Wie kann ich meine Passwörter für über 200 Konten effizient ändern?

16859
Torben Gundtofte-Bruun

Ich habe viele Online-Konten, Webservices usw. - sowohl privat als auch geschäftlich. Daher nutze ich (?) Offensichtlich einen Passwort-Manager, um alle zu verwalten. Speziell verwende ich Lastpass, aber meine Frage gilt für alle:

Angesichts des Heartbleed-Problems und der zugehörigen Fragen, selbst wenn ich alle meine Passwörter ändern wollte (und sollten wir das nicht alle in regelmäßigen Abständen tun?), Wie kann ich so viele Passwörter auf effiziente Weise ändern ?

Wenn ich jeden Dienst und jede Site einzeln besuchen und den PW manuell ändern muss, ist es klar, dass ein Wochenende mit engagierter Arbeit erforderlich ist. Die Passwortsicherheit ist gut und alles ist aber nicht praktikabel.

Update: Ich habe gerade die "Sicherheitsherausforderung" von Lastpass verwendet, die angibt, dass ich 274 Websites und einen Sicherheitsfaktor von über 83% habe. Mehrere Intranetseiten bei der Arbeit verwenden dieselbe Pw, was meine Punktzahl erheblich senkt. Alle meine Internetkonten erreichen über 92%.

85
Bitte lesen Sie diese feine Literatur, bevor Sie alle Ihre Passwörter ändern: http://security.stackexchange.com/questions/55283/should-i-change-all-my-passwords-due-to-heartbleed MonkeyZeus vor 10 Jahren 6
Ich bin froh, dass du meinen Humor genossen hast :), aber in aller Ernsthaftigkeit gibt es keinen einfachen Ausweg. Ich denke, Sie haben vielleicht den Hauptpunkt meines Links, der in diesem Abschnitt enthalten ist, übersehen: ** [Das Ändern von Passwörtern auf einer Site, die für Heartbleed anfällig ist / war, ist nur wirksam nach] (http://security.stackexchange.com/a / 55285) ** MonkeyZeus vor 10 Jahren 4
Verweis auf diese Frage in [security.se]: [API zum Ändern von Kennwörtern?] (Http://security.stackexchange.com/q/55563/12139) unor vor 10 Jahren 0
Gut, dass wir jetzt zur OpenID / OpenAuth-basierten Anmeldung übergehen. Sie müssen lediglich das Kennwort für den Identitätsanbieter ändern. Der Rest befindet sich auf den einzelnen Websites. Beachten Sie auch, dass es sich nur lohnt, das Kennwort für Websites zu ändern, die ihre OpenSSL-Bibliothek bereits aktualisiert haben. Wahrscheinlich eine gute Anzahl dieser 200 Websites, die Sie noch nie in Bezug auf Heartbleed aktualisiert haben. Lie Ryan vor 10 Jahren 1
Es wird wahrscheinlich ein Wochenende mit engagierter Arbeit dauern. Sam vor 10 Jahren 0
Herzlichen Glückwunsch, dass Sie der einzige Benutzer sind, der tatsächlich unterschiedliche Kennwörter für die verschiedenen Dienste verwendet. JFA vor 10 Jahren 2
@JFA hah, danke! :-) Es ist, als würde ich von einem Bären gejagt, denke ich: Ich muss den Bären nicht überholen, es reicht, wenn ich meinen Kumpel überrenne! Torben Gundtofte-Bruun vor 10 Jahren 0
Dashlane kann dies offenbar als Dienstleistung tun. CMCDragonkai vor 9 Jahren 0

12 Antworten auf die Frage

61
Jason

Ehrlich gesagt gibt es keine. Es sei denn, sie bieten eine API an, über die Sie Ihre Konten remote verwalten können. Wähle und wähle. Welche haben die höchste Priorität. Bank zum Beispiel sollten Sie ändern. Foren und andere Medienseiten können niedriger eingestuft und je nach Bedarf geändert werden.

PS: Ich denke auch, dass die Leute diesen Herzschlag aus unverhältnismäßigen Verhältnissen wehen.

