khẩu. bạn chỉ cần chơi lại kịch bản AHK.

Bản thân tôi sử dụng các lượt khác nhau cho các trang web khác nhau, trừ khi tất cả chúng bị rò rỉ, tôi không cần phải thay đổi chúng cùng một lúc.


1

LastPass đã nghe bạn và đăng một mục blog giải thích làm thế nào điều này có thể được thực hiện. Và điểm mấu chốt là: bạn cần phải làm bằng tay theo từng trang.

Cũng đáng chú ý là bạn nên đảm bảo các trang web đã được nâng cấp trước khi thay đổi mật khẩu của bạn.


0

Bạn có thể thử sử dụng tiện ích Dashlane bao gồm tính năng Thay đổi mật khẩu (miễn phí) có thể thay đổi hàng tá mật khẩu chỉ bằng một cú nhấp chuột.

Nó thực hiện rất nhiều việc thay thế mật khẩu cũ bằng mật khẩu mới mạnh mẽ và bảo mật chúng trong Dashlane nơi chúng được ghi nhớ và gõ cho bạn.


Cũng như nhiều người quản lý mật khẩu khác 3 hoặc 5 năm sau bài đăng gốc năm 2014, bao gồm LastPass được đề cập trong bài đăng gốc.
BillR

-2

Tạo một Amazon Mechanical Turk.
Tạo một danh sách các trang web, tên người dùng và mật khẩu hiện tại của bạn. Mỗi HIT sẽ đưa ra một hoặc nhiều trong số này. Đưa ra các quy tắc cho những gì mật khẩu mới phải bao gồm. Trả 0,01 đô la cho mỗi mật khẩu. Người dùng phải thay đổi mật khẩu cho bạn và báo cáo lại mật khẩu mới. Điều này sẽ giúp mật khẩu của bạn thay đổi khá nhanh. https://requester.mturk.com/


21
Bạn có thực sự chắc chắn rằng nên tin tưởng những người lạ làm việc cho MTurk để thay đổi mật khẩu của bạn?

8
Tôi chỉ có thể hiểu điều này như một trò đùa, mà nên đi trong phiên bình luận trong trường hợp xấu nhất.
Quora Feans

1
LOL, tại sao không bỏ qua người trung gian và chỉ cần gửi người quản lý PW của bạn thẳng đến đám đông người Nga (hoặc một số nhóm có uy tín không kém khác). Ngang bằng với lời khuyên mà bạn mong đợi nhận được từ một anh chàng mặc jumpsuit DOC.
krowe
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.