200+ hesap şifrelerimi değiştirmenin etkili bir yolu nedir?


87

Çok fazla çevrimiçi hesabım, web servisim ve buna benzer şeyler var - hem kişisel hem de ticari olarak - açıkça (?) Hepsini yönetmek için bir şifre yöneticisi kullanıyorum. Özellikle Lastpass'ı kullanıyorum, ancak sorum herkes için geçerli:

Tüm şifrelerimi değiştirmek istesem bile (ve hepimiz bunu düzenli aralıklarla yapmamalı mıyız?), Heartbleed sorunu ve ilgili sorular göz önüne alındığında, dünyada nasıl bu kadar çok şifreyi verimli bir şekilde değiştirebilirim?

Her bir hizmeti ve siteyi ayrı ayrı ziyaret edip PW'yi manuel olarak değiştirmek zorunda kalırsam, özel bir hafta sonu çalışacağım açıktır ... şifre güvenliği iyidir ve hepsi ancak bu pratik değildir.

Güncelleme: Sadece 274 sitem olduğunu ve% 83'ten fazla güvenlik puanım olduğunu bildiren Lastpass'ın "güvenlik yarışmasını" kullandım. İş yerindeki birkaç intranet sitesi aynı pw'yi yeniden kullanıyor ve bu puanımı önemli ölçüde düşürüyor. İnternet hesaplarımın tümü% 92'nin üzerinde.


6
Lütfen tüm şifrelerinizi değiştirmeden önce bu literatürü okuyun: security.stackexchange.com/questions/55283/…
MonkeyZeus 09.04.2009

4
Mizahımı sevdiğine sevindim :) ama ciddiyetle kolay bir çıkış yolu yok. Ve bu bölümdeki bağlantımın ana noktasını kaçırmış olabileceğinizi düşünüyorum: Heartbleed'e karşı savunmasız / açık bir sitedeki şifreleri değiştirmek ancak etkilidir
MonkeyZeus 09.04.2014


1
Şimdi OpenID / OpenAuth tabanlı oturum açmaya geçiyoruz. İhtiyacınız olan tek şey kimlik sağlayıcısının şifresini değiştirmektir, gerisi kişisel web sitelerindedir. Ayrıca, OpenSSL kitaplıklarını zaten güncellemiş olan sitelerin şifresini değiştirmenin sadece buna değeceğini unutmayın; Muhtemelen, Heartbleed karşısında bile, sistemlerinde hiçbir güncelleme yapmadığınız 200 web sitesinin çok sayıda.
Lie Ryan,

2
Her farklı hizmet için farklı şifreler kullanan tek kullanıcı olduğun için tebrikler.
JFA

Yanıtlar:


61

Açıkçası, yok. Hesaplarınızda uzaktan yönetim yapabileceğiniz bir API sunmadıkları sürece. Seç ve seç. Hangileri en yüksek önceliktir. Banka örneğin değişmeli. Forumlar ve diğer medya siteleri daha düşük sıralanabilir ve ihtiyaca göre değiştirilebilir.

Not: Ben de insanların bu kalp atışını orantısız bir şekilde üflediğini düşünüyorum.


1
Yorumlar temizlendi. Süper Kullanıcı bir tartışma forumu değildir; açıklamalar (daha sonra cevaplarda ele alınacak) veya bir gönderideki sorunları belirtmek için kullanılmalıdır. Heartbleed hakkında konuşmak istiyorsanız, Süper Kullanıcı Sohbet en iyi yer olacaktır. Teşekkürler.
slhck

^ @slhck Düzenli odanın ezilmesini önlemek için BT Güvenliği ya da benzeri özel bir odada görüşmelerini öneririm. Bağlantıyı uygun odaya gönderebilir misiniz?
smci

@smci Ana odamızın bu tür tartışmalar için gerçekten uygun olduğuna inanıyorum. Genelde hiçbir konuda zorlamıyoruz. Bilgi Güvenliği ayrıca bir sohbet odasına sahiptir.
slhck

12

Ne tür bir cevap almayı umduğunuzu merak ediyorum ... Çeşitli protokoller, siteler, prosedürler vb. Üzerinde parola değişikliklerini basamaklayan bir yazılım parçası mı? Dilimden, ısrar edeceğim, bütün şifreleri değiştirmenin maliyeti / yararı hakkında, herhangi birinin riske atılmış olmasından bağımsız olarak, herhangi birinin makul bir zaman diliminde kırılabileceğini düşünerek. Bunun yerine, bu sitelerin ve hizmetlerin her biri için iletişim bilgileri toplamanızı öneririm. Ardından, şifrenizin sıfırlanmasını isteyen veya bir sonraki oturum açmada yeni bir şifre yeniden kurmak için hepsine bir e-posta gönderin. Burada başka kısayol göremiyorum.


