Cách hiệu quả để thay đổi hơn 200 mật khẩu tài khoản của tôi là gì?

Tôi có rất nhiều tài khoản trực tuyến, dịch vụ web, v.v. - cá nhân cũng như doanh nghiệp - vì vậy rõ ràng (?) Tôi sử dụng trình quản lý mật khẩu để xử lý tất cả. Cụ thể tôi sử dụng Lastpass nhưng câu hỏi của tôi áp dụng cho bất kỳ và tất cả:

Đưa ra vấn đề Heartbleed và các câu hỏi liên quan , ngay cả khi tôi muốn thay đổi tất cả mật khẩu của mình (và chúng ta không nên làm điều đó đều đặn ??), làm thế nào tôi có thể thay đổi nhiều mật khẩu một cách hiệu quả?

Nếu tôi phải truy cập từng dịch vụ và trang web riêng lẻ và thay đổi PW theo cách thủ công, thì rõ ràng sẽ mất một ngày cuối tuần làm việc tận tâm ... bảo mật mật khẩu là tốt và tất cả nhưng điều đó không thực tế.

_{Cập nhật: Tôi vừa sử dụng "thử thách bảo mật" của Lastpass, báo cáo rằng tôi có 274 trang và điểm bảo mật trên 83%. Một số trang web mạng nội bộ tại nơi làm việc sử dụng lại cùng một pw làm giảm đáng kể điểm số của tôi. Tất cả các tài khoản Internet của tôi đạt điểm trên 92%.}

Thành thật mà nói, không có. Trừ khi họ cung cấp API nơi bạn có thể quản lý từ xa trên tài khoản của mình. Chọn và chọn. Những cái nào là ưu tiên cao nhất. Ngân hàng ví dụ bạn nên thay đổi. Diễn đàn và các trang truyền thông khác có thể được xếp hạng thấp hơn và thay đổi trên cơ sở cần thiết.

Tái bút: Tôi cũng nghĩ mọi người đang thổi bay con đường đau lòng này ra khỏi tỷ lệ.

Tôi tò mò không biết câu trả lời nào bạn mong muốn nhận được ... Một phần mềm xếp tầng thay đổi mật khẩu qua các giao thức, trang web, quy trình, v.v.? Tôi sẽ cắn lưỡi vì ý kiến ​​của tôi về chi phí / lợi ích của việc thực sự thay đổi tất cả các mật khẩu đó, xem xét bất kỳ mật khẩu nào trong số chúng có thể bị bẻ khóa trong khung thời gian hợp lý, bất kể chúng có bị xâm phạm hay không. Thay vào đó, tôi sẽ khuyên bạn nên thu thập thông tin liên hệ cho từng trang web và dịch vụ này. Sau đó gửi e-mail cho tất cả họ yêu cầu đặt lại mật khẩu của bạn hoặc để thiết lập lại mật khẩu mới trong lần đăng nhập tiếp theo. Tôi không thấy bất kỳ phím tắt nào khác ở đây.

Vì câu hỏi của bạn có thể không cho vay một câu trả lời dễ dàng, tôi sẽ đề nghị bạn thay đổi mật khẩu của các trang web dựa trên mức độ dễ bị tổn thương của chúng (mất tiền, mất quyền riêng tư, mất danh tiếng, v.v.)

Tôi có thể sẽ:

• xem lại danh sách các trang web lưu trữ thông tin thực sự nhạy cảm
• thay đổi ngay khi có vẻ rõ ràng trang web đã sẵn sàng cho điều đó
• thay đổi phần còn lại vào lần tiếp theo tôi sử dụng trang web hoặc nếu trang web yêu cầu / buộc thay đổi.

Điều này có nghĩa là một số trong số chúng sẽ không bao giờ được thay đổi, bởi vì tôi sẽ không bao giờ sử dụng trang web nữa và đó là nguồn gốc của việc đạt được hiệu quả so với việc thực hiện tất cả chúng bây giờ. Trong thực tế, điều này cuối cùng có thể gây ra một tài khoản vô nghĩa. Trong bối cảnh thực hiện điều đó, thay đổi mật khẩu không phải là một hoạt động lớn như vậy.

Tôi nghĩ (mặc dù tôi không chắc chắn) rằng nếu tôi rất ít khi sử dụng một trang web thì có rất ít khả năng mật khẩu của tôi trên trang web đó đã bị xâm phạm do đau lòng. Do đó ưu tiên cho các trang web tôi thực sự sử dụng.

