Question Quel est un moyen efficace de modifier mes mots de passe de plus de 200 comptes?


j'ai beaucoup des comptes en ligne, des services Web, etc. - personnels et professionnels - de toute évidence (?) J'utilise un gestionnaire de mots de passe pour tous les gérer. Plus précisément, j'utilise Lastpass, mais ma question s'applique à tous:

Compte tenu du Problème Heartbleed et questions connexes, même si je voulais changer tous mes mots de passe (et ne devrions-nous pas tous le faire à intervalles réguliers?), comment dans le monde puis-je changer autant de mots de passe de manière efficace?

Si je dois visiter chaque service et chaque site individuellement et changer manuellement le mot de passe, il est évident qu'il faudra un week-end de travail dédié ... la sécurité par mot de passe est bonne, mais ce n'est pas pratique.

Mise à jour: Je viens d'utiliser le "défi de sécurité" de Lastpass qui indique que j'ai 274 sites et un score de sécurité supérieur à 83%. Plusieurs sites intranet au travail réutilisent le même pw, ce qui réduit considérablement mon score. Tous mes comptes Internet ont un score supérieur à 92%.


85
2018-04-09 19:17


origine


S'il vous plaît lire cette belle littérature avant de changer tous vos mots de passe: security.stackexchange.com/questions/55283/ ... - MonkeyZeus
Je suis content que vous ayez apprécié mon humour :) mais en toute sincérité, il n'y a pas de solution de facilité. Et je pense que vous avez peut-être manqué le point principal de mon lien qui est cette section: Changer les mots de passe sur un site vulnérable à Heartbleed n'est efficace qu'après - MonkeyZeus
Référencement de cette question sur Sécurité de l'information: API pour changer les mots de passe? - unor
Heureusement, nous passons maintenant à la connexion basée sur OpenID / OpenAuth. Il vous suffit de modifier le mot de passe pour le fournisseur d'identité et le reste sur les sites Web individuels. De plus, notez que cela ne vaut que pour changer de mot de passe pour les sites qui ont déjà mis à jour leur bibliothèque OpenSSL. probablement un bon nombre de ces 200 sites Web que vous n'avez jamais mis à jour sur leur système, même face à Heartbleed. - Lie Ryan
Félicitations pour être le seul utilisateur qui utilise des mots de passe différents pour chaque service. - JFA


Réponses:


Honnêtement, il n'y en a aucun. Pas à moins qu'ils offrent une API où vous pouvez faire de la gestion à distance sur vos comptes. Prends et choisis. Lesquelles sont la plus haute priorité. Banque par exemple, vous devriez changer. Les forums et autres sites de médias pourraient être classés plus bas et modifiés selon les besoins.

PS: Je pense aussi que les gens sont en train de souffler de façon disproportionnée.


61
2018-04-09 19:31



Les commentaires ont été purgés. Super User n'est pas un forum de discussion. Les commentaires doivent être utilisés pour demander des éclaircissements (qui doivent être traités ultérieurement dans la réponse) ou pour signaler des problèmes dans un message. Si vous voulez parler de Heartbleed, Super User Chat serait le meilleur endroit Merci. - slhck
^ @slhck Je suggère qu'ils en discutent dans une salle spéciale pour la sécurité informatique ou autre, pour éviter de surcharger la salle ordinaire. Pouvez-vous poster un lien vers la salle appropriée? - smci
@smci Je pense que notre salle principale est bien adaptée à ce type de discussion. Nous n'appliquons généralement aucun sujet. Sécurité de l'information aussi avoir un salon de discussion. - slhck


Je suis curieux de savoir quel type de réponse vous espérez obtenir ... Un logiciel qui cascade les changements de mot de passe sur divers protocoles, sites, procédures, etc.? Je mordre la langue à mon avis sur le rapport coût / bénéfice de changer réellement tous ces mots de passe, sachant que chacun d'entre eux pourrait être craqué dans un délai raisonnable, peu importe s'ils sont compromis. Au lieu de cela, je vous recommande de rassembler des informations de contact pour chacun de ces sites et services. Envoyez ensuite un e-mail à tous les utilisateurs pour leur demander de réinitialiser votre mot de passe ou de rétablir un nouveau mot de passe lors de la prochaine connexion. Je ne vois aucun autre raccourci ici.


