O que é uma maneira eficiente de alterar minhas 200 senhas de conta?

85

Tenho muito de contas on-line, serviços da Web e assim por diante - tanto pessoais como comerciais - então obviamente (?) uso um gerenciador de senhas para lidar com todos eles. Especificamente, eu uso Lastpass, mas minha pergunta se aplica a todos e quaisquer:

Dado o problema Heartbleed e questões relacionadas , mesmo se eu quisesse mudar todas as minhas senhas (e não deveríamos estar fazendo isso em intervalos regulares?), como no mundo eu posso mudar tantas senhas de uma maneira eficiente?

Se eu tiver que visitar cada serviço e site individualmente e alterar o PW manualmente, está claro que será necessário um fim de semana de trabalho dedicado ... segurança de senha é boa e tudo menos isso não é prático.

Atualização: Acabei de usar o "desafio de segurança" do Lastpass, que informa que tenho 274 sites e uma pontuação de segurança acima de 83%. Vários sites de intranet no trabalho reutilizam o mesmo pw, o que reduz significativamente minha pontuação. Todas as minhas contas na Internet pontuam acima de 92%.

    
por Torben Gundtofte-Bruun 09.04.2014 / 21:17

12 respostas

61

Honestamente, não há nenhum. Não, a menos que eles ofereçam uma API onde você possa fazer o gerenciamento remoto em suas contas. Escolha e escolha. Quais são as mais altas prioridades. Banco, por exemplo, você deve mudar. Os fóruns e outros sites de mídia podem ser classificados em níveis inferiores e modificados conforme a necessidade.

PS: Eu também acho que as pessoas estão soprando esta maneira desalentada.

    
por 09.04.2014 / 21:31
12

Estou curioso para saber que tipo de resposta você espera obter ... Um software que altera em cascata a senha em vários protocolos, sites, procedimentos etc.? Eu vou morder minha língua na minha opinião sobre o custo / benefício de realmente mudar todas essas senhas, considerando que qualquer uma delas poderia ser quebrada em um prazo razoável, independentemente de estarem comprometidas. Em vez disso, recomendo que você colete informações de contato para cada um desses sites e serviços. Em seguida, envie um e-mail para todos eles solicitando sua redefinição de senha ou para restabelecer uma nova senha no próximo login. Eu não vejo nenhum outro atalho aqui.

    
por 09.04.2014 / 21:25
11

Como sua pergunta provavelmente não se presta a uma resposta fácil, eu proporia que você altere as senhas dos sites com base em quão vulneráveis eles fazem você (perda de dinheiro, perda de privacidade, perda de reputação etc.)

    
por 10.04.2014 / 04:27
7

Eu provavelmente irei:

  • analise a lista de sites que armazenam informações realmente confidenciais
  • altere os itens assim que parecer claro que o site está pronto para isso
  • altere o restante da próxima vez que eu usar o site ou se o site solicitar / forçar uma alteração.

Isso significa que alguns deles nunca serão alterados, porque nunca mais usarei o site, e essa é a fonte do ganho de eficiência em relação a todos eles agora. Na verdade, isso pode eventualmente provocar uma limpeza de contas inúteis. No contexto de fazer isso, alterar as senhas não é uma operação tão grande.

Eu acho (embora eu não tenha certeza) que se eu raramente uso um site, então há uma chance relativamente pequena de minha senha no site ter sido comprometida devido a heartbleed. Daí a preferência por sites que eu realmente uso.

O principal perigo desse palpite estar errado é se o heartbleed tem sido explorado ativamente por um longo tempo. Depois, há muitas oportunidades para que várias senhas sejam comprometidas, seja diretamente via heartbleed ou pelo uso de chaves privadas ou credenciais de administrador do heartbleed.

[Edit: está começando a parecer que talvez o heartbleed tenha sido explorado pela NSA por tanto tempo quanto existia. Terá que esperar por mais informações sobre isso, mas em qualquer caso eu não estou tão preocupado com a NSA com minhas senhas como você poderia esperar. Se a NSA quer minhas senhas, então elas têm, o heartbleed é um dos únicos meios pelos quais elas podem adquiri-las. Se eles os tiverem por dois anos, outro mês até que eu encontre tempo para mudar um monte de contas de baixo valor não fará diferença.]

O principal perigo de atrasar a mudança de senha é que alguém já pode ter minha senha, mas ou não conseguiu extraí-la do GB de dados que obteve usando heartbleed, ou então não conseguiu usar ainda. Daí a preferência por sistemas mais sensíveis.

    
por 10.04.2014 / 20:21
6

É questionável se isso realmente levaria menos trabalho, mas se você for muito útil com Javascript, você poderia escrever-se algum tipo de mini-API que (uma vez na página correta) os campos corretos e os alterou para você:

link

O resultado disso é que, uma vez concluído, você terá um acesso fácil para futuras alterações. A desvantagem é literalmente tudo sobre isso.

    
por 10.04.2014 / 15:40
4

Verifique se você pode fazer login com o Google OpenID em alguns sites. Isso pode reduzir o número de senhas que você precisa alterar / gerenciar / usar.

