Qual é uma maneira eficiente de alterar minhas mais de 200 senhas de conta?


87

Eu tenho muitas contas online, serviços da Web e assim por diante - pessoal e comercial - então, obviamente (?) Eu uso um gerenciador de senhas para lidar com todas elas. Especificamente eu uso Lastpass, mas minha pergunta se aplica a todo e qualquer:

Dado o problema do Heartbleed e perguntas relacionadas , mesmo que eu quisesse alterar todas as minhas senhas (e não deveríamos estar fazendo isso em intervalos regulares ??), como no mundo eu posso alterar tantas senhas de maneira eficiente?

Se eu tiver que visitar cada serviço e site individualmente e alterar o PW manualmente, fica claro que levará um fim de semana de trabalho dedicado ... a segurança da senha é boa e tudo, mas isso não é prático.

Atualização: Acabei de usar o "desafio de segurança" do Lastpass, que informa que tenho 274 sites e uma pontuação de segurança acima de 83%. Vários sites da intranet no trabalho reutilizam o mesmo pw, o que diminui significativamente minha pontuação. Todas as minhas contas na Internet têm uma pontuação acima de 92%.


6
Por favor, leia esta literatura bem antes de mudar todas as senhas: security.stackexchange.com/questions/55283/...
MonkeyZeus

4
Fico feliz que você tenha gostado do meu humor :) mas, com toda a seriedade, não há uma saída fácil. E eu acho que você pode ter perdido o ponto principal do meu link que é esta seção: Alteração de senhas em um site que é / foi vulnerável a heartbleed só é eficaz depois
MonkeyZeus

Fazendo referência a esta pergunta em Segurança da informação : API para alterar senhas?
Unor

1
coisa boa que agora estamos migrando para a conexão baseada em OpenID / OpenAuth. Tudo o que você precisa é apenas alterar a senha do provedor de identidade e o restante está nos sites individuais. Além disso, observe que vale a pena alterar a senha de sites que já atualizaram sua biblioteca OpenSSL; provavelmente um bom número desses 200 sites em que você nunca faz atualizações no sistema, mesmo em face do Heartbleed.
Lie Ryan

2
Parabéns por ser o único usuário que realmente usa senhas diferentes para cada serviço diferente.
JFA #

Respostas:


61

Honestamente, não há. A menos que eles ofereçam uma API na qual você possa gerenciar remotamente suas contas. Escolha e escolha. Quais são a maior prioridade. Banco, por exemplo, você deve mudar. Os fóruns e outros sites de mídia podem ser classificados mais baixos e alterados conforme a necessidade.

PS: Eu também acho que as pessoas estão desproporcionalmente desprezíveis.


1
Os comentários foram eliminados. Superusuário não é um fórum de discussão - os comentários devem ser usados ​​para solicitar esclarecimentos (que devem ser abordados posteriormente na resposta) ou apontar problemas em uma postagem. Se você quiser falar sobre o Heartbleed, o bate-papo com superusuário será o melhor lugar. Obrigado.
slhck

^ @slhck Sugiro que discutam o assunto em uma sala especial para segurança de TI ou algo semelhante, para evitar sobrecarregar a sala comum. Você pode postar um link para a sala adequada?
SMCI

@smci Acredito que nossa sala principal seja realmente adequada para esse tipo de discussão. Geralmente não aplicamos nenhum tópico. A Segurança da Informação também possui uma sala de bate-papo.
slhck

12

Estou curioso para saber que tipo de resposta você espera obter ... Um software que transmite em cascata as alterações de senha em vários protocolos, sites, procedimentos etc.? Vou morder minha língua na minha opinião sobre o custo / benefício de alterar todas essas senhas, considerando que qualquer uma delas pode ser quebrada em um prazo razoável, independentemente de estar comprometida. Em vez disso, recomendo que você colete informações de contato de cada um desses sites e serviços. Em seguida, envie um e-mail para todos eles solicitando a redefinição da senha ou para restabelecer uma nova senha no próximo login. Não vejo nenhum outro atalho aqui.


8
Muitos sites provavelmente enviarão uma resposta dizendo "Se você deseja redefinir sua senha, clique no seguinte link: link de redefinição de senha ".
Nzall # 10/14

11

Como sua pergunta provavelmente não se presta a uma resposta fácil, proponho que você altere as senhas dos sites com base na vulnerabilidade delas (perda de dinheiro, perda de privacidade, perda de reputação etc.)


7

Provavelmente vou:

  • revise a lista de sites que armazenam informações realmente confidenciais
  • altere-os assim que parecer claro que o site está pronto para isso
  • alterar o restante da próxima vez que usar o site ou se o site solicitar / forçar uma alteração.

