Qual é uma maneira eficiente de alterar minhas mais de 200 senhas de conta?

Eu tenho muitas contas online, serviços da Web e assim por diante - pessoal e comercial - então, obviamente (?) Eu uso um gerenciador de senhas para lidar com todas elas. Especificamente eu uso Lastpass, mas minha pergunta se aplica a todo e qualquer:

Dado o problema do Heartbleed e perguntas relacionadas , mesmo que eu quisesse alterar todas as minhas senhas (e não deveríamos estar fazendo isso em intervalos regulares ??), como no mundo eu posso alterar tantas senhas de maneira eficiente?

Se eu tiver que visitar cada serviço e site individualmente e alterar o PW manualmente, fica claro que levará um fim de semana de trabalho dedicado ... a segurança da senha é boa e tudo, mas isso não é prático.

_{Atualização: Acabei de usar o "desafio de segurança" do Lastpass, que informa que tenho 274 sites e uma pontuação de segurança acima de 83%. Vários sites da intranet no trabalho reutilizam o mesmo pw, o que diminui significativamente minha pontuação. Todas as minhas contas na Internet têm uma pontuação acima de 92%.}

Honestamente, não há. A menos que eles ofereçam uma API na qual você possa gerenciar remotamente suas contas. Escolha e escolha. Quais são a maior prioridade. Banco, por exemplo, você deve mudar. Os fóruns e outros sites de mídia podem ser classificados mais baixos e alterados conforme a necessidade.

PS: Eu também acho que as pessoas estão desproporcionalmente desprezíveis.

Estou curioso para saber que tipo de resposta você espera obter ... Um software que transmite em cascata as alterações de senha em vários protocolos, sites, procedimentos etc.? Vou morder minha língua na minha opinião sobre o custo / benefício de alterar todas essas senhas, considerando que qualquer uma delas pode ser quebrada em um prazo razoável, independentemente de estar comprometida. Em vez disso, recomendo que você colete informações de contato de cada um desses sites e serviços. Em seguida, envie um e-mail para todos eles solicitando a redefinição da senha ou para restabelecer uma nova senha no próximo login. Não vejo nenhum outro atalho aqui.

Como sua pergunta provavelmente não se presta a uma resposta fácil, proponho que você altere as senhas dos sites com base na vulnerabilidade delas (perda de dinheiro, perda de privacidade, perda de reputação etc.)

Provavelmente vou:

• revise a lista de sites que armazenam informações realmente confidenciais
• altere-os assim que parecer claro que o site está pronto para isso
• alterar o restante da próxima vez que usar o site ou se o site solicitar / forçar uma alteração.

Isso significa que alguns deles nunca serão alterados, porque eu nunca usarei o site novamente, e essa é a fonte do ganho de eficiência em fazer todos eles agora. De fato, isso pode eventualmente provocar uma limpeza de contas inúteis. No contexto de fazer isso, alterar senhas não é uma operação tão grande.

Eu acho que (embora eu não tenho certeza) que se eu muito raramente usam um site, em seguida, há relativamente pouca chance de minha senha nesse local ter sido comprometido devido à heartbleed. Daí a preferência pelos sites que eu realmente uso.

O principal perigo desse palpite estar errado é que se revela que o coração partido é explorado ativamente há muito tempo. Existem muitas oportunidades de comprometimento de senhas diretamente via heartbleed ou pelo uso de chaves privadas ou credenciais de administrador da heartbleed.

[Editar: está começando a parecer que talvez o coração partido tenha sido explorado pela NSA por quase tanto tempo quanto ele existe. Terá que esperar por mais informações sobre isso, mas, de qualquer forma, não estou tão preocupado com a NSA ter minhas senhas quanto você poderia esperar. Se a NSA deseja minhas senhas, então as possui, o heartbleed é um dos únicos meios pelos quais eles podem adquiri-las. Se eles os tiverem há dois anos, outro mês até encontrar tempo para alterar várias contas de baixo valor não fará diferença.]

O principal perigo de atrasar a alteração da senha é que alguém já pode ter minha senha, mas ou não conseguiu extraí-la dos GB de dados que obteve usando heartbleed, ou ainda não conseguiu utilizá-la ainda. Daí a preferência por sistemas mais sensíveis.

É questionável se isso realmente levaria menos trabalho, mas se você for de alguma maneira útil com Javascript, você pode escrever para si mesmo algum tipo de mini-API que (uma vez na página correta) procurou os campos corretos e os alterou para você:

https://stackoverflow.com/questions/257255/generic-way-to-fill-out-a-form-in-javascript

A conclusão disso é que, depois de concluído, você poderá acessar facilmente as alterações futuras. A desvantagem é literalmente tudo o resto.

