Ich habe viele Online-Konten, Webservices usw. - sowohl privat als auch geschäftlich. Daher nutze ich (?) Offensichtlich einen Passwort-Manager, um alle zu verwalten. Speziell verwende ich Lastpass, aber meine Frage gilt für alle:
Angesichts des Heartbleed-Problems und der zugehörigen Fragen, selbst wenn ich alle meine Passwörter ändern wollte (und sollten wir das nicht alle in regelmäßigen Abständen tun?), Wie kann ich so viele Passwörter auf effiziente Weise ändern ?
Wenn ich jeden Dienst und jede Site einzeln besuchen und den PW manuell ändern muss, ist es klar, dass ein Wochenende mit engagierter Arbeit erforderlich ist. Die Passwortsicherheit ist gut und alles ist aber nicht praktikabel.
Update: Ich habe gerade die "Sicherheitsherausforderung" von Lastpass verwendet, die angibt, dass ich 274 Websites und einen Sicherheitsfaktor von über 83% habe. Mehrere Intranetseiten bei der Arbeit verwenden dieselbe Pw, was meine Punktzahl erheblich senkt. Alle meine Internetkonten erreichen über 92%.
Ehrlich gesagt gibt es keine. Es sei denn, sie bieten eine API an, über die Sie Ihre Konten remote verwalten können. Wähle und wähle. Welche haben die höchste Priorität. Bank zum Beispiel sollten Sie ändern. Foren und andere Medienseiten können niedriger eingestuft und je nach Bedarf geändert werden.
PS: Ich denke auch, dass die Leute diesen Herzschlag aus unverhältnismäßigen Verhältnissen wehen.
Ich bin gespannt, welche Art von Antwort Sie erwarten ... Eine Software, die Kennwortänderungen über verschiedene Protokolle, Standorte, Prozeduren usw. anlegt? Ich beiße meine Zunge bei meiner Meinung zu den Kosten / Nutzen der tatsächlichen Änderung all dieser Kennwörter, wenn man bedenkt, dass eines von ihnen in einem vernünftigen Zeitrahmen geknackt werden könnte, unabhängig davon, ob sie kompromittiert sind. Stattdessen empfehle ich Ihnen, Kontaktinformationen für jede dieser Websites und Dienste zu sammeln. Senden Sie dann eine E-Mail an alle, die Ihr Passwort zurücksetzen möchten, oder legen Sie beim nächsten Login ein neues Passwort fest. Ich sehe hier keine anderen Verknüpfungen.
Da sich Ihre Frage wahrscheinlich nicht für eine einfache Antwort eignet, würde ich vorschlagen, dass Sie die Kennwörter von Websites ändern, je nachdem, wie verwundbar sie sind (Verlust von Geld, Verlust der Privatsphäre, Verlust des Rufs usw.).
Ich werde wahrscheinlich:
Dies bedeutet, dass einige davon nie geändert werden, da ich die Website nie wieder verwenden werde. Dies ist die Quelle der Effizienzsteigerung, wenn ich sie jetzt alle mache. In der Tat könnte dies letztendlich zu einer Aufklärung sinnloser Konten führen. In diesem Zusammenhang ist das Ändern von Passwörtern keine so große Operation.
Ich denke (obwohl ich nicht sicher bin), dass, wenn ich eine Website sehr selten benutze, die Wahrscheinlichkeit sehr gering ist, dass mein Passwort auf dieser Website durch Heartbleed gefährdet wird. Daher die Präferenz für Websites, die ich tatsächlich verwende.
Die Hauptgefahr, dass diese Vermutung falsch ist, ist, wenn sich herausstellt, dass Heartbleed seit langem aktiv ausgenutzt wird. Dann gibt es viele Möglichkeiten, dass eine Vielzahl von Passwörtern entweder direkt über heartbleed oder durch die Verwendung privater Schlüssel oder Administratoranmeldeinformationen von heartbleed gefährdet wurde.
[Edit: Es sieht so aus, als ob Heartbleed von der NSA ungefähr so lange ausgenutzt wurde, wie es existiert. Ich werde auf weitere Informationen warten müssen, aber auf jeden Fall bin ich nicht so besorgt darüber, dass die NSA meine Passwörter hat, wie Sie vielleicht erwarten. Wenn die NSA meine Passwörter haben will, hat sie sie. Heartbleed ist eines von vielen Mitteln, mit denen sie sie erwerben können. Wenn sie sie zwei Jahre lang hatten, dann wird ein weiterer Monat, bis ich Zeit finde, eine Reihe von Konten mit niedrigem Wert zu ändern, keinen Unterschied machen.]
Die Hauptgefahr beim Verzögern der Passwortänderung besteht darin, dass jemand bereits mein Passwort hat, aber er hat es nicht geschafft, es aus dem GB der Daten zu ziehen, die er mit heartbleed erhalten hat, oder er ist noch nicht dazu gekommen. Daher die Vorliebe für empfindlichere Systeme.
Es ist fraglich, ob dies tatsächlich weniger Arbeit erfordert, aber wenn Sie Javascript wirklich gut beherrschen, könnten Sie sich selbst eine Art Mini-API schreiben, die (einmal auf der richtigen Seite) die richtigen Felder herausgesucht und sie für Sie geändert hat:
https://stackoverflow.com/questions/257255/generic-way-to-fill-out-a-form-in-javascript
Das Ergebnis davon ist, sobald Sie fertig sind, Sie können leicht auf zukünftige Änderungen zugreifen. Der Nachteil ist buchstäblich alles andere daran.
