Was ist eine effiziente Möglichkeit, meine über 200 Kontokennwörter zu ändern?

87

Ich habe viele Online-Konten, Webservices und so weiter - sowohl persönliche als auch geschäftliche - und benutze daher offensichtlich einen Passwort-Manager, um sie alle zu verwalten. Speziell verwende ich Lastpass, aber meine Frage gilt für alle:

In Anbetracht des Heartbleed-Problems und der damit verbundenen Fragen , auch wenn ich alle meine Passwörter ändern wollte (und sollten wir das nicht alle in regelmäßigen Abständen tun?), Wie in aller Welt kann ich so viele Passwörter auf effiziente Weise ändern ?

Wenn ich jeden Dienst und jede Site einzeln besuchen und die PW manuell ändern muss, ist es klar, dass es ein Wochenende mit dedizierter Arbeit dauern wird. Die Passwortsicherheit ist gut und alles, aber das ist einfach nicht praktisch.

Update: Ich habe gerade die "Sicherheitsherausforderung" von Lastpass verwendet, die besagt, dass ich 274 Websites und einen Sicherheitsfaktor von über 83% habe. Mehrere Intranetsites bei der Arbeit verwenden dasselbe Kennwort erneut, was meine Punktzahl erheblich senkt. Alle meine Internetkonten liegen über 92%.

passwords password-management lastpass heartbleed Torben Gundtofte-Bruun
quelle
6
Bitte lesen Sie diese gute Literatur, bevor Sie alle Ihre Passwörter ändern: security.stackexchange.com/questions/55283/…
MonkeyZeus
4
Ich bin froh, dass du meinen Humor genossen hast :), aber im Ernst, es gibt keinen einfachen Ausweg. Und ich denke, Sie haben möglicherweise den Hauptpunkt meines Links verpasst, nämlich diesen Abschnitt: Das Ändern von Passwörtern auf einer Site, die für Heartbleed anfällig ist / war, ist erst nach
MonkeyZeus
Verweis auf diese Frage zu Informationssicherheit : API zum Ändern von Kennwörtern?
oder
1
Gut, dass wir jetzt zu OpenID / OpenAuth-basierter Anmeldung übergehen. Sie müssen lediglich das Kennwort für den Identitätsanbieter ändern und der Rest befindet sich auf den einzelnen Websites. Beachten Sie außerdem, dass es sich nur lohnt, das Kennwort für Sites zu ändern, deren OpenSSL-Bibliothek bereits aktualisiert wurde. Wahrscheinlich eine gute Anzahl dieser 200 Websites, die Sie noch nie auf ihrem System aktualisiert haben, selbst angesichts von Heartbleed.
Lie Ryan
2
Herzlichen Glückwunsch, dass Sie derjenige Benutzer sind, der für jeden Dienst unterschiedliche Passwörter verwendet.
JFA

Antworten:

61

Ehrlich gesagt gibt es keine. Es sei denn, sie bieten eine API, über die Sie Ihre Konten remote verwalten können. Wählen Sie aus. Welche sind die höchste Priorität. Bank zum Beispiel sollten Sie ändern. Foren und andere Medienseiten könnten niedriger eingestuft und je nach Bedarf geändert werden.

PS: Ich denke auch, dass die Menschen dieses Herzblut überproportional sprengen.

Jason
quelle
1
Kommentare wurden gelöscht. Super User ist kein Diskussionsforum - Kommentare sollten verwendet werden, um Klarheit zu schaffen (auf die später in der Antwort eingegangen werden sollte) oder um in einem Beitrag auf Probleme hinzuweisen. Wenn Sie über Heartbleed sprechen möchten, ist Super User Chat der beste Ort. Vielen Dank.
Slhck
^ @slhck Ich schlage vor, sie diskutieren in einem speziellen Raum für IT-Sicherheit oder ähnlichem, um zu vermeiden, dass der reguläre Raum überlastet wird. Kannst du einen Link zu einem passenden Raum posten?
smci
@smci Ich glaube, unser Hauptraum ist eigentlich gut für diese Art von Diskussion geeignet. Wir erzwingen normalerweise keine Themen. Informationssicherheit haben auch einen Chatraum.
Slhck
12

Ich bin gespannt, welche Art von Antwort Sie erwarten ... Eine Software, die Passwortänderungen über verschiedene Protokolle, Sites, Prozeduren usw. kaskadiert? Ich werde meine Zunge beißen über meine Meinung zu den Kosten / Nutzen der tatsächlichen Änderung all dieser Passwörter, wenn man bedenkt, dass eines davon in einem angemessenen Zeitrahmen geknackt werden könnte, unabhängig davon, ob es kompromittiert wurde. Stattdessen empfehle ich Ihnen, Kontaktinformationen für jede dieser Websites und Dienste zu sammeln. Senden Sie anschließend eine E-Mail an alle Benutzer, in der Sie aufgefordert werden, Ihr Kennwort zurückzusetzen oder beim nächsten Anmelden ein neues Kennwort einzurichten. Ich sehe hier keine anderen Verknüpfungen.