Verifique se você pode fazer login com o Google OpenID em alguns sites. Isso pode reduzir o número de senhas que você precisa alterar / gerenciar / usar.

Marque como favorito todas as páginas 'Alterar senha' e abra-as todas em guias juntas (ou talvez em lotes de 50). Crie um script para gerar uma lista de senhas aleatórias e copie e cole-as com uma ferramenta de copiar e colar. Limpe seu sistema depois de fazer isso. Alterar 50 senhas com esse método não levará mais de 10 minutos, o que parece um tempo bastante razoável para uma manutenção semanal.

Com isso, você mudará todas as suas senhas uma vez por mês, investindo 10 min. uma semana.

Especificamente para o LastPass, uma vez que você mencionou isso, você pode exportar um arquivo ccv e enviar os sites a uma das ferramentas de validação, como a própria LastPass que oferece para determinar quais sites estão prontos para alterar as senhas.

Tenho certeza de que cada um dos fornecedores também está ocupado criando / considerando uma ferramenta para automatizar algo equivalente (por exemplo, um complemento ao Desafio de Segurança da LP).

Cada gerenciador de senhas apresentará um desafio diferente. Por exemplo, o Dashlane não inclui a capacidade de classificar senhas por data de alteração, embora tenha um campo que você pode redefinir com o objetivo de fazer check-out de senhas que foram alteradas ou que você irá ignorar.

Atualização (outubro de 2015) - LastPass e Dashlane (os dois que eu tentei) e alguns outros gerenciadores de senhas agora têm um procedimento / formulário que pode tornar a alteração de senhas em várias centenas de sites tão simples quanto marcar uma caixa (se você confiar na automação; eles até sabem que alguns sites excluem / exigem certos caracteres especiais ou tamanho de mandato). Como alternativa, alguns levam você diretamente para a página de alteração do site por meio de um link, sugerem uma nova senha e registram sua alteração.

Se desejar, abra outro navegador e teste muito rapidamente a nova senha, usando o procedimento de 1 a 3 clique em abrir e autologar / preencher automaticamente para esse site. Basta estar ciente de como e quando a sincronização ocorre.

Achei que isso merecia uma atualização, já que tivemos tantas outras falhas de sites e explorações de redes e roteadores.

Se os sistemas permitirem a conexão via telnet ou ssh ou algo semelhante, você poderá criar um script das alterações de senha de maneira relativamente direta. Se as alterações de senha tiverem que ser feitas por meio de uma interface da Web, escrever ferramentas para lidar com as variações provavelmente seria mais trabalhoso do que valeria a pena, mas eu tentaria pelo menos garantir que a nova senha fosse colada a partir de uma senha confiável. fonte, em vez de esperar que eu pudesse digitá-lo com precisão 400 vezes.

Os sistemas de ID federado simplificam um pouco isso, fornecendo um único ponto para alterar a senha de vários sistemas ... mas é claro que você precisa decidir se confia nesses hubs de ID.

NOTA: A alteração regular de senhas NÃO melhora a segurança tanto quanto se acredita. De qualquer forma, isso pode incentivar as pessoas a escolherem senhas inferiores, porque escolher uma nova boa a cada N meses é uma dor de cabeça. Isso só ajuda se você acredita que alguém provavelmente roubou sua senha existente e se essa senha expõe algo de que você se preocupa ou corre o risco de ser aproveitado para a amplificação de direitos.

Eu tenho uma proposta que parece viável. Eu nunca tentei me embora.

use AHK (key mouse event recorders ) você faz um lote de alterações de senha e registra a sessão usando o AHK. da próxima vez que você quiser alterar a senha. retire o script AHK e altere apenas a senha. você só precisa reproduzir o script AHK novamente.

Eu mesmo uso passes diferentes para sites diferentes, a menos que todos tenham vazado, não preciso alterá-los de uma só vez.

O LastPass ouviu você e postou uma entrada de blog explicando como isso pode ser feito. E o ponto principal é: você precisa fazer isso manualmente, site a site.

Também é importante notar que você deve garantir que os sites foram atualizados antes de alterar sua senha.

Você pode tentar usar o utilitário Dashlane , que inclui o recurso Trocador de Senha (é gratuito), que pode alterar dezenas de senhas em um único clique.

Faz o trabalho pesado de substituir senhas antigas por novas fortes e as protege no Dashlane, onde são lembradas e digitadas para você.

Crie um Amazon Mechanical Turk.
Faça uma lista de seus sites, nomes de usuário e senhas atuais. Cada HIT distribuirá um ou mais deles. Forneça regras para o que a nova senha deve consistir. Pagando US $ 0,01 por senha. O usuário deve alterar a senha para você e relatar a nova senha. Isso deve mudar suas senhas rapidamente. https://requester.mturk.com/