Isso significa que alguns deles nunca serão alterados, porque eu nunca usarei o site novamente, e essa é a fonte do ganho de eficiência em fazer todos eles agora. De fato, isso pode eventualmente provocar uma limpeza de contas inúteis. No contexto de fazer isso, alterar senhas não é uma operação tão grande.

Eu acho que (embora eu não tenho certeza) que se eu muito raramente usam um site, em seguida, há relativamente pouca chance de minha senha nesse local ter sido comprometido devido à heartbleed. Daí a preferência pelos sites que eu realmente uso.

O principal perigo desse palpite estar errado é que se revela que o coração partido é explorado ativamente há muito tempo. Existem muitas oportunidades de comprometimento de senhas diretamente via heartbleed ou pelo uso de chaves privadas ou credenciais de administrador da heartbleed.

[Editar: está começando a parecer que talvez o coração partido tenha sido explorado pela NSA por quase tanto tempo quanto ele existe. Terá que esperar por mais informações sobre isso, mas, de qualquer forma, não estou tão preocupado com a NSA ter minhas senhas quanto você poderia esperar. Se a NSA deseja minhas senhas, então as possui, o heartbleed é um dos únicos meios pelos quais eles podem adquiri-las. Se eles os tiverem há dois anos, outro mês até encontrar tempo para alterar várias contas de baixo valor não fará diferença.]

O principal perigo de atrasar a alteração da senha é que alguém já pode ter minha senha, mas ou não conseguiu extraí-la dos GB de dados que obteve usando heartbleed, ou ainda não conseguiu utilizá-la ainda. Daí a preferência por sistemas mais sensíveis.


6

É questionável se isso realmente levaria menos trabalho, mas se você for de alguma maneira útil com Javascript, você pode escrever para si mesmo algum tipo de mini-API que (uma vez na página correta) procurou os campos corretos e os alterou para você:

https://stackoverflow.com/questions/257255/generic-way-to-fill-out-a-form-in-javascript

A conclusão disso é que, depois de concluído, você poderá acessar facilmente as alterações futuras. A desvantagem é literalmente tudo o resto.


E então qualquer momento em qualquer desses sites faz qualquer tipo de alteração para a página em questão seu script provavelmente vai quebrar ... :-(
Michael

@ Michael, não necessariamente. Scripts como SuperGenPass fazem exatamente isso e são muito genéricos e muito bem-sucedidos. Na verdade, seria uma ferramenta complementar útil quando eu começar a alterar as senhas do site. Seria uma maneira absolutamente simples de ter senhas longas e exclusivas. Naturalmente, a maioria dos gerenciadores de senhas tem algo parecido com isto, mas não com um clique fácil.
Torben Gundtofte-Bruun

1
A desvantagem parece bastante íngreme quando você colocá-lo dessa forma ...
Raystafarian

@ TorbenGundtofte-Bruun O SuperGenPass parece usar uma técnica que eu fiz manualmente anos atrás, antes de usar um chaveiro: pegaria o nome do site e executaria uma transformação secreta na minha cabeça para criar minha senha. Abruptamente me mordeu quando um site do qual eu comprei coisas foi comprado por um site diferente (alterando assim o nome).
Michael

@ Michael Eu fiz a mesma coisa, parei porque teria um derrame em miniatura toda vez que precisaria redefinir minha senha e escolher uma nova. De qualquer forma, para abordar o que você disse anteriormente: sim, desvantagem muito acentuada e não, eu nunca teria essa a resposta escolhida; Senti que valia a pena sair daqui como uma solução alternativa para qualquer um dos superusuários mais corajosos que se depararam com a questão.
Sandy Gifford

4

Verifique se você pode fazer login com o Google OpenID em alguns sites. Isso pode reduzir o número de senhas que você precisa alterar / gerenciar / usar.

Marque como favorito todas as páginas 'Alterar senha' e abra-as todas em guias juntas (ou talvez em lotes de 50). Crie um script para gerar uma lista de senhas aleatórias e copie e cole-as com uma ferramenta de copiar e colar. Limpe seu sistema depois de fazer isso. Alterar 50 senhas com esse método não levará mais de 10 minutos, o que parece um tempo bastante razoável para uma manutenção semanal.

Com isso, você mudará todas as suas senhas uma vez por mês, investindo 10 min. uma semana.


1
12 segundos por site parece otimista para mim, mesmo abrindo todas as páginas de alteração de senha em guias. Mas o princípio parece correto, provavelmente esta é a maneira mais eficiente de visitar todos os sites e alterar as senhas.
21715 Steve Jobs (

4

Especificamente para o LastPass, uma vez que você mencionou isso, você pode exportar um arquivo ccv e enviar os sites a uma das ferramentas de validação, como a própria LastPass que oferece para determinar quais sites estão prontos para alterar as senhas.