Kommentare wurden gelöscht. Super User ist kein Diskussionsforum - Kommentare sollten verwendet werden, um zur Klärung aufzufordern (was später in der Antwort angesprochen werden sollte) oder auf Probleme in einem Beitrag hinzuweisen. Wenn Sie über Heartbleed sprechen möchten, wäre [Chat] der beste Ort. Vielen Dank. slhck vor 10 Jahren 1
^ @slhck Ich schlage vor, dass sie darüber in einem speziellen Raum für IT-Sicherheit oder ähnliches diskutieren, um zu vermeiden, dass der normale Raum überlastet wird. Können Sie einen Link zu einem geeigneten Raum posten? smci vor 10 Jahren 0
Ich glaube, dass unser Hauptsaal für diese Art von Diskussion tatsächlich gut geeignet ist. Wir erzwingen normalerweise keine Themen. [security.SE] hat auch einen Chatraum. slhck vor 10 Jahren 0
12
Wutnaut

Ich bin gespannt, welche Art von Antwort Sie erwarten ... Eine Software, die Kennwortänderungen über verschiedene Protokolle, Standorte, Prozeduren usw. anlegt? Ich beiße meine Zunge bei meiner Meinung zu den Kosten / Nutzen der tatsächlichen Änderung all dieser Kennwörter, wenn man bedenkt, dass eines von ihnen in einem vernünftigen Zeitrahmen geknackt werden könnte, unabhängig davon, ob sie kompromittiert sind. Stattdessen empfehle ich Ihnen, Kontaktinformationen für jede dieser Websites und Dienste zu sammeln. Senden Sie dann eine E-Mail an alle, die Ihr Passwort zurücksetzen möchten, oder legen Sie beim nächsten Login ein neues Passwort fest. Ich sehe hier keine anderen Verknüpfungen.

Viele Websites senden wahrscheinlich eine Antwort zurück, in der Sie darauf hingewiesen werden: "Wenn Sie Ihr Passwort zurücksetzen möchten, klicken Sie auf den folgenden Link: * Link zum Zurücksetzen des Passworts *". Nzall vor 10 Jahren 8
11
Benjamin Wade

Da sich Ihre Frage wahrscheinlich nicht für eine einfache Antwort eignet, würde ich vorschlagen, dass Sie die Kennwörter von Websites ändern, je nachdem, wie verwundbar sie sind (Verlust von Geld, Verlust der Privatsphäre, Verlust des Rufs usw.).

7
Steve Jessop

Ich werde wahrscheinlich:

  • Überprüfen Sie die Liste auf Websites, auf denen wirklich vertrauliche Informationen gespeichert sind
  • Ändern Sie diese, sobald es klar scheint, dass die Site dafür bereit ist
  • Ändern Sie den Rest bei der nächsten Verwendung der Site oder wenn die Site eine Änderung anfordert / erzwingt.

Dies bedeutet, dass einige davon nie geändert werden, da ich die Website nie wieder verwenden werde. Dies ist die Quelle der Effizienzsteigerung, wenn ich sie jetzt alle mache. In der Tat könnte dies letztendlich zu einer Aufklärung sinnloser Konten führen. In diesem Zusammenhang ist das Ändern von Passwörtern keine so große Operation.

Ich denke (obwohl ich nicht sicher bin), dass, wenn ich eine Website sehr selten benutze, die Wahrscheinlichkeit sehr gering ist, dass mein Passwort auf dieser Website durch Heartbleed gefährdet wird. Daher die Präferenz für Websites, die ich tatsächlich verwende.

Die Hauptgefahr, dass diese Vermutung falsch ist, ist, wenn sich herausstellt, dass Heartbleed seit langem aktiv ausgenutzt wird. Dann gibt es viele Möglichkeiten, dass eine Vielzahl von Passwörtern entweder direkt über heartbleed oder durch die Verwendung privater Schlüssel oder Administratoranmeldeinformationen von heartbleed gefährdet wurde.

[Edit: Es sieht so aus, als ob Heartbleed von der NSA ungefähr so ​​lange ausgenutzt wurde, wie es existiert. Ich werde auf weitere Informationen warten müssen, aber auf jeden Fall bin ich nicht so besorgt darüber, dass die NSA meine Passwörter hat, wie Sie vielleicht erwarten. Wenn die NSA meine Passwörter haben will, hat sie sie. Heartbleed ist eines von vielen Mitteln, mit denen sie sie erwerben können. Wenn sie sie zwei Jahre lang hatten, dann wird ein weiterer Monat, bis ich Zeit finde, eine Reihe von Konten mit niedrigem Wert zu ändern, keinen Unterschied machen.]

