วิธีที่มีประสิทธิภาพในการเปลี่ยนรหัสผ่านบัญชี 200+ ของฉันคืออะไร


87

ฉันมีจำนวนมากของบัญชีออนไลน์บริการเว็บและอื่น ๆ - ส่วนบุคคลรวมทั้งธุรกิจ - เพื่อให้เห็นได้ชัดว่าผมใช้โปรแกรมจัดการรหัสผ่านเพื่อจัดการกับพวกเขาทั้งหมด (?) โดยเฉพาะฉันใช้ Lastpass แต่คำถามของฉันใช้ได้กับทุกคน:

จากปัญหา Heartbleed และคำถามที่เกี่ยวข้องแม้ว่าฉันต้องการเปลี่ยนรหัสผ่านทั้งหมดของฉัน (และเราไม่ควรทำอย่างนั้นเป็นประจำหรือไม่?) ฉันจะเปลี่ยนรหัสผ่านจำนวนมากได้อย่างไรในโลกที่มีประสิทธิภาพ

ถ้าฉันต้องไปเยี่ยมชมแต่ละบริการและแต่ละไซต์และเปลี่ยน PW ด้วยตัวเองมันชัดเจนว่ามันต้องใช้วันหยุดสุดสัปดาห์ในการทำงานโดยเฉพาะ ... ความปลอดภัยของรหัสผ่านนั้นดีและทั้งหมด แต่ก็ไม่ได้ใช้งานได้จริง

อัปเดต: ฉันเพิ่งใช้ "ความท้าทายด้านความปลอดภัย" ของ Lastpass ซึ่งรายงานว่าฉันมีเว็บไซต์ 274 แห่งและมีคะแนนความปลอดภัยมากกว่า 83% ไซต์อินทราเน็ตหลายแห่งที่ทำงานใช้ซ้ำ pw เดียวกันซึ่งลดคะแนนของฉันลงอย่างมาก บัญชีอินเทอร์เน็ตทั้งหมดของฉันมีคะแนนมากกว่า 92%


6
โปรดอ่านวรรณกรรมที่ดีนี้ก่อนที่จะเปลี่ยนรหัสผ่านทั้งหมดของคุณ: security.stackexchange.com/questions/55283/…
MonkeyZeus

4
ฉันดีใจที่คุณสนุกกับอารมณ์ขันของฉัน :) แต่ในความจริงจังทั้งหมดไม่มีทางออกที่ง่าย และฉันคิดว่าคุณอาจพลาดจุดเชื่อมโยงหลักของฉันซึ่งเป็นส่วนนี้: การเปลี่ยนรหัสผ่านในเว็บไซต์ที่ / ถูกเสี่ยงต่อ Heartbleed จะมีผลหลังจาก
MonkeyZeus

การอ้างอิงคำถามนี้เกี่ยวกับความปลอดภัยของข้อมูล : API เพื่อเปลี่ยนรหัสผ่าน?
UNOR

1
สิ่งที่ดีที่ตอนนี้เรากำลังไปสู่การลงชื่อเข้าใช้ OpenID / OpenAuth สิ่งที่คุณต้องการเพียงแค่เปลี่ยนรหัสผ่านสำหรับผู้ให้บริการข้อมูลประจำตัวและที่เหลืออยู่ในเว็บไซต์แต่ละแห่ง นอกจากนี้โปรดทราบว่าควรเปลี่ยนรหัสผ่านสำหรับเว็บไซต์ที่ได้อัปเดตไลบรารี OpenSSL ของตนแล้วเท่านั้น อาจเป็นจำนวน 200 เว็บไซต์ที่ดีที่คุณไม่เคยทำการอัปเดตใด ๆ ในระบบของพวกเขาแม้ในหน้า Heartbleed
โกหกไรอัน

2
ขอแสดงความยินดีกับการเป็นผู้ใช้หนึ่งรายที่ใช้รหัสผ่านที่แตกต่างกันสำหรับแต่ละบริการที่แตกต่างกัน
JFA

คำตอบ:


61

สุจริตไม่มีเลย ไม่เว้นเสียแต่ว่าพวกเขาจะเสนอ API ที่คุณสามารถทำการจัดการระยะไกลในบัญชีของคุณ หยิบและเลือก. อันไหนสำคัญที่สุด ธนาคารเช่นคุณควรเปลี่ยน ฟอรัมและไซต์สื่ออื่น ๆ อาจมีอันดับต่ำกว่าและเปลี่ยนแปลงตามความต้องการ

PS: ฉันยังคิดว่าผู้คนกำลังเป่าหนทางนี้ออกจากสัดส่วน


1
ลบความคิดเห็นแล้ว ผู้ใช้ขั้นสูงไม่ใช่ฟอรัมการสนทนา - ควรใช้ความคิดเห็นเพื่อขอคำชี้แจง (ซึ่งควรได้รับคำตอบในภายหลัง) หรือชี้ประเด็นในโพสต์ หากคุณต้องการพูดคุยเกี่ยวกับ Heartbleed Super User Chatจะเป็นสถานที่ที่ดีที่สุด ขอบคุณ
slhck

^ @slhck ฉันแนะนำให้พวกเขาคุยกันในห้องพิเศษเพื่อความปลอดภัยด้านไอทีหรือเพื่อหลีกเลี่ยงห้องปกติ คุณสามารถโพสต์ลิงค์ไปยังห้องที่เหมาะสมได้หรือไม่?
smci

@smci ฉันเชื่อว่าห้องหลักของเราเหมาะสำหรับการสนทนาแบบนั้น เรามักจะไม่บังคับใช้หัวข้อใด ๆ ความปลอดภัยของข้อมูลยังมีห้องแชท
slhck

12

ฉันอยากรู้ว่าคุณจะได้รับคำตอบแบบไหน ... ซอฟต์แวร์บางส่วนที่ลดหลั่นรหัสผ่านของโปรโตคอลเว็บไซต์ไซต์ขั้นตอน ฯลฯ ฉันจะกัดความคิดเห็นของฉันเกี่ยวกับค่าใช้จ่าย / ผลประโยชน์ของการเปลี่ยนรหัสผ่านเหล่านั้นจริง ๆ การพิจารณาว่าหนึ่งในนั้นสามารถถอดรหัสได้ในกรอบเวลาที่เหมาะสมไม่ว่าพวกเขาจะถูกบุกรุกก็ตาม เราขอแนะนำให้คุณรวบรวมข้อมูลการติดต่อสำหรับแต่ละไซต์และบริการเหล่านี้ จากนั้นส่งอีเมลไปยังพวกเขาทั้งหมดเพื่อขอรีเซ็ตรหัสผ่านของคุณหรือเพื่อสร้างรหัสผ่านใหม่ในการเข้าสู่ระบบครั้งต่อไป ฉันไม่เห็นทางลัดอื่นใดที่นี่


8
เว็บไซต์จำนวนมากน่าจะส่งคำตอบกลับระบุว่า "หากคุณต้องการรีเซ็ตรหัสผ่านของคุณโปรดคลิกที่ลิงค์ต่อไปนี้: ลิงค์รีเซ็ตรหัสผ่าน "
Nzall

11

เนื่องจากคำถามของคุณอาจไม่ได้ให้คำตอบง่ายๆฉันขอเสนอให้คุณเปลี่ยนรหัสผ่านของเว็บไซต์โดยพิจารณาจากความเสี่ยงที่ทำให้คุณสูญเสีย (การสูญเสียเงินการสูญเสียความเป็นส่วนตัวการสูญเสียชื่อเสียง ฯลฯ )


7

ฉันอาจจะ:

  • ตรวจสอบรายการสำหรับเว็บไซต์ที่เก็บข้อมูลที่ละเอียดอ่อนอย่างแท้จริง
  • เปลี่ยนสิ่งเหล่านั้นทันทีที่เห็นได้ชัดว่าไซต์พร้อมสำหรับสิ่งนั้น
  • เปลี่ยนส่วนที่เหลือในครั้งต่อไปที่ฉันใช้ไซต์หรือถ้าไซต์ร้องขอ / บังคับให้มีการเปลี่ยนแปลง