8
Birçok web sitesi muhtemelen "Şifrenizi sıfırlamak istiyorsanız, lütfen aşağıdaki bağlantıya tıklayın: şifre sıfırlama bağlantısı " yazan bir cevap gönderecektir .
Nzall

11

Sorunuz muhtemelen kolay bir cevaba cevap vermediğinden, web sitelerinin şifresini sizi ne kadar savunmasız olduklarına (para kaybı, mahremiyet kaybı, itibar kaybı vb.) Göre değiştirmenizi öneririm.


7

Muhtemelen:

  • Gerçekten hassas bilgileri depolayan siteler için listeyi inceleyin
  • Site bunun için hazır olduğu anlaşılır görünmez bunları değiştirin
  • siteyi bir sonraki kullanışımda veya site bir değişiklik isterse / zorlarsa geri kalanı değiştirin.

Bu, bazılarının hiçbir zaman değişmeyeceği anlamına gelir, çünkü siteyi bir daha asla kullanmayacağım ve bu, şimdi hepsini yapmaktan kaynaklanan verimlilik kazancının kaynağı. Aslında bu sonuçta anlamsız hesapların silinmesine neden olabilir. Bunu yapmak bağlamında, şifreleri değiştirmek çok da büyük bir işlem değil.

Ben düşünüyorum ben çok seyrek bir siteyi kullanmak eğer (emin değilim rağmen) daha sonra Heartbleed nedeniyle varlık uzlaşma sahip bu sitede benim şifre nispeten az ihtimal. Dolayısıyla ben gerçekten kullandığım siteler için tercih.

Bu tahminin yanlış olmasının asıl tehlikesi, kalp atışının uzun süredir aktif olarak sömürüldüğü ortaya çıkıyor. Öyleyse, doğrudan kalp atışı yoluyla veya kalp atışı için özel anahtarlar veya yönetici kimlik bilgilerinin kullanılması yoluyla doğrudan kitleler tarafından ele geçirilen çok sayıda şifre vardır.

[Düzenle: belki yürekli olduğu sürece NSA tarafından sömürülmüş gibi görünmeye başlıyor. Bununla ilgili daha fazla bilgi beklemem gerekecek, ancak her durumda NSA tarafından beklediğiniz gibi şifrelerime sahip olduğum için endişelenmiyorum. Eğer NSA şifrelerimi istiyorsa, o zaman onlara sahip olacak, heartbleed, onları edinebilecekleri birçok yoldan biri. Onları iki yıl geçirmişlerse, bir grup düşük değerli hesabı değiştirmek için zaman bulana kadar bir ay daha farketmez.]

Parola değişikliğini geciktirmenin ana tehlikesi, birinin şifremi zaten almış olabileceği, ancak ya bunu heartbleed kullanarak elde ettiği GB verilerinden çıkaramadığı ya da henüz kullanmaya başlayamadığıdır. Dolayısıyla daha hassas sistemler için tercih.


6

Eğer bu aslında daha az işe yararsa şüphelidir, ancak Javascript ile hiç işe yaramazsanız, kendinize (doğru sayfada bir kez) doğru alanları arayan ve sizin için değiştiren bir tür mini-API yazabilirsiniz:

https://stackoverflow.com/questions/257255/generic-way-to-fill-out-a-form-in-javascript

Bunun bir sonucu tamamlandığında, gelecekteki değişiklikler için kolay bir adım atacaksınız. Dezavantajı kelimenin tam anlamıyla onunla ilgili her şey.