Die Hauptgefahr beim Verzögern der Passwortänderung besteht darin, dass jemand bereits mein Passwort hat, aber er hat es nicht geschafft, es aus dem GB der Daten zu ziehen, die er mit heartbleed erhalten hat, oder er ist noch nicht dazu gekommen. Daher die Vorliebe für empfindlichere Systeme.

6
Sandy Gifford

Es ist fraglich, ob dies tatsächlich weniger Arbeit erfordert, aber wenn Sie Javascript wirklich gut beherrschen, könnten Sie sich selbst eine Art Mini-API schreiben, die (einmal auf der richtigen Seite) die richtigen Felder herausgesucht und sie für Sie geändert hat:

https://stackoverflow.com/questions/257255/generic-way-to-fill-out-a-form-in-javascript

Das Ergebnis davon ist, sobald Sie fertig sind, Sie können leicht auf zukünftige Änderungen zugreifen. Der Nachteil ist buchstäblich alles andere daran.

Jedes Mal, wenn eine dieser Websites Änderungen an der betreffenden Seite vornimmt, wird Ihr Skript wahrscheinlich kaputt gehen ... :-( Michael vor 10 Jahren 0
@Michael, nicht unbedingt. Skripte wie SuperGenPass tun genau das und sind sowohl generisch als auch sehr erfolgreich. Es wäre tatsächlich ein nützliches _companion-tool_, sobald ich mit dem Ändern von Site-Passwörtern begonnen habe. Lange und eindeutige Passwörter sind keine einfache Möglichkeit. Natch, die meisten Passwort-Manager haben so etwas, aber nicht mit einem Klick. Torben Gundtofte-Bruun vor 10 Jahren 0
Der Nachteil scheint ziemlich steil zu sein, wenn man es so formuliert ... Raystafarian vor 10 Jahren 1
@ TorbenGundtofte-Bruun SuperGenPass scheint eine Technik zu verwenden, die ich vor Jahren manuell gemacht hatte, bevor ich einen Schlüsselbund hatte: Ich würde den Namen der Website verwenden und eine geheime Transformation in meinem Kopf ausführen, um mein Passwort zu erstellen. Das hat mich abrupt gebissen, als eine Site, die ich gekauft habe, von einer anderen Site gekauft wurde (wodurch der Name geändert wurde). Michael vor 10 Jahren 0
@Michael Ich habe dasselbe getan, ich habe aufgehört, weil ich jedes Mal einen Miniaturanschlag hätte, wenn ich mein Passwort zurücksetzen und ein neues auswählen müsste. Wie auch immer, um das anzusprechen, was Sie vorhin gesagt haben: Ja, sehr steile Nachteile, und nein, ich würde niemals die gewählte Antwort haben. Ich war der Meinung, dass es sich lohnt, als alternative Lösung für jeden der mutigeren Superbenutzer zu gehen, der sich der Frage gestellt hat. Sandy Gifford vor 10 Jahren 0
4
BillR

Speziell für LastPass können Sie, da Sie dies erwähnt haben, eine ccv-Datei exportieren und die Websites an eines der Validierungswerkzeuge übergeben, z. B. eines, das LastPass selbst anbietet, um festzustellen, welche Websites überhaupt für die Änderung der Kennwörter bereit sind.

Ich bin mir sicher, dass jeder der Hersteller auch ein Werkzeug zur Automatisierung eines entsprechenden Gegenstands (z. B. eine Ergänzung zu LPs Security Challenge) entwickelt / in Erwägung zieht.

Jeder Passwort-Manager wird eine andere Herausforderung darstellen. Zum Beispiel bietet Dashlane nicht die Möglichkeit, Kennwörter nach Änderungsdatum zu sortieren, obwohl sie über ein Feld verfügt, in dem abgeänderte oder von Ihnen ignorierte Kennwörter abgefragt werden können.

Update (Okt 2015) - LastPass und Dashlane (die beiden, die ich ausprobiert habe) und einige andere Kennwortverwalter verfügen jetzt über eine Prozedur / ein Formular, das das Ändern von Kennwörtern an mehreren hundert Standorten so einfach macht wie das Aktivieren eines Kästchens (wenn Sie der Automatisierung vertrauen; Sie wissen sogar, dass einige Websites bestimmte Sonderzeichen oder Mandatslänge ausschließen / erfordern. Alternativ führen einige Sie über einen Link direkt zur Website-Änderungsseite, schlagen ein neues Passwort vor und zeichnen Ihre Änderung auf.