นี่หมายความว่าบางส่วนของพวกเขาจะไม่เปลี่ยนแปลงเพราะฉันจะไม่ใช้เว็บไซต์อีกครั้งและนั่นคือแหล่งที่มาของประสิทธิภาพที่ได้มาจากการทำทั้งหมดในตอนนี้ อันที่จริงแล้วสิ่งนี้อาจกระตุ้นบัญชีที่ไม่มีจุดหมายอย่างชัดเจน ในบริบทของการทำเช่นนั้นการเปลี่ยนรหัสผ่านไม่ใช่เรื่องใหญ่อะไร

ฉันคิดว่า (แม้ว่าฉันจะไม่แน่ใจ) ว่าถ้าฉันใช้เว็บไซต์บ่อยครั้งมีโอกาสน้อยมากที่รหัสผ่านของฉันในเว็บไซต์นั้นจะถูกบุกรุกเนื่องจากหัวใจวาย ดังนั้นการตั้งค่าสำหรับเว็บไซต์ที่ฉันใช้จริง

อันตรายหลักของการเดาว่าผิดนั้นคือถ้าปรากฎว่าหัวใจที่ได้รับการใช้ประโยชน์อย่างแข็งขันมาเป็นเวลานาน จากนั้นมีโอกาสมากมายสำหรับรหัสผ่านจำนวนมากที่ถูกบุกรุกโดยตรงผ่านทางฮาร์เบลหรือโดยการใช้คีย์ส่วนตัวหรือข้อมูลประจำตัวของผู้ดูแลระบบจากฮาร์เบิล

[แก้ไข: มันเริ่มจะดูเหมือนว่าอาจมีการ heartbleed ถูกใช้ประโยชน์โดย NSA ประมาณตราบเท่าที่มันมีอยู่ จะต้องรอข้อมูลเพิ่มเติมเกี่ยวกับเรื่องนั้น แต่ในกรณีใด ๆ ฉันไม่ได้เป็นห่วงโดย NSA มีรหัสผ่านของฉันตามที่คุณอาจคาดหวัง หาก NSA ต้องการรหัสผ่านของฉันมันก็มีพวกเขา Heartbleed เป็นหนึ่งในหลายวิธีที่พวกเขาอาจได้รับพวกเขา หากพวกเขามีพวกเขาเป็นเวลาสองปีแล้วอีกหนึ่งเดือนจนกว่าฉันจะหาเวลาเปลี่ยนบัญชีมูลค่าต่ำจำนวนมากจะไม่สร้างความแตกต่าง]

อันตรายหลักของการล่าช้าในการเปลี่ยนรหัสผ่านคือบางคนอาจมีรหัสผ่านของฉันอยู่แล้ว แต่ก็ยังไม่สามารถดึงข้อมูลออกมาจาก GB ของข้อมูลที่พวกเขาได้รับจากการใช้ฮาร์เล็มได้อย่างอื่น ดังนั้นการตั้งค่าสำหรับระบบที่ละเอียดอ่อนมากขึ้น


6

เป็นเรื่องที่น่าสงสัยว่าจะใช้งานได้จริงน้อยลงหรือไม่แต่ถ้าคุณใช้ Javascript ได้คุณสามารถเขียน mini-API บางตัวที่ครั้งหนึ่งเคยอยู่ในหน้าที่ถูกต้องค้นหาเขตข้อมูลที่ถูกต้องและเปลี่ยนให้คุณ:

https://stackoverflow.com/questions/257255/generic-way-to-fill-out-a-form-in-javascript

ภาพรวมของสิ่งนี้เสร็จสมบูรณ์เมื่อคุณสามารถไปที่การเปลี่ยนแปลงในอนาคตได้อย่างง่ายดาย ข้อเสียคือทุกอย่างเกี่ยวกับมัน


และเมื่อใดก็ตามที่ไซต์เหล่านี้ทำการเปลี่ยนแปลงใด ๆ กับหน้าเว็บที่เป็นปัญหาสคริปต์ของคุณอาจจะหยุด ... :-(
Michael