Ve o zaman bu sitelerden herhangi biri, betiğinizin muhtemelen bozulacağı söz konusu sayfada herhangi bir değişiklik yapması durumunda ... :-(
Michael

@Michael, mutlaka değil. SuperGenPass gibi scriptler tam da bunu yapar ve hem çok genel hem de çok başarılı. Site şifrelerini değiştirmeye başladığımda bu gerçekten faydalı bir araç olurdu . Uzun ve benzersiz şifreler elde etmek için çok basit bir yol olurdu. Natch, çoğu şifre yöneticisinin böyle bir şeyi var ama tek tıkla kolay değil.
Torben Gundtofte-Bruun,

1
Bu şekilde koyduğunuzda olumsuz oldukça dik görünüyor ...
Raystafarian

@ TorbenGundtofte-Bruun SuperGenPass, bir anahtarlık kullanmadan önce yıllar önce el ile yaptığım bir teknik kullanıyor gibi görünüyor: şifremi oluşturmak için web sitesi adını alır ve kafamda gizli bir dönüşüm uygulardım. Bir şey satın aldığım bir site farklı bir site tarafından satın alındığında (bu nedenle adını değiştirirken) bu aniden beni ısırdı.
Michael,

@Michael Aynı şeyi yaptım, durdum çünkü her seferinde şifremi sıfırlamak ve yeni bir tane seçmek zorunda olduğumda minyatür bir vuruş yaptım. Her neyse, daha önce söylediklerinize değinmek için: evet, süper dik bir dezavantajı var ve hayır, bu seçilen cevap asla olmazdı; Burada, soru karşısında olan cesur süper kullanıcılar için alternatif bir çözüm olarak ayrılmanın değerinde olduğunu hissettim.
Sandy Gifford

4

Bazı sitelerde Google OpenID ile giriş yapıp yapamayacağınızı kontrol edin. Bu, değiştirmeniz / yönetmeniz / kullanmanız gereken şifre sayısını azaltabilir.

Tüm 'Şifreyi değiştir' sayfalarını işaretleyin ve hepsini birlikte sekmelerde (veya 50’lik gruplar halinde) açın. Rasgele şifreler listesi oluşturmak için bir komut dosyası hazırlayın ve kopyala ve yapıştır aracıyla kopyalayıp yapıştırın. Bunu yaptıktan sonra sisteminizi temizleyin. Bu yöntemle 50 şifreyi değiştirmek sizi 10 dakikadan fazla sürmez, bu da haftalık bir bakım için oldukça makul bir zaman demektir.

Bunu yaparsanız, tüm şifrelerinizi ayda bir kez değiştirirsiniz, 10 dakika yatırım yaparsınız. bir hafta.


1
Site başına 12 saniye, her şifre değiştirme sayfasını sekmelerde açarken bile bana iyimser geliyor. Ancak ilke doğru görünüyor, bu muhtemelen tüm siteleri ziyaret etmenin ve şifreleri değiştirmenin en etkili yoludur.
Steve Jessop,

4

Özellikle belirttiğinizden beri LastPass için, bir ccv dosyasını dışa aktarabilir ve siteleri, hangi sitelerin şifreleri değiştirmeye hazır olduğunu bile belirlemek için LastPass'ın kendisi gibi sunduğu doğrulama araçlarından birine gönderebilirsiniz.

Satıcıların her birinin eşdeğer bir şeyi otomatikleştirmek için bir araç oluşturmak / düşünmekle meşgul olduğuna eminim (örneğin, LP'nin Güvenlik Mücadelesine bir ek).

Her şifre yöneticisi farklı bir meydan okuma sunacak. Örneğin Dashlane, değiştirilen veya göz ardı edeceğiniz şifreleri kontrol etmeyi yeniden amaçlayabileceğiniz bir alana sahip olmasına rağmen, şifreleri değiştirilen tarihe göre sıralama özelliğini içermez.

Güncelleme (Ekim 2015) - LastPass ve Dashlane (denediğim iki kişi) ve diğer bazı şifre yöneticileri artık birkaç kutudaki şifreleri değiştirmeyi bir kutu / kutucuğu (otomasyona güveniyorsanız; hatta bazı sitelerin belirli özel karakterleri veya görev uzunluğunu dışladığını / gerektirdiğini bile biliyorlar). Alternatif olarak, bazıları sizi doğrudan bağlantı sayfasından site bağlantısı sayfasına yönlendirir, yeni bir parola önerir ve değişikliklerinizi kaydeder.

İsterseniz, başka bir tarayıcı açın ve yeni şifreyi söz konusu web sitesi için 1 - 3 tıkla aç ve autologin / otomatik doldurma prosedürünü kullanarak çok hızlı bir şekilde test edin. Sadece senkronizasyonun nasıl ve ne zaman gerçekleştiğinin farkında olun.