Wutnaut
quelle
8
Viele Websites werden wahrscheinlich eine Antwort zurückschicken, die besagt: "Wenn Sie Ihr Passwort zurücksetzen möchten, klicken Sie bitte auf den folgenden Link: Link zum Zurücksetzen des Passworts ".
Nzall
11

Da sich Ihre Frage wahrscheinlich nicht für eine einfache Antwort eignet, würde ich vorschlagen, dass Sie die Kennwörter von Websites ändern, je nachdem, wie anfällig Sie sind (Geldverlust, Verlust der Privatsphäre, Verlust des Ansehens usw.).

Benjamin Wade
quelle
7

Ich werde wahrscheinlich:

  • Überprüfen Sie die Liste auf Websites, auf denen wirklich vertrauliche Informationen gespeichert sind
  • ändere diese, sobald klar ist, dass die Seite dafür bereit ist
  • Ändern Sie den Rest, wenn ich die Site das nächste Mal benutze oder wenn die Site eine Änderung anfordert / erzwingt.

Dies bedeutet, dass einige von ihnen niemals geändert werden, da ich die Site nie wieder verwenden werde, und das ist die Quelle des Effizienzgewinns, wenn man sie jetzt alle macht. Tatsächlich könnte dies letztendlich dazu führen, dass sinnlose Konten geklärt werden. In diesem Zusammenhang ist das Ändern von Passwörtern keine so große Aufgabe.

Ich denke (obwohl ich nicht sicher bin), dass wenn ich eine Site sehr selten benutze, die Wahrscheinlichkeit relativ gering ist, dass mein Passwort auf dieser Site aufgrund von Heartbleed kompromittiert wird. Daher die Präferenz für Sites, die ich tatsächlich benutze.

Die größte Gefahr, dass diese Vermutung falsch ist, ist, wenn sich herausstellt, dass Heartbleed seit langer Zeit aktiv ausgenutzt wird. Dann gibt es viele Möglichkeiten, dass eine Vielzahl von Passwörtern entweder direkt über Heartbleed oder durch die Verwendung von privaten Schlüsseln oder Administratoranmeldeinformationen von Heartbleed kompromittiert wurde.

[Bearbeiten: Es sieht so aus, als ob Heartbleed von der NSA etwa so lange ausgenutzt wurde, wie es existiert hat. Ich werde auf weitere Informationen warten müssen, aber auf jeden Fall bin ich nicht so besorgt, dass die NSA meine Passwörter hat, wie Sie es vielleicht erwarten. Wenn die NSA meine Passwörter haben möchte, hat sie sie. Heartbleed ist eine von nur vielen Möglichkeiten, mit denen sie sie erhalten können. Wenn sie sie seit zwei Jahren haben, wird ein weiterer Monat, bis ich Zeit finde, eine Reihe von Konten mit niedrigem Wert zu ändern, keinen Unterschied machen.]

Die größte Gefahr, die Kennwortänderung zu verzögern, besteht darin, dass jemand bereits über mein Kennwort verfügt, es jedoch entweder nicht aus dem mit heartbleed erhaltenen Datenbestand herausholt oder es noch nicht verwendet. Daher die Präferenz für empfindlichere Systeme.

Steve Jessop
quelle
6

Es ist fraglich, ob dies tatsächlich weniger Arbeit kosten würde , aber wenn Sie überhaupt mit Javascript umgehen können, können Sie sich eine Art Mini-API schreiben, die (einmal auf der richtigen Seite) die richtigen Felder aussucht und sie für Sie ändert:

https://stackoverflow.com/questions/257255/generic-way-to-fill-out-a-form-in-javascript

Das Fazit dazu ist, dass Sie bei zukünftigen Änderungen schnell einen Blick darauf werfen können. Der Nachteil ist buchstäblich alles andere.

