Questão O que é uma maneira eficiente de alterar minhas 200 senhas de conta?


eu tenho muito de contas on-line, serviços da web e assim por diante - tanto pessoais como comerciais - então obviamente (?) eu uso um gerenciador de senhas para lidar com todos eles. Especificamente eu uso o Lastpass, mas minha pergunta se aplica a todos e a todos:

Considerando a Problema Heartbleed e questões relacionadas, mesmo se eu quisesse mudar todas as minhas senhas (e não deveríamos estar fazendo isso em intervalos regulares ??), como no mundo posso mudar tantas senhas de uma maneira eficiente?

Se eu tiver que visitar cada serviço e site individualmente e alterar o PW manualmente, é claro que será necessário um fim de semana de trabalho dedicado ... segurança de senha é boa e tudo, mas isso não é prático.

Atualização: Acabei de usar o "desafio de segurança" do Lastpass, que informa que tenho 274 sites e uma pontuação de segurança acima de 83%. Vários sites de intranet no trabalho reutilizam o mesmo pw, o que reduz significativamente minha pontuação. Todas as minhas contas na Internet pontuam acima de 92%.


85


origem


Por favor, leia esta boa literatura antes de alterar todas as suas senhas: security.stackexchange.com/questions/55283/… - MonkeyZeus
Fico feliz que você tenha gostado do meu humor :) mas com toda a seriedade não há saída fácil. E eu acho que você pode ter perdido o ponto principal do meu link que é esta seção: A alteração de senhas em um site que é vulnerável a Heartbleed só é eficaz após - MonkeyZeus
Referenciando esta questão em Segurança da Informação: API para alterar senhas? - unor
Ainda bem que agora estamos mudando para a conexão baseada em OpenID / OpenAuth. Tudo que você precisa é apenas alterar a senha do provedor de identidade e o restante está nos sites individuais. Além disso, observe que só vale a pena alterar a senha de sites que já atualizaram sua biblioteca OpenSSL; Provavelmente, um bom número desses 200 sites que você nunca faz atualizações no sistema, mesmo em face do Heartbleed. - Lie Ryan
Parabéns por ser o único usuário que realmente usa senhas diferentes para cada serviço diferente. - JFA


Respostas:


Honestamente, não há nenhum. Não, a menos que eles ofereçam uma API onde você possa fazer o gerenciamento remoto em suas contas. Escolha e escolha. Quais são as mais altas prioridades. Banco, por exemplo, você deve mudar. Os fóruns e outros sites de mídia podem ser classificados em níveis inferiores e modificados conforme a necessidade.

PS: Eu também acho que as pessoas estão deixando de lado essa maneira desalentadora.


61



Comentários foram removidos. O Superusuário não é um fórum de discussão - os comentários devem ser usados ​​para solicitar esclarecimentos (que devem ser abordados posteriormente na resposta) ou apontar questões em um post. Se você quiser falar sobre Heartbleed, Super User Chat seria o melhor lugar. Obrigado. - slhck
^ @slhck Eu sugiro que eles discutam em uma sala especial de segurança de TI ou afins, para evitar sobrecarregar o ambiente regular. Você pode postar um link para o quarto adequado? - smci
@smci Acredito que nossa sala principal seja realmente adequada para esse tipo de discussão. Nós geralmente não aplicamos nenhum tópico. Segurança da Informação também tem uma sala de chat. - slhck


Estou curioso para saber que tipo de resposta você espera receber ... Um software que altera a senha em vários protocolos, sites, procedimentos, etc.? Eu vou morder minha língua na minha opinião sobre o custo / benefício de realmente mudar todas essas senhas, considerando que qualquer uma delas poderia ser quebrada em um prazo razoável, independentemente de estarem comprometidas. Em vez disso, recomendo que você colete informações de contato para cada um desses sites e serviços. Em seguida, envie um e-mail para todos eles solicitando sua redefinição de senha ou para restabelecer uma nova senha no próximo login. Eu não vejo nenhum outro atalho aqui.