Çok daha büyük site çatlakları ve ağ ve yönlendirici istismarları yaptığımız için bunun bir güncellemeyi hakettiğini düşündüm.


1

Sistemler telnet veya ssh veya benzeri bir şeyle bağlanmanıza izin verirse, şifre değişikliklerini nispeten basit bir şekilde kodlayabilirsiniz. Parola değişikliklerinin bir web arayüzü üzerinden yapılması gerekiyorsa, varyasyonlarla başa çıkmak için yazma araçları muhtemelen değerinden daha fazla işe yarayacaktı ancak en azından yeni parolanın güvenilir bir kaynaktan girildiğinden emin olmaya çalışacağım. umduğum gibi değil, 400 kere tekrar yazabilirim.

Birleşik ID sistemleri, birden fazla sistemin şifresini değiştirmek için tek bir nokta sağlayarak bunu biraz kolaylaştırır ... ama elbette, bu ID merkezlerine güvenip güvenmeyeceğinize karar vermelisiniz.

NOT: Düzenli olarak şifrelerini değiştirme yok DEĞİL yaygın inanılır kadar güvenliğini artırmak. Bir şey olursa, insanları aşağıdan parola almaya teşvik edebilir, çünkü her N ayda bir yeni bir tane seçmek patootrinin acısıdır. Bu, yalnızca birinin mevcut şifrenizi çalmış olma ihtimalinin makul olduğunu düşünüyorsanız ve bu şifrenin ortaya çıkması, önem verdiğiniz bir şeyi ortaya çıkarması veya hakların yükseltilmesi için kaldıraç riski taşıması durumunda yardımcı olur.


1

Uygun görünen bir teklifim var. Yine de kendimi denemedim.

use AHK (key mouse event recorders ) Bir grup şifre değişikliği yaparsınız ve AHK kullanarak oturumu günlüğe kaydeder. bir dahaki sefere şifre değiştirmek istediğinizde. AHK betiğini alın ve yalnızca şifreyi değiştirin. sadece AHK betiğini tekrar çalman gerekiyor.

Kendim farklı siteler için farklı geçişler kullanıyorum, hepsi sızdırmazsa, bir kerede değiştirmem gerekmez.


1

LastPass sizi duydu ve bunun nasıl yapılabileceğini açıklayan bir blog yazısı yayınladı . Ve sonuçta: el ile siteden siteye yapmanız gerekir.

Ayrıca kayda değer, şifrenizi değiştirmeden önce sitelerin yükseltilmiş olduğundan emin olmanız gerektiğidir.


0

Tek bir tıklamayla onlarca şifreyi değiştirebilen Parola Değiştirme özelliğini (ücretsiz) içeren Dashlane yardımcı programını kullanmayı deneyebilirsiniz .

Eski şifreleri güçlü yenileriyle değiştirmenin ağır yükünü kaldırır ve bunları sizin için hatırlandıkları ve yazdıkları Dashlane'de güvence altına alır.


Diğer birçok şifre yöneticisinin yaptığı gibi, orijinal gönderide belirtilen LastPass da dahil olmak üzere, 2014'teki orijinal görevden 3 veya 5 yıl sonra.
BillR

-2

Bir Amazon Mekanik Türk oluşturun.
Web sitelerinizin, kullanıcı adlarınızın ve mevcut şifrelerinizin bir listesini yapın. Her HIT bunlardan bir veya daha fazlasını verecektir. Yeni şifrenin neleri içermesi gerektiğine dair kurallar verin. Şifre başına 0,01 ABD Doları ödüyorum. Kullanıcı sizin için şifreyi değiştirmeli ve yeni şifreyi geri bildirmelidir. Bu, şifrelerinizin oldukça hızlı bir şekilde değişmesini sağlamalıdır. https://requester.mturk.com/


21
Şifrelerinizi değiştirmek için MTürk'te çalışan yabancılara güvenmenin iyi bir fikir olduğuna emin misiniz?

8
Bunu sadece şaka olarak yorumlayabilirim; bu, en kötü durumda yorum oturumunda yapılması gereken bir şey.
Quora

1
LOL, neden ortadaki adamı atlamıyor ve doğrudan PW menajeri DB'nizi doğrudan Rus mafyasına (ya da diğer eşit derecede saygın bir gruba) gönderiyorsunuz. Tavsiye ile DOC tulum giyen bir adamdan almayı beklersiniz.
krowe
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.