Was ist eine effiziente Möglichkeit, meine über 200 Kontokennwörter zu ändern?

Ich habe viele Online-Konten, Webservices und so weiter - sowohl persönliche als auch geschäftliche - und benutze daher offensichtlich einen Passwort-Manager, um sie alle zu verwalten. Speziell verwende ich Lastpass, aber meine Frage gilt für alle:

In Anbetracht des Heartbleed-Problems und der damit verbundenen Fragen , auch wenn ich alle meine Passwörter ändern wollte (und sollten wir das nicht alle in regelmäßigen Abständen tun?), Wie in aller Welt kann ich so viele Passwörter auf effiziente Weise ändern ?

Wenn ich jeden Dienst und jede Site einzeln besuchen und die PW manuell ändern muss, ist es klar, dass es ein Wochenende mit dedizierter Arbeit dauern wird. Die Passwortsicherheit ist gut und alles, aber das ist einfach nicht praktisch.

_{Update: Ich habe gerade die "Sicherheitsherausforderung" von Lastpass verwendet, die besagt, dass ich 274 Websites und einen Sicherheitsfaktor von über 83% habe. Mehrere Intranetsites bei der Arbeit verwenden dasselbe Kennwort erneut, was meine Punktzahl erheblich senkt. Alle meine Internetkonten liegen über 92%.}

Ehrlich gesagt gibt es keine. Es sei denn, sie bieten eine API, über die Sie Ihre Konten remote verwalten können. Wählen Sie aus. Welche sind die höchste Priorität. Bank zum Beispiel sollten Sie ändern. Foren und andere Medienseiten könnten niedriger eingestuft und je nach Bedarf geändert werden.

PS: Ich denke auch, dass die Menschen dieses Herzblut überproportional sprengen.

Ich bin gespannt, welche Art von Antwort Sie erwarten ... Eine Software, die Passwortänderungen über verschiedene Protokolle, Sites, Prozeduren usw. kaskadiert? Ich werde meine Zunge beißen über meine Meinung zu den Kosten / Nutzen der tatsächlichen Änderung all dieser Passwörter, wenn man bedenkt, dass eines davon in einem angemessenen Zeitrahmen geknackt werden könnte, unabhängig davon, ob es kompromittiert wurde. Stattdessen empfehle ich Ihnen, Kontaktinformationen für jede dieser Websites und Dienste zu sammeln. Senden Sie anschließend eine E-Mail an alle Benutzer, in der Sie aufgefordert werden, Ihr Kennwort zurückzusetzen oder beim nächsten Anmelden ein neues Kennwort einzurichten. Ich sehe hier keine anderen Verknüpfungen.

Da sich Ihre Frage wahrscheinlich nicht für eine einfache Antwort eignet, würde ich vorschlagen, dass Sie die Kennwörter von Websites ändern, je nachdem, wie anfällig Sie sind (Geldverlust, Verlust der Privatsphäre, Verlust des Ansehens usw.).

Ich werde wahrscheinlich:

• Überprüfen Sie die Liste auf Websites, auf denen wirklich vertrauliche Informationen gespeichert sind
• ändere diese, sobald klar ist, dass die Seite dafür bereit ist
• Ändern Sie den Rest, wenn ich die Site das nächste Mal benutze oder wenn die Site eine Änderung anfordert / erzwingt.

Dies bedeutet, dass einige von ihnen niemals geändert werden, da ich die Site nie wieder verwenden werde, und das ist die Quelle des Effizienzgewinns, wenn man sie jetzt alle macht. Tatsächlich könnte dies letztendlich dazu führen, dass sinnlose Konten geklärt werden. In diesem Zusammenhang ist das Ändern von Passwörtern keine so große Aufgabe.

Ich denke (obwohl ich nicht sicher bin), dass wenn ich eine Site sehr selten benutze, die Wahrscheinlichkeit relativ gering ist, dass mein Passwort auf dieser Site aufgrund von Heartbleed kompromittiert wird. Daher die Präferenz für Sites, die ich tatsächlich benutze.