Speziell für LastPass können Sie, da Sie dies erwähnt haben, eine ccv-Datei exportieren und die Websites an eines der Validierungswerkzeuge übergeben, z. B. eines, das LastPass selbst anbietet, um festzustellen, welche Websites überhaupt für die Änderung der Kennwörter bereit sind.
Ich bin mir sicher, dass jeder der Hersteller auch ein Werkzeug zur Automatisierung eines entsprechenden Gegenstands (z. B. eine Ergänzung zu LPs Security Challenge) entwickelt / in Erwägung zieht.
Jeder Passwort-Manager wird eine andere Herausforderung darstellen. Zum Beispiel bietet Dashlane nicht die Möglichkeit, Kennwörter nach Änderungsdatum zu sortieren, obwohl sie über ein Feld verfügt, in dem abgeänderte oder von Ihnen ignorierte Kennwörter abgefragt werden können.
Update (Okt 2015) - LastPass und Dashlane (die beiden, die ich ausprobiert habe) und einige andere Kennwortverwalter verfügen jetzt über eine Prozedur / ein Formular, das das Ändern von Kennwörtern an mehreren hundert Standorten so einfach macht wie das Aktivieren eines Kästchens (wenn Sie der Automatisierung vertrauen; Sie wissen sogar, dass einige Websites bestimmte Sonderzeichen oder Mandatslänge ausschließen / erfordern. Alternativ führen einige Sie über einen Link direkt zur Website-Änderungsseite, schlagen ein neues Passwort vor und zeichnen Ihre Änderung auf.
Wenn Sie möchten, öffnen Sie einen anderen Browser und testen Sie das neue Kennwort sehr schnell, indem Sie für diese Website die Prozeduren "Öffnen und Autologin / Autofill" (1 bis 3) anklicken. Seien Sie sich einfach bewusst, wie und wann die Synchronisierung erfolgt.
Ich dachte, dass dies ein Update verdient hätte, da wir so viele größere Site Cracks und Netzwerk- und Router-Exploits hatten.
Prüfen Sie, ob Sie sich auf einigen Websites mit Google OpenID anmelden können. Dadurch kann die Anzahl der Kennwörter reduziert werden, die Sie ändern / verwalten / verwenden müssen.
Setzen Sie für alle Seiten "Kennwort ändern" ein Lesezeichen und öffnen Sie sie alle in Registerkarten (oder in Stapeln von je 50). Erstellen Sie ein Skript zum Generieren einer Liste zufälliger Kennwörter und kopieren Sie sie mit einem Kopierwerkzeug. Reinigen Sie Ihr System danach. Das Ändern von 50 Kennwörtern mit dieser Methode dauert nicht länger als 10 Minuten, was für eine wöchentliche Wartung eine ziemlich vernünftige Zeit erscheint.
Auf diese Weise ändern Sie alle Ihre Passwörter einmal im Monat und investieren 10 Minuten. eine Woche.
Wenn die Systeme eine Verbindung über Telnet oder SSH oder ähnliches zulassen, können Sie die Kennwortänderungen auf relativ unkomplizierte Weise skripten. Wenn die Kennwortänderungen über eine Webschnittstelle vorgenommen werden müssen, wäre das Schreiben von Werkzeugen zum Umgang mit den Variationen wahrscheinlich mehr Arbeit als es wert wäre, aber ich würde zumindest versuchen, sicherzustellen, dass das neue Kennwort von einem zuverlässigen eingefügt wurde Quelle anstatt zu hoffen, ich könnte es 400 Mal genau neu eingeben.
Federated ID-Systeme vereinfachen dies etwas, indem sie einen einzigen Punkt für die Änderung des Kennworts für mehrere Systeme angeben. Natürlich müssen Sie jedoch entscheiden, ob Sie diesen ID-Hubs vertrauen.
HINWEIS: Das regelmäßige Ändern von Kennwörtern verbessert die Sicherheit NICHT so sehr, wie allgemein angenommen wird. Wenn überhaupt, kann dies dazu ermutigen, minderwertige Passwörter zu wählen, denn die Auswahl eines neuen guten Passworts alle N Monate ist eine Belastung für den Patienten. Dies ist nur hilfreich, wenn Sie der Meinung sind, dass jemand Ihr bestehendes Passwort wahrscheinlich gestohlen hat, und wenn das Passwort herauskommt, was Ihnen wichtig ist oder ein Risiko besteht, dass es zur Rechteerweiterung eingesetzt wird.
Ich habe einen Vorschlag, der sich machbar anhört. Ich probiere es nie selbst aus.
use AHK (key mouse event recorders ) Sie führen eine Reihe von Kennwortänderungen durch und protokollieren die Sitzung mit AHK. Nächstes Mal, wenn Sie das Passwort ändern möchten. Nehmen Sie das AHK-Skript heraus und ändern Sie nur das Kennwort. Sie müssen lediglich das AHK-Skript erneut abspielen.
Ich selbst benutze verschiedene Passes für verschiedene Standorte. Wenn sie nicht alle durchgesickert sind, muss ich sie nicht auf einmal ändern.
LastPass hat Sie gehört und in einem Blogeintrag erklärt, wie dies möglich ist. Und das Fazit lautet: Sie müssen es Site für Site von Hand tun.
Erwähnenswert ist auch, dass Sie sicherstellen sollten, dass die Websites aktualisiert wurden, bevor Sie Ihr Kennwort ändern.