Tenho certeza de que cada um dos fornecedores também está ocupado criando / considerando uma ferramenta para automatizar algo equivalente (por exemplo, um complemento ao Desafio de Segurança da LP).

Cada gerenciador de senhas apresentará um desafio diferente. Por exemplo, o Dashlane não inclui a capacidade de classificar senhas por data de alteração, embora tenha um campo que você pode redefinir com o objetivo de fazer check-out de senhas que foram alteradas ou que você irá ignorar.

Atualização (outubro de 2015) - LastPass e Dashlane (os dois que eu tentei) e alguns outros gerenciadores de senhas agora têm um procedimento / formulário que pode tornar a alteração de senhas em várias centenas de sites tão simples quanto marcar uma caixa (se você confiar na automação; eles até sabem que alguns sites excluem / exigem certos caracteres especiais ou tamanho de mandato). Como alternativa, alguns levam você diretamente para a página de alteração do site por meio de um link, sugerem uma nova senha e registram sua alteração.

Se desejar, abra outro navegador e teste muito rapidamente a nova senha, usando o procedimento de 1 a 3 clique em abrir e autologar / preencher automaticamente para esse site. Basta estar ciente de como e quando a sincronização ocorre.

Achei que isso merecia uma atualização, já que tivemos tantas outras falhas de sites e explorações de redes e roteadores.


1

Se os sistemas permitirem a conexão via telnet ou ssh ou algo semelhante, você poderá criar um script das alterações de senha de maneira relativamente direta. Se as alterações de senha tiverem que ser feitas por meio de uma interface da Web, escrever ferramentas para lidar com as variações provavelmente seria mais trabalhoso do que valeria a pena, mas eu tentaria pelo menos garantir que a nova senha fosse colada a partir de uma senha confiável. fonte, em vez de esperar que eu pudesse digitá-lo com precisão 400 vezes.

Os sistemas de ID federado simplificam um pouco isso, fornecendo um único ponto para alterar a senha de vários sistemas ... mas é claro que você precisa decidir se confia nesses hubs de ID.

NOTA: A alteração regular de senhas NÃO melhora a segurança tanto quanto se acredita. De qualquer forma, isso pode incentivar as pessoas a escolherem senhas inferiores, porque escolher uma nova boa a cada N meses é uma dor de cabeça. Isso só ajuda se você acredita que alguém provavelmente roubou sua senha existente e se essa senha expõe algo de que você se preocupa ou corre o risco de ser aproveitado para a amplificação de direitos.


1

Eu tenho uma proposta que parece viável. Eu nunca tentei me embora.

use AHK (key mouse event recorders ) você faz um lote de alterações de senha e registra a sessão usando o AHK. da próxima vez que você quiser alterar a senha. retire o script AHK e altere apenas a senha. você só precisa reproduzir o script AHK novamente.

Eu mesmo uso passes diferentes para sites diferentes, a menos que todos tenham vazado, não preciso alterá-los de uma só vez.


1

O LastPass ouviu você e postou uma entrada de blog explicando como isso pode ser feito. E o ponto principal é: você precisa fazer isso manualmente, site a site.

Também é importante notar que você deve garantir que os sites foram atualizados antes de alterar sua senha.


0

Você pode tentar usar o utilitário Dashlane , que inclui o recurso Trocador de Senha (é gratuito), que pode alterar dezenas de senhas em um único clique.

Faz o trabalho pesado de substituir senhas antigas por novas fortes e as protege no Dashlane, onde são lembradas e digitadas para você.


Assim como muitos outros gerenciadores de senhas, 3 ou 5 anos após a postagem original em 2014, incluindo o LastPass mencionado na postagem original.
BillR

-2

Crie um Amazon Mechanical Turk.
Faça uma lista de seus sites, nomes de usuário e senhas atuais. Cada HIT distribuirá um ou mais deles. Forneça regras para o que a nova senha deve consistir. Pagando US $ 0,01 por senha. O usuário deve alterar a senha para você e relatar a nova senha. Isso deve mudar suas senhas rapidamente. https://requester.mturk.com/


21
Tem certeza de que é uma boa idéia confiar em estranhos que trabalham para o MTurk para alterar suas senhas?

8
Só posso interpretar isso como uma piada, que na pior das hipóteses deve ocorrer na sessão de comentários.
Quora Feans

1
LOL, por que não pular o intermediário e enviar seu DB do gerente de PW diretamente para a máfia russa (ou algum outro grupo igualmente respeitável). A par dos conselhos que você esperaria receber de um cara vestindo um macacão DOC.
krowe
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.