12
2018-04-09 19:25



De nombreux sites Web enverront probablement une réponse indiquant "Si vous souhaitez réinitialiser votre mot de passe, veuillez cliquer sur le lien suivant: lien de réinitialisation du mot de passe". - Nzall


Puisque votre question ne se prête probablement pas à une réponse facile, je vous propose de modifier les mots de passe des sites Web en fonction de leur vulnérabilité (perte d’argent, perte de confidentialité, perte de réputation, etc.).


11
2018-04-10 02:27





Je vais probablement:

  • consulter la liste des sites stockant des informations vraiment sensibles
  • changez-les dès qu'il semble clair que le site est prêt pour cela
  • changer le reste la prochaine fois que j'utilise le site ou si le site demande / force un changement.

Cela signifie que certains d'entre eux ne seront jamais changés, car je n'utiliserai plus jamais le site, ce qui est la source du gain d'efficacité par rapport au fait de les faire tous maintenant. En fait, cela pourrait éventuellement provoquer un éclaircissement des comptes inutiles. Dans ce contexte, changer les mots de passe n’est pas une opération si importante.

je pense (bien que je ne sois pas sûr) que si j'utilise très rarement un site, il y a relativement peu de chance que mon mot de passe sur ce site soit compromis en raison de ma peine. D'où la préférence pour les sites que j'utilise réellement.

Le principal danger de se tromper est qu'il se trouve que Heartbleed est activement exploité depuis longtemps. Ensuite, il existe de nombreuses possibilités de compromettre des masses de mots de passe soit directement via heartbleed, soit en utilisant des clés privées ou des identifiants d'administration de heartbleed.

[Edit: ça commence à ressembler que peut-être heartbleed a été exploité par la NSA pour à peu près aussi longtemps qu'il a existé. Je vais devoir attendre plus d'informations à ce sujet, mais dans tous les cas, je ne suis pas concerné par le fait que la NSA ait mes mots de passe comme vous vous en doutez. Si la NSA veut mes mots de passe, alors elle les a, le heartbleed est l'un des nombreux moyens par lesquels ils pourraient les acquérir. S'ils en ont eu pendant deux ans, alors un autre mois, jusqu'à ce que je trouve le temps de changer un groupe de comptes à faible valeur, ne fera aucune différence.]

Le principal danger de retarder le changement de mot de passe est que quelqu'un peut déjà avoir mon mot de passe, mais il n'est pas toujours parvenu à le retirer du Go des données obtenues en utilisant heartbleed, ou n'a pas encore réussi à l'utiliser. D'où la préférence pour les systèmes plus sensibles.


7
2018-04-10 18:21





Il est douteux que cela prenne réellement Moins travailler, mais si vous êtes à portée de main avec Javascript, vous pouvez écrire vous-même une sorte de mini-API qui (une fois sur la bonne page) a cherché les champs corrects et les a modifiés pour vous:

https://stackoverflow.com/questions/257255/generic-way-to-fill-out-a-form-in-javascript

Le résultat de cela est une fois terminé, vous aurez un accès facile pour les changements futurs. L'inconvénient est littéralement tout le reste.


6
2018-04-10 13:40



Et puis, chaque fois que l'un de ces sites apporte un changement quelconque à la page en question, votre script risque de casser ... :-( - Michael
@ Michael, pas nécessairement. Des scripts comme SuperGenPass le font et sont à la fois très génériques et très réussis. Ce serait réellement utile outil compagnon une fois que je commence à changer les mots de passe du site. Ce serait une façon simple d’avoir des mots de passe longs et uniques. Natch, la plupart des gestionnaires de mots de passe ont quelque chose comme ça mais pas en un clic facile. - Torben Gundtofte-Bruun
L'inconvénient semble assez raide quand vous le dites ainsi ... - Raystafarian
@ TorbenGundtofte-Bruun SuperGenPass semble utiliser une technique que j'ai utilisée manuellement il y a plusieurs années avant d'avoir un trousseau: je prendrais le nom du site Web et ferais une transformation secrète dans ma tête pour créer mon mot de passe. Cela m’a brusquement mordu lorsqu’un site que j’avais acheté était acheté par un autre site (changeant ainsi de nom). - Michael
@ Michael J'ai fait la même chose, je me suis arrêté parce que j'avais un coup miniature à chaque fois que je devais réinitialiser mon mot de passe et en choisir un nouveau. Quoi qu’il en soit, pour répondre à ce que vous avez dit tout à l’heure: oui, gros inconvénient, et non, je n’aurais jamais eu cette réponse; Je pensais que cela valait la peine de partir ici comme solution alternative pour les super-utilisateurs les plus courageux qui se sont posés sur la question. - Sandy Gifford


Vérifiez si vous pouvez vous connecter avec Google OpenID sur certains sites. Cela pourrait réduire le nombre de mots de passe que vous devez modifier / gérer / utiliser.