Mối nguy hiểm chính của việc đoán sai là nếu hóa ra việc đau lòng đã được khai thác tích cực trong một thời gian dài. Sau đó, có rất nhiều cơ hội cho hàng loạt mật khẩu đã bị xâm phạm trực tiếp thông qua heartbleed, hoặc bằng cách sử dụng khóa riêng hoặc thông tin đăng nhập của quản trị viên từ heartbleed.

[Chỉnh sửa: nó bắt đầu trông giống như có thể đau lòng đã được NSA khai thác trong khoảng thời gian tồn tại. Sẽ phải chờ thêm thông tin về điều đó, nhưng trong mọi trường hợp tôi không quan tâm đến việc NSA có mật khẩu như bạn mong đợi. Nếu NSA muốn mật khẩu của tôi thì nó có mật khẩu, heartbleed là một trong nhiều phương tiện mà họ có thể có được chúng. Nếu họ đã có chúng trong hai năm thì một tháng nữa cho đến khi tôi tìm thấy thời gian để thay đổi một loạt các tài khoản giá trị thấp sẽ không tạo ra sự khác biệt.]

Mối nguy hiểm chính của việc trì hoãn thay đổi mật khẩu là ai đó có thể đã có mật khẩu của tôi, nhưng họ đã không có ý định rút nó ra khỏi GB dữ liệu họ có được bằng cách sử dụng, hoặc người nào khác chưa sử dụng nó. Do đó ưu tiên cho các hệ thống nhạy cảm hơn.

Thật đáng nghi nếu điều này thực sự sẽ tốn ít công sức hơn , nhưng nếu bạn hoàn toàn có ích với Javascript, bạn có thể tự viết cho mình một số loại API nhỏ (một lần trên trang chính xác) đã tìm ra các trường chính xác và thay đổi chúng cho bạn:

https://stackoverflow.com/questions/257255/generic-way-to-fill-out-a-form-in-javascript

Kết quả cuối cùng đã được hoàn thành, bạn có thể dễ dàng thực hiện các thay đổi trong tương lai. Nhược điểm là tất cả mọi thứ khác về nó.

Kiểm tra xem bạn có thể đăng nhập bằng Google OpenID trong một số trang web không. Điều đó có thể làm giảm số lượng mật khẩu bạn cần thay đổi / quản lý / sử dụng.

Đánh dấu tất cả các trang 'Thay đổi mật khẩu' và mở tất cả chúng trong các tab cùng nhau (hoặc có thể theo đợt 50). Tạo một kịch bản để tạo một danh sách các mật khẩu ngẫu nhiên và sao chép-dán chúng bằng một công cụ sao chép và dán. Làm sạch hệ thống của bạn sau khi làm điều này. Thay đổi 50 mật khẩu bằng phương pháp này sẽ không mất hơn 10 phút, đây có vẻ là thời gian khá hợp lý để bảo trì hàng tuần.

Làm điều này, bạn sẽ thay đổi tất cả mật khẩu của mình mỗi tháng một lần, đầu tư 10 phút. một tuần.

Cụ thể cho LastPass kể từ khi bạn đề cập rằng, bạn có thể xuất tệp ccv và gửi các trang web đến một trong những công cụ xác thực như chính LastPass cung cấp để xác định trang web nào đã sẵn sàng để thay đổi mật khẩu.

Tôi chắc rằng mỗi nhà cung cấp cũng đang bận rộn tạo / xem xét một công cụ để tự động hóa một cái gì đó tương đương (ví dụ: bổ sung cho Thử thách bảo mật của LP).

Mỗi người quản lý mật khẩu sẽ đưa ra một thách thức khác nhau. Ví dụ: Dashlane không bao gồm khả năng sắp xếp mật khẩu theo ngày đã thay đổi, mặc dù nó có một trường bạn có thể tái mục đích để kiểm tra mật khẩu đã được thay đổi hoặc bạn sẽ bỏ qua.

Cập nhật (Tháng 10 năm 2015) - LastPass và Dashlane (hai người tôi đã thử) và một số trình quản lý mật khẩu khác hiện có một quy trình / biểu mẫu có thể thực hiện thay đổi mật khẩu tại hàng trăm trang web đơn giản như kiểm tra một hộp (nếu bạn tin tưởng vào tự động hóa; họ thậm chí biết rằng một số trang web loại trừ / yêu cầu một số ký tự đặc biệt hoặc độ dài bắt buộc). Ngoài ra, một số đưa bạn trực tiếp đến trang thay đổi trang web thông qua một liên kết, đề xuất mật khẩu mới và ghi lại thay đổi của bạn.

