Apa cara yang efisien untuk mengubah 200+ kata sandi akun saya?


87

Saya memiliki banyak akun online, layanan web, dan sebagainya - pribadi maupun bisnis - jadi jelas (?) Saya menggunakan pengelola kata sandi untuk menangani semuanya. Secara khusus saya menggunakan Lastpass tetapi pertanyaan saya berlaku untuk semua dan semua:

Mengingat masalah Heartbleed dan pertanyaan terkait , bahkan jika saya ingin mengubah semua kata sandi saya (dan bukankah kita semua harus melakukan itu secara berkala ??), bagaimana bisa saya mengubah begitu banyak kata sandi secara efisien?

Jika saya harus mengunjungi setiap layanan dan situs secara individual dan mengganti PW secara manual, jelas bahwa itu akan membutuhkan akhir pekan kerja yang berdedikasi ... keamanan kata sandi baik dan semua tapi itu tidak praktis.

Pembaruan: Saya baru saja menggunakan "tantangan keamanan" Lastpass yang melaporkan bahwa saya memiliki 274 situs dan skor keamanan lebih dari 83%. Beberapa situs intranet di tempat kerja menggunakan kembali pw yang sama yang secara signifikan menurunkan skor saya. Semua akun Internet saya mendapat skor di atas 92%.


6
Silakan baca literatur yang bagus ini sebelum mengubah semua kata sandi Anda: security.stackexchange.com/questions/55283/…
MonkeyZeus

4
Saya senang Anda menikmati humor saya :) tetapi dalam semua keseriusan tidak ada jalan keluar yang mudah. Dan saya pikir Anda mungkin telah melewatkan titik utama tautan saya yang merupakan bagian ini: Mengubah kata sandi di situs yang rentan terhadap Heartbleed hanya efektif setelah
MonkeyZeus

Merujuk pertanyaan ini tentang Keamanan Informasi : API untuk mengubah kata sandi?
unor

1
hal yang baik bahwa kita sekarang pindah ke OpenID berbasis OpenON / Yang Anda butuhkan hanyalah mengubah kata sandi untuk penyedia identitas dan sisanya ada di masing-masing situs web. Juga, harap dicatat bahwa mengganti kata sandi untuk situs yang sudah memperbarui pustaka OpenSSL mereka hanya layak dilakukan; mungkin sejumlah 200 situs web yang Anda belum pernah membuat pembaruan pada sistem mereka bahkan di hadapan Heartbleed.
Lie Ryan

2
Selamat menjadi satu-satunya pengguna yang benar-benar menggunakan kata sandi yang berbeda untuk setiap layanan yang berbeda.
JFA

Jawaban:


61

Jujur saja, tidak ada. Tidak, kecuali mereka menawarkan API di mana Anda dapat melakukan manajemen jarak jauh di akun Anda. Pilih dan pilih. Mana yang merupakan prioritas tertinggi. Bank misalnya Anda harus berubah. Forum dan situs media lainnya dapat diberi peringkat lebih rendah dan diubah berdasarkan kebutuhan.

PS: Saya juga berpikir orang meniup jalan yang tidak masuk akal ini secara tidak proporsional.


1
Komentar telah dibersihkan. Pengguna Super bukan forum diskusi — komentar harus digunakan untuk meminta klarifikasi (yang nantinya harus dijawab dalam jawaban) atau menunjukkan masalah dalam sebuah pos. Jika Anda ingin berbicara tentang Heartbleed, Obrolan Pengguna Super akan menjadi tempat terbaik. Terima kasih.
slhck

^ @slhck Saya sarankan mereka mendiskusikannya di ruangan khusus untuk Keamanan IT atau sejenisnya, untuk menghindari kewalahan di kamar biasa. Bisakah Anda memposting tautan ke kamar yang sesuai?
smci

@smci Saya percaya bahwa ruang utama kami sebenarnya sangat cocok untuk diskusi semacam itu. Kami biasanya tidak menegakkan topik apa pun. Keamanan Informasi juga memiliki ruang obrolan.
slhck

12

Saya ingin tahu jawaban seperti apa yang Anda harapkan ... Sepotong perangkat lunak yang membuat perubahan kata sandi melalui berbagai protokol, situs, prosedur, dll.? Saya akan menggigit lidah saya pada pendapat saya tentang biaya / manfaat dari benar-benar mengubah semua kata sandi itu, mengingat salah satu dari mereka dapat dipecahkan dalam kerangka waktu yang masuk akal, terlepas dari apakah mereka dikompromikan. Sebagai gantinya, saya akan merekomendasikan Anda mengumpulkan informasi kontak untuk masing-masing situs dan layanan ini. Kemudian kirim email ke mereka semua yang meminta pengaturan ulang kata sandi Anda atau untuk membuat kembali kata sandi baru pada login berikutnya. Saya tidak melihat pintasan lain di sini.