Die größte Gefahr, dass diese Vermutung falsch ist, ist, wenn sich herausstellt, dass Heartbleed seit langer Zeit aktiv ausgenutzt wird. Dann gibt es viele Möglichkeiten, dass eine Vielzahl von Passwörtern entweder direkt über Heartbleed oder durch die Verwendung von privaten Schlüsseln oder Administratoranmeldeinformationen von Heartbleed kompromittiert wurde.

[Bearbeiten: Es sieht so aus, als ob Heartbleed von der NSA etwa so lange ausgenutzt wurde, wie es existiert hat. Ich werde auf weitere Informationen warten müssen, aber auf jeden Fall bin ich nicht so besorgt, dass die NSA meine Passwörter hat, wie Sie es vielleicht erwarten. Wenn die NSA meine Passwörter haben möchte, hat sie sie. Heartbleed ist eine von nur vielen Möglichkeiten, mit denen sie sie erhalten können. Wenn sie sie seit zwei Jahren haben, wird ein weiterer Monat, bis ich Zeit finde, eine Reihe von Konten mit niedrigem Wert zu ändern, keinen Unterschied machen.]

Die größte Gefahr, die Kennwortänderung zu verzögern, besteht darin, dass jemand bereits über mein Kennwort verfügt, es jedoch entweder nicht aus dem mit heartbleed erhaltenen Datenbestand herausholt oder es noch nicht verwendet. Daher die Präferenz für empfindlichere Systeme.

Es ist fraglich, ob dies tatsächlich weniger Arbeit kosten würde , aber wenn Sie überhaupt mit Javascript umgehen können, können Sie sich eine Art Mini-API schreiben, die (einmal auf der richtigen Seite) die richtigen Felder aussucht und sie für Sie ändert:

https://stackoverflow.com/questions/257255/generic-way-to-fill-out-a-form-in-javascript

Das Fazit dazu ist, dass Sie bei zukünftigen Änderungen schnell einen Blick darauf werfen können. Der Nachteil ist buchstäblich alles andere.

Überprüfen Sie, ob Sie sich auf einigen Websites mit Google OpenID anmelden können. Dies könnte die Anzahl der Passwörter reduzieren, die Sie ändern / verwalten / verwenden müssen.

Setzen Sie ein Lesezeichen für alle Seiten zum Ändern des Kennworts und öffnen Sie sie in Registerkarten (oder in Stapeln von 50). Erstellen Sie ein Skript zum Generieren einer Liste zufälliger Kennwörter, und fügen Sie sie mit einem Tool zum Kopieren und Einfügen ein. Reinigen Sie anschließend Ihr System. Das Ändern von 50 Passwörtern mit dieser Methode dauert nicht länger als 10 Minuten. Dies scheint eine vernünftige Zeit für eine wöchentliche Wartung zu sein.

Auf diese Weise ändern Sie alle Ihre Passwörter einmal im Monat und investieren 10 Minuten. eine Woche.

Speziell für LastPass, da Sie dies erwähnt haben, können Sie eine ccv-Datei exportieren und die Websites einem der Validierungstools wie dem von LastPass selbst unterziehen, um zu bestimmen, auf welchen Websites die Kennwörter sogar geändert werden können.

Ich bin mir sicher, jeder der Anbieter ist auch damit beschäftigt, ein Tool zu entwickeln / in Betracht zu ziehen, um etwas Äquivalentes zu automatisieren (z. B. eine Ergänzung zu LPs Security Challenge).

Jeder Passwort-Manager wird eine andere Herausforderung darstellen. Dashlane bietet beispielsweise nicht die Möglichkeit, Kennwörter nach Änderungsdatum zu sortieren, obwohl es ein Feld gibt, mit dem Sie geänderte oder zu ignorierende Kennwörter erneut abhaken können.

Update (Okt. 2015) - LastPass und Dashlane (die beiden, die ich ausprobiert habe) und einige andere Passwortmanager haben jetzt ein Verfahren / Formular, mit dem das Ändern von Passwörtern an mehreren hundert Standorten so einfach wie das Aktivieren eines Kontrollkästchens (wenn Sie der Automatisierung vertrauen) ist. Sie wissen sogar, dass einige Websites bestimmte Sonderzeichen oder eine bestimmte Mandatslänge ausschließen / erfordern. Alternativ können Sie auch über einen Link direkt zur Seite mit den Site-Änderungen gelangen, ein neues Passwort vorschlagen und Ihre Änderung aufzeichnen.