Nếu bạn thích, hãy mở một trình duyệt khác và nhanh chóng kiểm tra mật khẩu mới bằng cách sử dụng quy trình 1 đến 3 lần nhấp mở và tự động điền / tự động điền cho trang web đó. Chỉ cần nhận thức về cách thức và thời điểm xảy ra đồng bộ hóa.

Tôi nghĩ rằng điều này xứng đáng được cập nhật vì chúng tôi đã có quá nhiều vết nứt trang web lớn hơn và khai thác mạng và bộ định tuyến.

Nếu các hệ thống cho phép bạn kết nối qua telnet hoặc ssh hoặc một cái gì đó tương tự, bạn có thể kịch bản thay đổi mật khẩu theo cách tương đối đơn giản. Nếu việc thay đổi mật khẩu phải được thực hiện thông qua giao diện web, việc viết công cụ để xử lý các biến thể có thể sẽ hiệu quả hơn giá trị của nó nhưng ít nhất tôi sẽ cố gắng đảm bảo mật khẩu mới được dán từ một người đáng tin cậy nguồn hơn là hy vọng tôi có thể gõ lại chính xác 400 lần.

Các hệ thống ID được liên kết đơn giản hóa điều này bằng cách cung cấp một điểm duy nhất để thay đổi mật khẩu cho nhiều hệ thống ... nhưng tất nhiên bạn phải quyết định xem bạn có tin tưởng các trung tâm ID đó hay không.

LƯU Ý: Thay đổi mật khẩu một cách thường xuyên KHÔNG cải thiện bảo mật nhiều như thường được tin. Nếu bất cứ điều gì, nó có thể khuyến khích mọi người chọn mật khẩu kém hơn, bởi vì chọn một mật khẩu mới mỗi N tháng là một nỗi đau trong patootie. Nó chỉ hữu ích nếu bạn tin rằng ai đó có khả năng đã đánh cắp mật khẩu hiện tại của bạn một cách hợp lý và nếu mật khẩu đó bị lộ sẽ làm lộ ra thứ gì đó bạn quan tâm hoặc có nguy cơ bị thúc đẩy để khuếch đại quyền.

Tôi có một đề xuất nghe có vẻ khả thi. Tôi không bao giờ thử bản thân mình mặc dù.

use AHK (key mouse event recorders ) bạn thực hiện một loạt các thay đổi mật khẩu và đăng nhập phiên bằng AHK. lần sau bạn muốn thay đổi mật khẩu. lấy kịch bản AHK và chỉ thay đổi mật khẩu. bạn chỉ cần chơi lại kịch bản AHK.

Bản thân tôi sử dụng các lượt khác nhau cho các trang web khác nhau, trừ khi tất cả chúng bị rò rỉ, tôi không cần phải thay đổi chúng cùng một lúc.

LastPass đã nghe bạn và đăng một mục blog giải thích làm thế nào điều này có thể được thực hiện. Và điểm mấu chốt là: bạn cần phải làm bằng tay theo từng trang.

Cũng đáng chú ý là bạn nên đảm bảo các trang web đã được nâng cấp trước khi thay đổi mật khẩu của bạn.

Bạn có thể thử sử dụng tiện ích Dashlane bao gồm tính năng Thay đổi mật khẩu (miễn phí) có thể thay đổi hàng tá mật khẩu chỉ bằng một cú nhấp chuột.

Nó thực hiện rất nhiều việc thay thế mật khẩu cũ bằng mật khẩu mới mạnh mẽ và bảo mật chúng trong Dashlane nơi chúng được ghi nhớ và gõ cho bạn.

Tạo một Amazon Mechanical Turk.
Tạo một danh sách các trang web, tên người dùng và mật khẩu hiện tại của bạn. Mỗi HIT sẽ đưa ra một hoặc nhiều trong số này. Đưa ra các quy tắc cho những gì mật khẩu mới phải bao gồm. Trả 0,01 đô la cho mỗi mật khẩu. Người dùng phải thay đổi mật khẩu cho bạn và báo cáo lại mật khẩu mới. Điều này sẽ giúp mật khẩu của bạn thay đổi khá nhanh. https://requester.mturk.com/