8
Banyak situs web yang kemungkinan akan mengirim balasan dengan menyatakan "Jika Anda ingin mengatur ulang kata sandi, klik tautan berikut: tautan setel ulang kata sandi ".
Nzall

11

Karena pertanyaan Anda mungkin tidak memberikan jawaban yang mudah, saya akan mengusulkan agar Anda mengubah kata sandi situs web berdasarkan seberapa rentan mereka membuat Anda (kehilangan uang, kehilangan privasi, kehilangan reputasi, dll.)


7

Saya mungkin akan:

  • tinjau daftar untuk situs yang menyimpan informasi yang sangat sensitif
  • ubah segera setelah tampaknya jelas situs siap untuk itu
  • ubah sisanya saat saya menggunakan situs atau jika situs meminta / memaksa perubahan.

Ini berarti beberapa dari mereka tidak akan pernah berubah, karena saya tidak akan pernah menggunakan situs lagi, dan itulah sumber keuntungan efisiensi daripada melakukan semuanya sekarang. Bahkan hal ini pada akhirnya dapat memicu pembersihan akun yang tidak berguna. Dalam konteks melakukan itu, mengubah kata sandi bukanlah operasi besar.

Saya pikir (walaupun saya tidak yakin) bahwa jika saya sangat jarang menggunakan situs, maka kemungkinan kata sandi saya relatif kecil di situs tersebut karena dikompromikan karena patah hati. Karenanya preferensi untuk situs yang saya gunakan sebenarnya.

Bahaya utama dari dugaan itu adalah salah jika ternyata heartbleed telah aktif dieksploitasi untuk waktu yang lama. Kemudian ada banyak peluang bagi massa kata sandi untuk dikompromikan baik secara langsung melalui heartbleed, atau dengan menggunakan kunci pribadi atau kredensial admin dari heartbleed.

[Sunting: itu mulai terlihat seperti mungkin patah hati telah dieksploitasi oleh NSA selama kira-kira sudah ada. Harus menunggu informasi lebih lanjut tentang itu, tetapi dalam hal apa pun saya tidak khawatir dengan NSA yang memiliki kata sandi saya seperti yang Anda harapkan. Jika NSA menginginkan kata sandi saya maka kata sandi itu, hati adalah salah satu dari banyak cara yang dengannya mereka dapat memperolehnya. Jika mereka memilikinya selama dua tahun maka sebulan lagi sampai saya menemukan waktu untuk mengubah banyak akun bernilai rendah tidak akan membuat perbedaan.]

Bahaya utama menunda perubahan kata sandi adalah bahwa seseorang mungkin sudah memiliki kata sandi saya, tetapi entah belum sempat mengeluarkannya dari GB data yang mereka peroleh dengan menggunakan heartbleed, atau belum sempat menggunakannya. Karenanya preferensi untuk sistem yang lebih sensitif.


6

Ini dipertanyakan apakah ini benar-benar akan memakan waktu lebih sedikit , tetapi jika Anda benar-benar terbiasa dengan Javascript, Anda dapat menulis sendiri semacam mini-API yang (sekali pada halaman yang benar) mencari bidang yang benar dan mengubahnya untuk Anda:

https://stackoverflow.com/questions/257255/generic-way-to-fill-out-a-form-in-javascript

Hasilnya adalah setelah selesai, Anda akan memiliki mudah untuk perubahan di masa depan. Kelemahannya adalah segalanya tentang hal itu.