Sandy Gifford
quelle
Und jedes Mal, wenn eine dieser Websites Änderungen an der fraglichen Seite vornimmt, wird Ihr Skript wahrscheinlich nicht mehr funktionieren ... :-(
Michael
@ Michael, nicht unbedingt. Skripte wie SuperGenPass machen genau das und sind sowohl sehr allgemein als auch sehr erfolgreich. Es wäre tatsächlich ein nützliches Begleittool, wenn ich die Site-Passwörter ändere. Es wäre ein kinderleichter Weg, lange und eindeutige Passwörter zu haben. Nein, die meisten Passwort-Manager haben so etwas aber nicht mit einem Klick einfach.
Torben Gundtofte-Bruun
1
Der Nachteil scheint ziemlich steil, wenn man es so ausdrückt ...
Raystafarian
@ TorbenGundtofte-Bruun SuperGenPass scheint eine Technik zu verwenden, die ich vor Jahren manuell durchgeführt habe, bevor ich einen Schlüsselbund hatte: Ich würde den Namen der Website verwenden und eine geheime Transformation in meinem Kopf ausführen, um mein Passwort zu erstellen. Dies hat mich abrupt gebissen, als eine Seite, von der ich etwas gekauft habe, von einer anderen Seite gekauft wurde (wodurch sich ihr Name änderte).
Michael
@Michael Ich habe das Gleiche getan. Ich habe aufgehört, weil ich jedes Mal einen kleinen Strich hatte, wenn ich mein Passwort zurücksetzen und ein neues auswählen musste. Wie auch immer, um auf das einzugehen, was Sie zuvor gesagt haben: Ja, sehr steiler Nachteil, und nein, ich würde niemals die gewählte Antwort haben. Ich hatte das Gefühl, dass es sich lohnt, hier als alternative Lösung für einen der mutigeren Superuser zu bleiben, die sich über diese Frage hinweggesetzt haben.
Sandy Gifford
4

Überprüfen Sie, ob Sie sich auf einigen Websites mit Google OpenID anmelden können. Dies könnte die Anzahl der Passwörter reduzieren, die Sie ändern / verwalten / verwenden müssen.

Setzen Sie ein Lesezeichen für alle Seiten zum Ändern des Kennworts und öffnen Sie sie in Registerkarten (oder in Stapeln von 50). Erstellen Sie ein Skript zum Generieren einer Liste zufälliger Kennwörter, und fügen Sie sie mit einem Tool zum Kopieren und Einfügen ein. Reinigen Sie anschließend Ihr System. Das Ändern von 50 Passwörtern mit dieser Methode dauert nicht länger als 10 Minuten. Dies scheint eine vernünftige Zeit für eine wöchentliche Wartung zu sein.

Auf diese Weise ändern Sie alle Ihre Passwörter einmal im Monat und investieren 10 Minuten. eine Woche.

Quora Feans
quelle
1
12 Sekunden pro Site klingen für mich optimistisch, auch wenn ich jede Seite zum Ändern von Passwörtern in Registerkarten öffne. Das Prinzip scheint jedoch richtig zu sein. Dies ist wahrscheinlich die effizienteste Methode, um alle Websites zu besuchen und die Kennwörter zu ändern.
Steve Jessop
4

Speziell für LastPass, da Sie dies erwähnt haben, können Sie eine ccv-Datei exportieren und die Websites einem der Validierungstools wie dem von LastPass selbst unterziehen, um zu bestimmen, auf welchen Websites die Kennwörter sogar geändert werden können.

Ich bin mir sicher, jeder der Anbieter ist auch damit beschäftigt, ein Tool zu entwickeln / in Betracht zu ziehen, um etwas Äquivalentes zu automatisieren (z. B. eine Ergänzung zu LPs Security Challenge).

Jeder Passwort-Manager wird eine andere Herausforderung darstellen. Dashlane bietet beispielsweise nicht die Möglichkeit, Kennwörter nach Änderungsdatum zu sortieren, obwohl es ein Feld gibt, mit dem Sie geänderte oder zu ignorierende Kennwörter erneut abhaken können.

Update (Okt. 2015) - LastPass und Dashlane (die beiden, die ich ausprobiert habe) und einige andere Passwortmanager haben jetzt ein Verfahren / Formular, mit dem das Ändern von Passwörtern an mehreren hundert Standorten so einfach wie das Aktivieren eines Kontrollkästchens (wenn Sie der Automatisierung vertrauen) ist. Sie wissen sogar, dass einige Websites bestimmte Sonderzeichen oder eine bestimmte Mandatslänge ausschließen / erfordern. Alternativ können Sie auch über einen Link direkt zur Seite mit den Site-Änderungen gelangen, ein neues Passwort vorschlagen und Ihre Änderung aufzeichnen.

Wenn Sie möchten, öffnen Sie einen anderen Browser und testen Sie das neue Passwort sehr schnell, indem Sie das 1 bis 3-Klick-Verfahren zum Öffnen und automatischen Anmelden / Ausfüllen für diese Website verwenden. Sie müssen nur wissen, wie und wann die Synchronisierung erfolgt.