@Michael ไม่จำเป็นต้อง สคริปต์อย่าง SuperGenPass ทำอย่างนั้นและมีทั้งแบบทั่วไปและประสบความสำเร็จมาก มันจะเป็นเครื่องมือที่มีประโยชน์เมื่อฉันเริ่มเปลี่ยนรหัสผ่านของไซต์ มันจะเป็นวิธีที่ง่ายมากที่จะมีรหัสผ่านที่ยาวและไม่ซ้ำใคร Natch ผู้จัดการรหัสผ่านส่วนใหญ่มีลักษณะเช่นนี้ แต่ไม่ง่ายเพียงคลิกเดียว
Torben Gundtofte-Bruun

1
ข้อเสียดูเหมือนสูงชันสวยเมื่อคุณใส่มันเป็นอย่างนั้น ...
Raystafarian

@ TorbenGundtofte-Bruun SuperGenPass ดูเหมือนจะใช้เทคนิคที่ฉันทำด้วยตนเองเมื่อหลายปีก่อนก่อนที่ฉันจะมีพวงกุญแจ: ฉันจะใช้ชื่อเว็บไซต์และเรียกใช้การแปลงลับในหัวของฉันเพื่อสร้างรหัสผ่านของฉัน สิ่งนี้ทำให้ฉันรำคาญใจทันทีเมื่อเว็บไซต์ที่ฉันซื้อสิ่งต่าง ๆ ถูกซื้อโดยไซต์อื่น (ดังนั้นจึงเปลี่ยนชื่อ)
ไมเคิล

@Michael ฉันทำสิ่งเดียวกันฉันหยุดเพราะฉันมีจังหวะเล็ก ๆ ทุกครั้งที่ฉันต้องรีเซ็ตรหัสผ่านและเลือกใหม่ อย่างไรก็ตามเพื่อพูดถึงสิ่งที่คุณพูดไปก่อนหน้านี้: ใช่ข้อเสียที่สูงชันที่สุดและไม่ฉันไม่เคยได้คำตอบนี้มาก่อน ฉันรู้สึกว่ามันคุ้มค่าที่จะออกจากที่นี่เป็นทางเลือกสำหรับผู้ใช้ระดับสูงที่กล้าหาญที่เกิดขึ้นกับคำถาม
Sandy Gifford

4

ตรวจสอบว่าคุณสามารถเข้าสู่ระบบด้วย Google OpenID ในบางเว็บไซต์ ซึ่งสามารถลดจำนวนรหัสผ่านที่คุณต้องการเปลี่ยน / จัดการ / ใช้งานได้

บุ๊กมาร์กหน้า 'เปลี่ยนรหัสผ่าน' ทั้งหมดและเปิดทั้งหมดในแท็บด้วยกัน (หรืออาจเป็นชุดละ 50) สร้างสคริปต์สำหรับสร้างรายการรหัสผ่านแบบสุ่มและคัดลอกวางด้วยเครื่องมือคัดลอกและวาง ทำความสะอาดระบบของคุณหลังจากทำเช่นนี้ การเปลี่ยนรหัสผ่าน 50 รหัสด้วยวิธีนี้จะใช้เวลาไม่เกิน 10 นาทีซึ่งน่าจะเป็นเวลาที่เหมาะสมสำหรับการบำรุงรักษารายสัปดาห์

การทำเช่นนี้คุณจะเปลี่ยนรหัสผ่านทั้งหมดของคุณเดือนละครั้งลงทุน 10 นาที สัปดาห์.


1
12 วินาทีต่อไซต์ฟังดูดีสำหรับฉันแม้จะเปิดทุกหน้าเปลี่ยนรหัสผ่านในแท็บ แต่หลักการดูเหมือนถูกต้องนี่อาจเป็นวิธีที่มีประสิทธิภาพที่สุดในการเยี่ยมชมเว็บไซต์ทั้งหมดและเปลี่ยนรหัสผ่าน
Steve Jessop

4

โดยเฉพาะอย่างยิ่งสำหรับ LastPass เนื่องจากคุณกล่าวถึงว่าคุณสามารถส่งออกไฟล์ ccv และส่งเว็บไซต์ไปยังหนึ่งในเครื่องมือตรวจสอบความถูกต้องเช่น LastPass ตัวหนึ่งเสนอตัวเพื่อกำหนดว่าไซต์ใดพร้อมที่จะเปลี่ยนรหัสผ่าน