Wenn Sie möchten, öffnen Sie einen anderen Browser und testen Sie das neue Kennwort sehr schnell, indem Sie für diese Website die Prozeduren "Öffnen und Autologin / Autofill" (1 bis 3) anklicken. Seien Sie sich einfach bewusst, wie und wann die Synchronisierung erfolgt.

Ich dachte, dass dies ein Update verdient hätte, da wir so viele größere Site Cracks und Netzwerk- und Router-Exploits hatten.

4
Quora Feans

Prüfen Sie, ob Sie sich auf einigen Websites mit Google OpenID anmelden können. Dadurch kann die Anzahl der Kennwörter reduziert werden, die Sie ändern / verwalten / verwenden müssen.

Setzen Sie für alle Seiten "Kennwort ändern" ein Lesezeichen und öffnen Sie sie alle in Registerkarten (oder in Stapeln von je 50). Erstellen Sie ein Skript zum Generieren einer Liste zufälliger Kennwörter und kopieren Sie sie mit einem Kopierwerkzeug. Reinigen Sie Ihr System danach. Das Ändern von 50 Kennwörtern mit dieser Methode dauert nicht länger als 10 Minuten, was für eine wöchentliche Wartung eine ziemlich vernünftige Zeit erscheint.

Auf diese Weise ändern Sie alle Ihre Passwörter einmal im Monat und investieren 10 Minuten. eine Woche.

12 Sekunden pro Site klingt für mich optimistisch, auch wenn ich jede Seite zum Ändern von Passwörtern in Registerkarten öffne. Das Prinzip scheint jedoch richtig zu sein. Dies ist wahrscheinlich der effizienteste Weg, alle Websites zu besuchen und die Passwörter zu ändern. Steve Jessop vor 10 Jahren 1
1
keshlam

Wenn die Systeme eine Verbindung über Telnet oder SSH oder ähnliches zulassen, können Sie die Kennwortänderungen auf relativ unkomplizierte Weise skripten. Wenn die Kennwortänderungen über eine Webschnittstelle vorgenommen werden müssen, wäre das Schreiben von Werkzeugen zum Umgang mit den Variationen wahrscheinlich mehr Arbeit als es wert wäre, aber ich würde zumindest versuchen, sicherzustellen, dass das neue Kennwort von einem zuverlässigen eingefügt wurde Quelle anstatt zu hoffen, ich könnte es 400 Mal genau neu eingeben.

Federated ID-Systeme vereinfachen dies etwas, indem sie einen einzigen Punkt für die Änderung des Kennworts für mehrere Systeme angeben. Natürlich müssen Sie jedoch entscheiden, ob Sie diesen ID-Hubs vertrauen.

HINWEIS: Das regelmäßige Ändern von Kennwörtern verbessert die Sicherheit NICHT so sehr, wie allgemein angenommen wird. Wenn überhaupt, kann dies dazu ermutigen, minderwertige Passwörter zu wählen, denn die Auswahl eines neuen guten Passworts alle N Monate ist eine Belastung für den Patienten. Dies ist nur hilfreich, wenn Sie der Meinung sind, dass jemand Ihr bestehendes Passwort wahrscheinlich gestohlen hat, und wenn das Passwort herauskommt, was Ihnen wichtig ist oder ein Risiko besteht, dass es zur Rechteerweiterung eingesetzt wird.

1
zinking

Ich habe einen Vorschlag, der sich machbar anhört. Ich probiere es nie selbst aus.

use AHK (key mouse event recorders ) Sie führen eine Reihe von Kennwortänderungen durch und protokollieren die Sitzung mit AHK. Nächstes Mal, wenn Sie das Passwort ändern möchten. Nehmen Sie das AHK-Skript heraus und ändern Sie nur das Kennwort. Sie müssen lediglich das AHK-Skript erneut abspielen.

Ich selbst benutze verschiedene Passes für verschiedene Standorte. Wenn sie nicht alle durchgesickert sind, muss ich sie nicht auf einmal ändern.

1
assylias

LastPass hat Sie gehört und in einem Blogeintrag erklärt, wie dies möglich ist. Und das Fazit lautet: Sie müssen es Site für Site von Hand tun.

Erwähnenswert ist auch, dass Sie sicherstellen sollten, dass die Websites aktualisiert wurden, bevor Sie Ihr Kennwort ändern.