Dan setiap saat salah satu dari situs tersebut membuat perubahan apa pun pada halaman yang dimaksud skrip Anda kemungkinan akan rusak ... :-(
Michael

@Michael, belum tentu. Skrip seperti SuperGenPass melakukan hal itu dan keduanya sangat generik dan sangat sukses. Ini sebenarnya akan menjadi alat pendamping yang berguna setelah saya mulai mengubah kata sandi situs. Ini akan menjadi cara yang sederhana untuk memiliki kata sandi yang panjang dan unik. Natch, sebagian besar pengelola kata sandi memiliki sesuatu seperti ini tetapi tidak semudah satu klik.
Torben Gundtofte-Bruun

1
Kelemahan tampaknya cukup curam ketika Anda melakukannya ...
Raystafarian

@ TorbenGundtofte-Bruun SuperGenPass tampaknya menggunakan teknik yang saya lakukan secara manual bertahun-tahun yang lalu sebelum saya memiliki gantungan kunci: Saya akan mengambil nama situs web dan menjalankan transformasi rahasia di kepala saya untuk membuat kata sandi. Ini tiba-tiba menggigit saya ketika sebuah situs tempat saya membeli barang dibeli oleh situs lain (dengan demikian mengubah namanya).
Michael

@Michael Saya melakukan hal yang sama, saya berhenti karena saya akan mengalami stroke miniatur setiap kali saya harus mengatur ulang kata sandi saya dan memilih yang baru. Ngomong-ngomong, untuk menjawab apa yang Anda katakan sebelumnya: ya, sisi bawahnya yang curam, dan tidak, saya tidak akan pernah memilih ini; Saya merasa pantas meninggalkan tempat ini sebagai solusi alternatif untuk setiap pengguna super yang berani yang menemukan pertanyaan itu.
Sandy Gifford

4

Periksa apakah Anda dapat masuk dengan Google OpenID di beberapa situs. Itu bisa mengurangi jumlah kata sandi yang perlu Anda ubah / kelola / gunakan.

Tandai semua halaman 'Ubah kata sandi' dan buka semuanya di tab bersama-sama (atau mungkin dalam jumlah 50). Buat skrip untuk membuat daftar kata sandi acak dan salin dan tempel dengan alat salin dan tempel. Bersihkan sistem Anda setelah melakukan ini. Mengubah 50 kata sandi dengan metode ini tidak akan membawa Anda lebih dari 10 menit, yang tampaknya merupakan waktu yang cukup masuk akal untuk pemeliharaan mingguan.

Dengan melakukan ini, Anda akan mengubah semua kata sandi sebulan sekali, investasi 10 menit. seminggu.


1
12 detik per situs terdengar optimis bagi saya bahkan membuka setiap halaman perubahan kata sandi di tab. Namun prinsipnya kelihatannya benar, ini mungkin cara paling efisien untuk mengunjungi semua situs dan mengubah kata sandi.
Steve Jessop

4

Khusus untuk LastPass karena Anda menyebutkannya, Anda dapat mengekspor file ccv dan mengirimkan situs ke salah satu alat validasi seperti yang LastPass tawarkan untuk menentukan situs mana yang bahkan siap untuk kata sandi diubah.

Saya yakin setiap vendor juga sibuk membuat / mempertimbangkan alat untuk mengotomatisasi sesuatu yang setara (misalnya, suplemen untuk Tantangan Keamanan LP).

Setiap pengelola kata sandi akan menghadirkan tantangan yang berbeda. Misalnya Dashlane tidak menyertakan kemampuan untuk mengurutkan kata sandi berdasarkan tanggal yang diubah, meskipun memang memiliki bidang, Anda dapat bertujuan ulang untuk memeriksa kata sandi yang telah diubah atau yang akan Anda abaikan.

Pembaruan (Okt 2015) - LastPass dan Dashlane (keduanya telah saya coba) dan beberapa manajer kata sandi lainnya sekarang memiliki prosedur / formulir yang dapat membuat perubahan kata sandi di beberapa ratus situs semudah memeriksa kotak (jika Anda memercayai otomatisasi; mereka bahkan tahu bahwa beberapa situs mengecualikan / memerlukan karakter khusus atau panjang mandat tertentu). Atau, beberapa membawa Anda langsung ke halaman perubahan situs melalui tautan, menyarankan kata sandi baru, dan merekam perubahan Anda.

Jika Anda suka, buka peramban lain dan uji dengan cepat kata sandi baru dengan menggunakan prosedur klik 1 hingga 3 buka-dan-autologin / isi-otomatis untuk situs web itu. Berhati-hatilah dengan bagaimana dan kapan sinkronisasi terjadi.