12



Muitos sites provavelmente enviarão uma resposta dizendo "Se você deseja redefinir sua senha, clique no seguinte link: link de redefinição de senha". - Nzall


Como a sua pergunta provavelmente não se presta a uma resposta fácil, eu proporia que você altere as senhas dos sites com base em quão vulneráveis ​​eles fazem você (perda de dinheiro, perda de privacidade, perda de reputação etc.)


11





Eu provavelmente vou:

  • revise a lista de sites que armazenam informações realmente confidenciais
  • mudá-los assim que parecer claro que o site está pronto para isso
  • altere o restante da próxima vez que eu usar o site ou se o site solicitar / forçar uma alteração.

Isso significa que algumas delas nunca serão alteradas, porque nunca mais usarei o site, e essa é a fonte do ganho de eficiência em relação a todas elas agora. Na verdade, isso pode eventualmente provocar uma limpeza de contas inúteis. No contexto de fazer isso, alterar senhas não é uma operação tão grande.

Eu pensar (embora não tenha certeza) de que, se eu raramente usar um site, há poucas chances de minha senha nesse site ser comprometida devido ao heartbleed. Daí a preferência por sites que eu realmente uso.

O principal perigo desse palpite estar errado é se o heartbleed foi ativamente explorado por um longo tempo. Depois, há muitas oportunidades para que várias senhas sejam comprometidas, seja diretamente via heartbleed ou pelo uso de chaves privadas ou credenciais de administrador do heartbleed.

[Edit: está começando a parecer que talvez o heartbleed tenha sido explorado pela NSA por tanto tempo quanto existia. Terá que esperar por mais informações sobre isso, mas em qualquer caso eu não estou tão preocupado com a NSA com minhas senhas como você poderia esperar. Se a NSA quer minhas senhas, então elas têm, o heartbleed é um dos únicos meios pelos quais elas podem adquiri-las. Se eles os tiverem por dois anos, outro mês até que eu encontre tempo para mudar um monte de contas de baixo valor não fará diferença.

O principal perigo de atrasar a mudança de senha é que alguém já pode ter minha senha, mas ou não conseguiu extraí-la do GB de dados que obteve usando heartbleed, ou ainda não chegou a usá-la ainda. Daí a preferência por sistemas mais sensíveis.


7





É questionável se isso realmente levaria Menos trabalho, mas se você for útil com o Javascript, você poderia escrever para você algum tipo de mini-API que (uma vez na página correta) retirou os campos corretos e os modificou para você:

https://stackoverflow.com/questions/257255/generic-way-to-fill-out-a-form-in-javascript

O resultado disso é que uma vez concluído, você terá um acesso fácil para futuras alterações. A desvantagem é literalmente tudo o mais sobre isso.


6



E a qualquer momento, qualquer um desses sites faz qualquer tipo de alteração na página em questão, seu script provavelmente irá quebrar ... :-( - Michael
@Michael, não necessariamente. Scripts como SuperGenPass fazem exatamente isso e são muito genéricos e muito bem sucedidos. Seria realmente útil ferramenta complementar quando eu começar a mudar as senhas do site. Seria uma maneira simples de ter senhas longas e exclusivas. Natch, a maioria dos gerenciadores de senha tem algo parecido com isso, mas não como um clique fácil. - Torben Gundtofte-Bruun
A desvantagem parece bastante íngreme quando você coloca dessa forma ... - Raystafarian
@ TorbenGundtofte-Bruun SuperGenPass parece usar uma técnica que fiz manualmente anos atrás antes de ter um chaveiro: eu pegava o nome do site e fazia uma transformação secreta na minha cabeça para criar minha senha. Isso me mordeu abruptamente quando um site que comprei foi comprado por um site diferente (mudando assim seu nome). - Michael
@Michael Eu fiz a mesma coisa, parei porque teria um traço em miniatura toda vez que tivesse que redefinir minha senha e escolher uma nova. De qualquer forma, para abordar o que você disse anteriormente: sim, desvantagem super acentuada, e não, eu nunca teria essa a resposta escolhida; Eu senti que valeria a pena sair daqui como uma solução alternativa para qualquer um dos superusuários mais corajosos que passaram pela questão. - Sandy Gifford


Verifique se você pode fazer login com o Google OpenID em alguns sites. Isso pode reduzir o número de senhas que você precisa alterar / gerenciar / usar.