Marque todas as páginas de 'Alterar senha' e abra todas elas em guias juntas (ou talvez em lotes de 50). Crie um script para gerar uma lista de senhas aleatórias e copie e cole-as com uma ferramenta copiar e colar. Limpe seu sistema depois de fazer isso. Alterar 50 senhas com esse método não levará mais de 10 minutos, o que parece ser um tempo bastante razoável para uma manutenção semanal.

Fazendo isso, você mudará todas as suas senhas uma vez por mês, investindo 10 min. uma semana.

    
por 10.04.2014 / 15:52
4

Especificamente para o LastPass desde que você mencionou isso, você poderia exportar um arquivo ccv e enviar os sites para uma das ferramentas de validação, como a que o próprio LastPass oferece para determinar quais sites estão prontos para alterar as senhas.

Tenho certeza de que cada um dos fornecedores também está ocupado criando / considerando uma ferramenta para automatizar algo equivalente (por exemplo, um suplemento do Desafio de segurança do LP).

Cada gerenciador de senhas apresenta um desafio diferente. Por exemplo, o Dashlane não inclui a capacidade de classificar as senhas por data alterada, embora tenha um campo que você possa reutilizar para eliminar as senhas que foram alteradas ou que você irá ignorar.

Atualização (out 2015) - LastPass e Dashlane (os dois que eu tentei) e alguns outros gerenciadores de senha agora têm um procedimento / formulário que pode tornar a mudança de senhas em várias centenas de sites tão simples quanto verificando uma caixa (se você confia na automação; eles até sabem que alguns sites excluem / exigem certos caracteres especiais ou tamanho de mandato). Como alternativa, alguns levam você diretamente para a página de alteração do site por meio de um link, sugerem uma nova senha e registram sua alteração.

Se desejar, abra outro navegador e teste rapidamente a nova senha usando o procedimento de 1 a 3 clique em abrir e autologar / preencher automaticamente para esse site. Apenas esteja ciente de como e quando ocorre a sincronização.

Eu achei que isso merecia uma atualização, pois tivemos muito mais falhas nos sites e explorações de rede e de roteador.

    
por 10.04.2014 / 01:33
1

Se os sistemas permitirem a conexão via telnet ou ssh ou algo semelhante, você poderá fazer o script das alterações de senha de maneira relativamente simples. Se as alterações de senha tiverem que ser feitas através de uma interface web, escrever ferramentas para lidar com as variações provavelmente seria mais trabalho do que valeria a pena, mas eu pelo menos tentaria garantir que a nova senha fosse colada de uma forma confiável. fonte, em vez de esperar que eu pudesse redigitá-la com precisão 400 vezes.

Os sistemas de IDs federados simplificam isso, fornecendo um único ponto para alterar a senha de vários sistemas ... mas é claro que você precisa decidir se confia nesses hubs de ID.

NOTA: Mudar as senhas regularmente NÃO melhora a segurança tanto quanto é comumente acreditado. Se houver, pode encorajar as pessoas a escolher senhas inferiores, porque escolher um novo bom a cada N meses é uma dor no patootie. Isso só ajuda se você acredita que alguém provavelmente roubou sua senha e se a senha exposta expõe algo de seu interesse ou corre o risco de ser aproveitada para amplificação de direitos.

    
por 11.04.2014 / 04:10
1

Eu tenho uma proposta que parece viável. Eu nunca tentei me embora.

use AHK (key mouse event recorders ) você faz um lote de alterações de senha e registra a sessão usando o AHK. da próxima vez que você quiser alterar a senha. retire o script AHK e mude apenas a senha. você só precisa tocar o script AHK novamente.

Eu mesmo uso passe diferente para sites diferentes, a menos que eles sejam todos vazados, não preciso alterá-los de uma só vez.

    
por 11.04.2014 / 09:32
1

O LastPass ouviu você e postou uma entrada de blog explicando como isso pode ser feito. E o ponto principal é: você precisa fazer isso manualmente por site.

Também vale a pena observar que você deve se certificar de que os sites foram atualizados antes de alterar sua senha.

    
por 17.04.2014 / 11:28
0

Você pode tentar usar o utilitário Dashlane que inclui Senha Changer recurso (é gratuito), que pode alterar dezenas de senhas em um único clique.

It does the heavy-lifting of replacing old passwords with strong new ones, and secures them in Dashlane where they’re remembered and typed for you.

    
por 09.10.2017 / 18:26
-2

Crie um Amazon Mechanical Turk.
Faça uma lista de seus sites, nomes de usuário e senhas atuais. Cada HIT fornecerá um ou mais destes. Dê regras para o que a nova senha deve consistir. Pagando US $ 0,01 por senha. O usuário deve alterar a senha para você e informar a nova senha. Isso deve ter suas senhas alteradas rapidamente. link

    
por 10.04.2014 / 04:43