Saya pikir ini pantas mendapat pembaruan karena kami telah memiliki begitu banyak celah situs dan eksploitasi jaringan dan router.


1

Jika sistem memungkinkan Anda terhubung melalui telnet atau ssh atau yang serupa, Anda dapat membuat skrip perubahan kata sandi dengan cara yang relatif mudah. Jika perubahan kata sandi harus dilakukan melalui antarmuka web, alat penulisan untuk menangani variasi mungkin akan lebih berhasil daripada yang seharusnya, tetapi setidaknya saya akan mencoba memastikan kata sandi baru disisipkan dari yang andal sumber daripada berharap saya bisa mengetik ulang secara akurat 400 kali.

Sistem ID federasi menyederhanakan ini dengan memberikan satu titik untuk mengubah kata sandi untuk beberapa sistem ... tetapi tentu saja Anda harus memutuskan apakah Anda mempercayai hub ID tersebut.

CATATAN: Mengubah kata sandi secara teratur TIDAK meningkatkan keamanan seperti yang diyakini secara umum. Jika ada, itu mungkin mendorong orang untuk memilih kata sandi yang lebih rendah, karena memilih kata sandi baru yang baik setiap N bulan adalah rasa sakit pada patootie. Ini hanya membantu jika Anda yakin seseorang kemungkinan besar telah mencuri kata sandi Anda yang sudah ada dan jika kata sandi itu keluar mengungkapkan sesuatu yang Anda pedulikan atau memiliki risiko dimanfaatkan untuk penguatan hak.


1

Saya punya proposal yang terdengar masuk akal. Saya tidak pernah mencoba sendiri.

use AHK (key mouse event recorders ) Anda melakukan banyak perubahan kata sandi, dan mencatat sesi menggunakan AHK. lain kali Anda ingin mengubah kata sandi. keluarkan skrip AHK dan ubah kata sandi saja. Anda hanya perlu memutar skrip AHK lagi.

Saya sendiri menggunakan pass yang berbeda untuk situs yang berbeda, kecuali semuanya bocor, saya tidak perlu mengubahnya sekaligus.


1

LastPass telah mendengar Anda dan memposting entri blog yang menjelaskan bagaimana hal ini dapat dilakukan. Dan intinya adalah: Anda harus melakukannya dengan tangan situs demi situs.

Yang juga perlu diperhatikan adalah Anda harus memastikan situs telah ditingkatkan sebelum mengubah kata sandi Anda.


0

Anda dapat mencoba menggunakan utilitas Dashlane yang mencakup fitur Password Changer (gratis) yang dapat mengubah puluhan kata sandi dalam satu klik.

Itu sangat berat untuk mengganti kata sandi lama dengan kata sandi baru yang kuat, dan mengamankannya di Dashlane tempat mereka diingat dan diketik untuk Anda.


Seperti halnya banyak pengelola kata sandi lainnya 3 atau 5 tahun setelah posting asli pada tahun 2014, termasuk LastPass yang disebutkan dalam posting asli.
BillR

-2

Buat Turk Mekanik Amazon.
Buat daftar situs web Anda, nama pengguna, dan kata sandi saat ini. Setiap HIT akan memberikan satu atau lebih dari ini. Berikan aturan untuk apa kata sandi baru harus terdiri. Membayar $ 0,01 per kata sandi. Pengguna harus mengubah kata sandi untuk Anda, dan melaporkan kembali kata sandi baru. Ini seharusnya mengubah kata sandi Anda dengan cukup cepat. https://requester.mturk.com/


21
Apakah Anda benar-benar yakin untuk mempercayai orang asing yang bekerja di MTurk untuk mengubah kata sandi Anda?

8
Saya hanya bisa menafsirkan ini sebagai lelucon, yang seharusnya masuk dalam sesi komentar dalam kasus terburuk.
Quora Feans

1
LOL, mengapa tidak melewati perantara dan kirimkan DB manajer PW Anda langsung ke kerumunan Rusia (atau grup lain yang memiliki reputasi sama). Setara dengan saran yang akan Anda harapkan dari seorang pria yang mengenakan jumpsuit DOC.
krowe
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.