ฉันแน่ใจว่าผู้ขายแต่ละรายกำลังยุ่งอยู่กับการสร้าง / พิจารณาเครื่องมือในการทำสิ่งที่เทียบเท่าโดยอัตโนมัติ (เช่นส่วนเสริมของ Security Challenge ของ LP)

ผู้จัดการรหัสผ่านแต่ละคนกำลังจะนำเสนอความท้าทายที่แตกต่างกัน ตัวอย่างเช่น Dashlane ไม่ได้รวมความสามารถในการเรียงลำดับรหัสผ่านตามวันที่เปลี่ยนแปลงแม้ว่าจะมีเขตข้อมูลที่คุณสามารถกำหนดวัตถุประสงค์เพื่อตรวจสอบรหัสผ่านใหม่ที่มีการเปลี่ยนแปลงหรือคุณจะเพิกเฉย

อัปเดต (ต.ค. 2558) - LastPass และ Dashlane (ทั้งสองลอง) และตอนนี้ผู้จัดการรหัสผ่านอื่น ๆ มีขั้นตอน / แบบฟอร์มที่สามารถเปลี่ยนรหัสผ่านในหลายร้อยเว็บไซต์ได้ง่ายเหมือนทำเครื่องหมายที่ช่อง (ถ้าคุณเชื่อถือระบบอัตโนมัติ; พวกเขายังรู้ว่าบางเว็บไซต์ยกเว้น / ต้องการอักขระพิเศษบางอย่างหรือความยาวอาณัติ) อีกวิธีหนึ่งคือบางส่วนนำคุณไปสู่หน้าการเปลี่ยนแปลงไซต์โดยตรงผ่านลิงก์แนะนำรหัสผ่านใหม่และบันทึกการเปลี่ยนแปลงของคุณ

หากคุณต้องการให้เปิดเบราว์เซอร์อื่นและทดสอบรหัสผ่านใหม่อย่างรวดเร็วโดยใช้ 1 ถึง 3 คลิกขั้นตอนแบบเปิดและอัตโนมัติ / ป้อนอัตโนมัติสำหรับเว็บไซต์นั้น เพียงรับรู้ถึงวิธีการและเวลาที่เกิดการซิงค์

ฉันคิดว่านี่สมควรได้รับการอัปเดตเนื่องจากเรามีไซต์รอยแตกขนาดใหญ่จำนวนมากรวมถึงการหาช่องโหว่ของเครือข่ายและเราเตอร์


1

หากระบบให้คุณเชื่อมต่อผ่าน telnet หรือ ssh หรือสิ่งที่คล้ายกันคุณสามารถสคริปต์การเปลี่ยนแปลงรหัสผ่านในลักษณะที่ค่อนข้างตรงไปตรงมา หากการเปลี่ยนแปลงรหัสผ่านต้องทำผ่านเว็บอินเตอร์เฟสการเขียนเครื่องมือเพื่อจัดการกับรูปแบบอาจจะทำงานได้มากกว่าที่ควรจะเป็น แต่อย่างน้อยฉันก็พยายามทำให้แน่ใจว่ารหัสผ่านใหม่นั้นถูกวางไว้จากที่เชื่อถือได้ แหล่งข้อมูลแทนที่จะหวังว่าฉันจะพิมพ์ซ้ำได้ 400 ครั้ง

ระบบ ID แบบรวมลดความซับซ้อนนี้โดยให้จุดเดียวในการเปลี่ยนรหัสผ่านสำหรับหลายระบบ ... แต่แน่นอนคุณต้องตัดสินใจว่าคุณเชื่อถือฮับ ID เหล่านั้นหรือไม่

หมายเหตุ: การเปลี่ยนรหัสผ่านเป็นประจำไม่ได้ช่วยเพิ่มความปลอดภัยเท่าที่เชื่อกันโดยทั่วไป หากมีสิ่งใดมันอาจกระตุ้นให้คนเลือกรหัสผ่านที่ต่ำกว่าเพราะการหยิบสินค้าใหม่ทุก ๆ N เดือนเป็นความเจ็บปวดใน patootie จะช่วยได้ก็ต่อเมื่อคุณเชื่อว่ามีคนน่าจะขโมยรหัสผ่านที่มีอยู่ของคุณอย่างสมเหตุสมผลและถ้ารหัสผ่านนั้นเปิดเผยสิ่งที่คุณสนใจหรือมีความเสี่ยงที่จะถูกใช้ประโยชน์จากการขยายสิทธิ