Mettez en signet toutes les pages "Modifier le mot de passe" et ouvrez-les toutes sous forme d'onglets (ou par lots de 50). Créez un script pour générer une liste de mots de passe aléatoires et copiez-les avec un outil de copier-coller. Nettoyez votre système après cela. Changer 50 mots de passe avec cette méthode ne vous prendra pas plus de 10 minutes, ce qui semble être un délai raisonnable pour une maintenance hebdomadaire.

En faisant cela, vous changerez tous vos mots de passe une fois par mois, en investissant 10 min. une semaine.


4
2018-04-10 13:52



12 secondes par site me semblent optimistes, même en ouvrant chaque page de changement de mot de passe dans des onglets. Mais le principe semble correct, c'est probablement le moyen le plus efficace de visiter tous les sites et de modifier les mots de passe. - Steve Jessop


Spécifiquement pour LastPass depuis que vous en avez parlé, vous pouvez exporter un fichier ccv et soumettre les sites à l'un des outils de validation tels que celui que LastPass lui-même propose pour déterminer quels sites sont prêts à faire modifier les mots de passe.

Je suis sûr que chacun des fournisseurs est également occupé à créer / envisager un outil pour automatiser quelque chose d’équivalent (par exemple, un supplément au Security Challenge de LP).

Chaque gestionnaire de mots de passe va présenter un défi différent. Par exemple, Dashlane n'inclut pas la possibilité de trier les mots de passe par date de modification, bien qu'il comporte un champ que vous pouvez réutiliser pour vérifier les mots de passe qui ont été modifiés ou que vous allez ignorer.

Mise à jour (octobre 2015) - LastPass et Dashlane (les deux que j'ai essayés) et quelques autres gestionnaires de mots de passe ont maintenant une procédure / formulaire qui permet de changer les mots de passe sur plusieurs centaines de sites aussi simplement que de cocher une case (si les sites excluent / exigent certains caractères spéciaux ou la durée du mandat). Vous pouvez également vous rendre directement sur la page de modification du site via un lien, suggérer un nouveau mot de passe et enregistrer votre modification.

Si vous le souhaitez, ouvrez un autre navigateur et testez très rapidement le nouveau mot de passe en utilisant la procédure 1-3-click-open-and-autologin / autofill pour ce site Web. Soyez conscient du moment et de la synchronisation.

Je pensais que cela méritait une mise à jour puisque nous avons eu beaucoup plus de fissures sur les sites et d'exploits de réseau et de routeur.


4
2018-04-09 23:33





Si les systèmes vous permettent de vous connecter via telnet ou ssh ou quelque chose de similaire, vous pouvez créer un script relativement simple pour modifier les mots de passe. Si les modifications de mot de passe doivent être effectuées via une interface Web, écrire des outils pour gérer les variations serait probablement plus efficace que ce que cela valait, mais j'essaierais au moins de coller le nouveau mot de passe à partir d'un fichier fiable. source plutôt que d'espérer que je pourrais le retaper avec précision 400 fois.

Les systèmes d'ID fédérés simplifient quelque peu la situation en fournissant un seul point pour modifier le mot de passe de plusieurs systèmes ... mais, bien sûr, vous devez décider si vous faites confiance à ces concentrateurs d'identifiants.

REMARQUE: la modification régulière des mots de passe NE PAS améliorer la sécurité autant qu'on le croit généralement.  Au contraire, cela peut encourager les gens à choisir des mots de passe inférieurs, car choisir un nouveau bon chaque mois est une gêne pour le patootie. Cela aide uniquement si vous pensez que quelqu'un est raisonnablement susceptible d'avoir volé votre mot de passe existant et si la sortie de ce mot de passe expose quelque chose qui vous tient à cœur ou qui risque d'être exploité pour amplifier les droits.


1
2018-04-11 02:10





J'ai une proposition qui semble réalisable. Je ne m'essaie jamais moi-même.

use AHK (key mouse event recorders ) vous effectuez un lot de modifications de mot de passe et enregistrez la session à l'aide d'AHK. la prochaine fois que vous voulez changer le mot de passe. sortez le script AHK et changez le mot de passe uniquement. il vous suffit de relire le script AHK.

J'utilise moi-même des passes différentes pour des sites différents, à moins qu'elles ne soient toutes divulguées, je n'ai pas besoin de les modifier à la fois.


1
2018-04-11 07:32