Wenn Sie möchten, öffnen Sie einen anderen Browser und testen Sie das neue Passwort sehr schnell, indem Sie das 1 bis 3-Klick-Verfahren zum Öffnen und automatischen Anmelden / Ausfüllen für diese Website verwenden. Sie müssen nur wissen, wie und wann die Synchronisierung erfolgt.

Ich dachte, dies hätte ein Update verdient, da wir so viele größere Site-Risse und Netzwerk- und Router-Exploits hatten.

Wenn die Systeme eine Verbindung über Telnet oder ssh oder ähnliches zulassen, können Sie die Kennwortänderungen relativ einfach skripten. Wenn die Kennwortänderungen über eine Webschnittstelle vorgenommen werden müssen, wäre das Schreiben von Tools zum Behandeln der Variationen wahrscheinlich aufwändiger als es sich lohnt, aber ich würde zumindest versuchen, sicherzustellen, dass das neue Kennwort von einem zuverlässigen Server eingefügt wurde Quelle, anstatt zu hoffen, dass ich es 400-mal genau tippen könnte.

Föderierte ID-Systeme vereinfachen dies etwas, indem sie einen einzigen Punkt zum Ändern des Kennworts für mehrere Systeme bereitstellen. Natürlich müssen Sie entscheiden, ob Sie diesen ID-Hubs vertrauen.

HINWEIS: Das regelmäßige Ändern von Kennwörtern verbessert die Sicherheit NICHT so sehr, wie allgemein angenommen wird. Wenn überhaupt, kann es die Leute dazu ermutigen, minderwertige Passwörter zu wählen, weil es eine Qual ist, alle N Monate ein neues Gut zu wählen. Dies ist nur dann hilfreich, wenn Sie der Ansicht sind, dass Ihr vorhandenes Passwort mit ziemlicher Wahrscheinlichkeit von jemandem gestohlen wurde, und wenn dieses Passwort etwas preisgibt, das Sie interessiert, oder das Risiko besteht, für die Erweiterung von Rechten eingesetzt zu werden.

Ich habe einen Vorschlag, der machbar klingt. Ich probiere mich aber nie aus.

use AHK (key mouse event recorders ) Sie führen eine Reihe von Kennwortänderungen durch und protokollieren die Sitzung mit AHK. Wenn Sie das nächste Mal das Passwort ändern möchten. Nehmen Sie das AHK-Skript heraus und ändern Sie nur das Passwort. Sie müssen das AHK-Skript nur noch einmal abspielen.

Ich selbst benutze verschiedene Pässe für verschiedene Websites, sofern sie nicht alle durchgesickert sind, muss ich sie nicht auf einmal ändern.

LastPass hat Sie gehört und einen Blogeintrag gepostet, in dem erklärt wird, wie dies getan werden kann. Und das Fazit ist: Sie müssen es von Hand Standort für Standort tun.

Beachten Sie auch, dass Sie sicherstellen sollten, dass die Websites aktualisiert wurden, bevor Sie Ihr Passwort ändern.

Sie können versuchen, das Dashlane- Dienstprogramm zu verwenden, das eine (kostenlose) Kennwortänderungsfunktion enthält, mit der Sie Dutzende von Kennwörtern mit einem einzigen Klick ändern können.

Das Ersetzen alter Passwörter durch neue Passwörter ist äußerst aufwändig und wird in Dashlane gesichert, wo sie gespeichert und für Sie eingegeben werden.

Erstellen Sie einen Amazon Mechanical Turk.
Erstellen Sie eine Liste Ihrer Websites, Benutzernamen und aktuellen Kennwörter. Jeder HIT gibt einen oder mehrere davon aus. Geben Sie Regeln an, woraus das neue Passwort bestehen muss. Bezahlen von 0,01 USD pro Passwort. Der Benutzer muss das Kennwort für Sie ändern und das neue Kennwort zurückmelden. Dadurch sollten Ihre Passwörter ziemlich schnell geändert werden. https://requester.mturk.com/