1

ฉันมีข้อเสนอที่ฟังแล้วเป็นไปได้ ฉันไม่เคยลองด้วยตัวเอง

use AHK (key mouse event recorders ) คุณทำการเปลี่ยนแปลงรหัสผ่านเป็นชุดและบันทึกเซสชันโดยใช้ AHK ครั้งต่อไปที่คุณต้องการเปลี่ยนรหัสผ่าน ใช้สคริปต์ AHK และเปลี่ยนรหัสผ่านเท่านั้น คุณจะต้องเล่นสคริปต์ AHK อีกครั้ง

ตัวฉันเองใช้รหัสผ่านที่แตกต่างกันสำหรับไซต์ที่แตกต่างกันเว้นแต่ว่าพวกเขาจะรั่วไหลออกไปหมดฉันไม่จำเป็นต้องเปลี่ยนพวกเขาในครั้งเดียว


1

LastPass เคยได้ยินคุณและโพสต์รายการบล็อกที่อธิบายถึงวิธีการนี้สามารถทำได้ และบรรทัดล่างคือ: คุณต้องทำด้วยมือโดยเว็บไซต์

นอกจากนี้ยังมีข้อสังเกตว่าคุณควรตรวจสอบให้แน่ใจว่าเว็บไซต์ได้รับการอัพเกรดก่อนเปลี่ยนรหัสผ่านของคุณ


0

คุณสามารถลองใช้ยูทิลิตี้Dashlaneซึ่งมีคุณสมบัติเปลี่ยนรหัสผ่าน (ฟรี) ซึ่งสามารถเปลี่ยนรหัสผ่านหลายสิบรายการในคลิกเดียว

มันเป็นการยกระดับอย่างหนักของการเปลี่ยนรหัสผ่านเก่าด้วยรหัสใหม่ที่แข็งแกร่งและรักษาความปลอดภัยใน Dashlane ที่พวกเขาจดจำและพิมพ์ให้กับคุณ


เช่นเดียวกับผู้จัดการรหัสผ่านอื่น ๆ อีกมากมาย 3 หรือ 5 ปีหลังจากโพสต์ต้นฉบับในปี 2014 รวมถึง LastPass ที่กล่าวถึงในโพสต์ต้นฉบับ
BillR

-2

สร้างเติร์กจักรกลของ Amazon
ทำรายการเว็บไซต์ชื่อผู้ใช้และรหัสผ่านปัจจุบันของคุณ แต่ละ HIT จะให้หนึ่งหรือมากกว่านี้ กำหนดกฎสำหรับรหัสผ่านใหม่ที่ต้องประกอบด้วย จ่าย $ 0.01 ต่อรหัสผ่าน ผู้ใช้ต้องไปเปลี่ยนรหัสผ่านสำหรับคุณและรายงานรหัสผ่านใหม่กลับ รหัสผ่านของคุณควรได้รับการเปลี่ยนอย่างรวดเร็ว https://requester.mturk.com/


21
คุณแน่ใจหรือไม่ว่าเป็นความคิดที่ดีที่จะไว้วางใจคนแปลกหน้าที่ทำงานกับ MTurk เพื่อเปลี่ยนรหัสผ่านของคุณ?

8
ฉันสามารถตีความได้ว่าเรื่องนี้เป็นเรื่องตลกซึ่งควรจะอยู่ในเซสชั่นความคิดเห็นในกรณีที่เลวร้ายที่สุด
Quora Feans

1
ฮ่า ๆ ทำไมไม่ข้ามคนกลางและเพียงแค่ส่ง PW manager DB ของคุณไปยังกลุ่มคนรัสเซีย (หรือกลุ่มที่มีชื่อเสียงอื่น ๆ อย่างเท่าเทียมกัน) คุณควรคาดหวังว่าจะได้รับคำแนะนำจากผู้ชายที่สวมชุดหมี DOC
krowe
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.