Marque todas as páginas "Alterar senha" e abra todas elas em guias juntas (ou talvez em lotes de 50). Crie um script para gerar uma lista de senhas aleatórias e copie e cole-as com uma ferramenta copiar e colar. Limpe seu sistema depois de fazer isso. A alteração de 50 senhas com esse método não levará mais de 10 minutos, o que parece um tempo bastante razoável para uma manutenção semanal.

Fazendo isso, você mudará todas as suas senhas uma vez por mês, investindo 10 min. uma semana.


4



12 segundos por site parece otimista para mim, mesmo abrindo todas as páginas de alteração de senha nas guias. Mas o princípio parece correto, essa provavelmente é a maneira mais eficiente de visitar todos os sites e alterar as senhas. - Steve Jessop


Especificamente para o LastPass desde que você mencionou isso, você poderia exportar um arquivo ccv e enviar os sites para uma das ferramentas de validação, como a que o próprio LastPass oferece para determinar quais sites estão prontos para que as senhas sejam alteradas.

Tenho certeza de que cada um dos fornecedores também está ocupado criando / considerando uma ferramenta para automatizar algo equivalente (por exemplo, um complemento ao Desafio de Segurança do LP).

Cada gerenciador de senhas apresenta um desafio diferente. Por exemplo, o Dashlane não inclui a capacidade de classificar as senhas por data alterada, embora tenha um campo que você possa reutilizar para eliminar as senhas que foram alteradas ou que você irá ignorar.

Atualização (out 2015) - LastPass e Dashlane (os dois que eu tentei) e alguns outros gerenciadores de senhas agora têm um procedimento / formulário que pode mudar senhas em várias centenas de sites tão simples quanto marcar uma caixa (se você confia na automação; eles até sabem que alguns sites excluem / exigem certos caracteres especiais ou tamanho do mandato). Como alternativa, alguns levam você diretamente para a página de alteração do site por meio de um link, sugerem uma nova senha e registram sua alteração.

Se desejar, abra outro navegador e teste rapidamente a nova senha usando o procedimento de abertura e autogerenciamento automático / preenchimento automático de 1 a 3 para esse site. Apenas esteja ciente de como e quando ocorre a sincronização.

Achei que isso merecia uma atualização, pois tivemos muito mais falhas nos sites e falhas de rede e de roteador.


4





Se os sistemas permitirem a conexão via telnet ou ssh ou algo semelhante, você poderá fazer o script das alterações de senha de maneira relativamente simples. Se as alterações de senha tiverem que ser feitas através de uma interface web, escrever ferramentas para lidar com as variações provavelmente seria mais trabalho do que valeria a pena, mas eu pelo menos tentaria garantir que a nova senha fosse colada de uma forma confiável. fonte, em vez de esperar que eu pudesse redigitá-lo com precisão 400 vezes.

Os sistemas de IDs federados simplificam isso, fornecendo um único ponto para alterar a senha de vários sistemas ... mas é claro que você precisa decidir se confia nesses hubs de ID.

NOTA: Alterar senhas regularmente NÃO melhorar a segurança tanto quanto se acredita.  Se qualquer coisa, pode encorajar as pessoas a escolher senhas inferiores, porque escolher uma nova boa a cada N meses é uma dor no pato. Só ajuda se você acredita que alguém provavelmente roubou sua senha e se a senha exposta expõe algo de seu interesse ou corre o risco de ser aproveitada para amplificação de direitos.


1