Eu provavelmente irei:
- analise a lista de sites que armazenam informações realmente confidenciais
- altere os itens assim que parecer claro que o site está pronto para isso
- altere o restante da próxima vez que eu usar o site ou se o site solicitar / forçar uma alteração.
Isso significa que alguns deles nunca serão alterados, porque nunca mais usarei o site, e essa é a fonte do ganho de eficiência em relação a todos eles agora. Na verdade, isso pode eventualmente provocar uma limpeza de contas inúteis. No contexto de fazer isso, alterar as senhas não é uma operação tão grande.
Eu acho (embora eu não tenha certeza) que se eu raramente uso um site, então há uma chance relativamente pequena de minha senha no site ter sido comprometida devido a heartbleed. Daí a preferência por sites que eu realmente uso.
O principal perigo desse palpite estar errado é se o heartbleed tem sido explorado ativamente por um longo tempo. Depois, há muitas oportunidades para que várias senhas sejam comprometidas, seja diretamente via heartbleed ou pelo uso de chaves privadas ou credenciais de administrador do heartbleed.
[Edit: está começando a parecer que talvez o heartbleed tenha sido explorado pela NSA por tanto tempo quanto existia. Terá que esperar por mais informações sobre isso, mas em qualquer caso eu não estou tão preocupado com a NSA com minhas senhas como você poderia esperar. Se a NSA quer minhas senhas, então elas têm, o heartbleed é um dos únicos meios pelos quais elas podem adquiri-las. Se eles os tiverem por dois anos, outro mês até que eu encontre tempo para mudar um monte de contas de baixo valor não fará diferença.]
O principal perigo de atrasar a mudança de senha é que alguém já pode ter minha senha, mas ou não conseguiu extraí-la do GB de dados que obteve usando heartbleed, ou então não conseguiu usar ainda. Daí a preferência por sistemas mais sensíveis.