Ich dachte, dies hätte ein Update verdient, da wir so viele größere Site-Risse und Netzwerk- und Router-Exploits hatten.

BillR
quelle
1

Wenn die Systeme eine Verbindung über Telnet oder ssh oder ähnliches zulassen, können Sie die Kennwortänderungen relativ einfach skripten. Wenn die Kennwortänderungen über eine Webschnittstelle vorgenommen werden müssen, wäre das Schreiben von Tools zum Behandeln der Variationen wahrscheinlich aufwändiger als es sich lohnt, aber ich würde zumindest versuchen, sicherzustellen, dass das neue Kennwort von einem zuverlässigen Server eingefügt wurde Quelle, anstatt zu hoffen, dass ich es 400-mal genau tippen könnte.

Föderierte ID-Systeme vereinfachen dies etwas, indem sie einen einzigen Punkt zum Ändern des Kennworts für mehrere Systeme bereitstellen. Natürlich müssen Sie entscheiden, ob Sie diesen ID-Hubs vertrauen.

HINWEIS: Das regelmäßige Ändern von Kennwörtern verbessert die Sicherheit NICHT so sehr, wie allgemein angenommen wird. Wenn überhaupt, kann es die Leute dazu ermutigen, minderwertige Passwörter zu wählen, weil es eine Qual ist, alle N Monate ein neues Gut zu wählen. Dies ist nur dann hilfreich, wenn Sie der Ansicht sind, dass Ihr vorhandenes Passwort mit ziemlicher Wahrscheinlichkeit von jemandem gestohlen wurde, und wenn dieses Passwort etwas preisgibt, das Sie interessiert, oder das Risiko besteht, für die Erweiterung von Rechten eingesetzt zu werden.

Keshlam
quelle
1

Ich habe einen Vorschlag, der machbar klingt. Ich probiere mich aber nie aus.

use AHK (key mouse event recorders ) Sie führen eine Reihe von Kennwortänderungen durch und protokollieren die Sitzung mit AHK. Wenn Sie das nächste Mal das Passwort ändern möchten. Nehmen Sie das AHK-Skript heraus und ändern Sie nur das Passwort. Sie müssen das AHK-Skript nur noch einmal abspielen.

Ich selbst benutze verschiedene Pässe für verschiedene Websites, sofern sie nicht alle durchgesickert sind, muss ich sie nicht auf einmal ändern.

zinkend
quelle
1

LastPass hat Sie gehört und einen Blogeintrag gepostet, in dem erklärt wird, wie dies getan werden kann. Und das Fazit ist: Sie müssen es von Hand Standort für Standort tun.

Beachten Sie auch, dass Sie sicherstellen sollten, dass die Websites aktualisiert wurden, bevor Sie Ihr Passwort ändern.

Assylias
quelle
0

Sie können versuchen, das Dashlane- Dienstprogramm zu verwenden, das eine (kostenlose) Kennwortänderungsfunktion enthält, mit der Sie Dutzende von Kennwörtern mit einem einzigen Klick ändern können.

Das Ersetzen alter Passwörter durch neue Passwörter ist äußerst aufwändig und wird in Dashlane gesichert, wo sie gespeichert und für Sie eingegeben werden.

Kenorb
quelle
Wie viele andere Passwortmanager 3 oder 5 Jahre nach dem ursprünglichen Beitrag im Jahr 2014, einschließlich LastPass, der im ursprünglichen Beitrag erwähnt wurde.
BillR
-2

Erstellen Sie einen Amazon Mechanical Turk.
Erstellen Sie eine Liste Ihrer Websites, Benutzernamen und aktuellen Kennwörter. Jeder HIT gibt einen oder mehrere davon aus. Geben Sie Regeln an, woraus das neue Passwort bestehen muss. Bezahlen von 0,01 USD pro Passwort. Der Benutzer muss das Kennwort für Sie ändern und das neue Kennwort zurückmelden. Dadurch sollten Ihre Passwörter ziemlich schnell geändert werden. https://requester.mturk.com/

Christopher Thomas Nicodemus
quelle
21
Sind Sie wirklich sicher, dass es eine gute Idee ist, Fremden zu vertrauen, die für MTurk arbeiten, um Ihre Passwörter zu ändern?
8
Ich kann das nur als Scherz auffassen, der im schlimmsten Fall in die Kommentarsitzung gehen sollte.
Quora Feans
1
LOL, warum überspringst du nicht den Mittelsmann und schickst deinen PW-Manager DB direkt zum russischen Mob (oder einer anderen ebenso angesehenen Gruppe). Genau so, wie Sie es von einem Mann erwarten würden, der einen DOC-Overall trägt.
Krowe