J'ai beaucoup de comptes en ligne, de services Web, etc., personnels et professionnels, alors évidemment (?), J'utilise un gestionnaire de mots de passe pour tous les gérer. Plus précisément, j'utilise Lastpass mais ma question concerne tout le monde:
Étant donné le problème de Heartbleed et les questions connexes , même si je voulais changer tous mes mots de passe (et ne devrions-nous pas tous le faire à intervalles réguliers?), Comment puis-je changer autant de mots de passe de manière efficace?
Si je dois visiter chaque service et site individuellement et modifier manuellement le mot de passe, il est clair qu'il faudra un week-end de travail dédié ... la sécurité des mots de passe est bonne et tout, mais ce n'est tout simplement pas pratique.
Mise à jour: Je viens d'utiliser le "défi de sécurité" de Lastpass, qui indique que j'ai 274 sites et un score de sécurité supérieur à 83%. Plusieurs sites intranet au travail réutilisent le même logiciel, ce qui abaisse considérablement mon score. Tous mes comptes Internet ont un score supérieur à 92%.
la source
Réponses:
Honnêtement, il n'y en a pas. Pas à moins qu'ils offrent une API où vous pouvez faire la gestion à distance de vos comptes. Prends et choisis. Lesquels sont la plus haute priorité. Banque par exemple, vous devriez changer. Les forums et autres sites médiatiques pourraient être classés plus bas et modifiés en fonction des besoins.
PS: Je pense aussi que les gens extrapolent de manière disproportionnée ce problème.
la source
Je suis curieux de savoir quel genre de réponse vous attendez-vous ... Un logiciel qui gère en cascade les changements de mots de passe sur différents protocoles, sites, procédures, etc.? Je croquerai ma langue à mon opinion sur le rapport coût / bénéfice de la modification de tous ces mots de passe, étant donné que l'un d'entre eux pourrait être craqué dans un délai raisonnable, qu'il soit ou non compromis. Au lieu de cela, je vous recommanderai de recueillir les informations de contact pour chacun de ces sites et services. Envoyez ensuite un e-mail à chacun d'entre eux pour leur demander de réinitialiser votre mot de passe ou de rétablir un nouveau mot de passe lors de la prochaine connexion. Je ne vois pas d'autres raccourcis ici.
la source
Étant donné que votre question ne donne probablement pas une réponse facile, je vous suggère de modifier les mots de passe des sites Web en fonction de leur vulnérabilité (perte d'argent, perte de confidentialité, perte de réputation, etc.).
la source
Je vais probablement:
Cela signifie que certaines d'entre elles ne seront jamais modifiées, car je n'utiliserai plus jamais le site, et c'est la source de gain d'efficacité par rapport à leur utilisation. En fait, cela pourrait éventuellement provoquer un effacement des comptes inutiles. Dans ce contexte, changer les mots de passe n’est pas une grosse opération.
Je pense (bien que je ne sois pas sûr) que si j'utilise très rarement un site, le risque que mon mot de passe sur ce site soit compromis en raison de la sincérité de mon cœur est relativement faible. D'où la préférence pour les sites que j'utilise réellement.
Le principal danger de cette hypothèse erronée réside dans le fait qu’il s'avère que le heartbleed est activement exploité depuis longtemps. Il existe alors de nombreuses possibilités pour que de nombreux mots de passe aient été compromis, soit directement via heartbleed, soit par l'utilisation de clés privées ou de références de l'administrateur provenant de heartbleed.
[Edit: il commence à avoir l’impression que la NSA a peut-être exploité Heartbleed depuis à peu près aussi longtemps qu’il existe. Je devrai attendre plus d'informations à ce sujet, mais dans tous les cas, je ne suis pas aussi préoccupé par le fait que la NSA ait mes mots de passe comme prévu. Si la NSA veut mes mots de passe, elle les a, Heartbleed est l'un des nombreux moyens par lesquels ils pourraient les acquérir. S'ils les ont depuis deux ans, puis un mois avant que je trouve le temps de changer un groupe de comptes de faible valeur ne fera aucune différence.]
Le principal danger de retarder le changement de mot de passe est que quelqu'un peut déjà avoir mon mot de passe, mais soit n'a pas réussi à le sortir du Go de données qu'il a obtenu en utilisant heartbleed, soit n'a pas encore eu le temps de l'utiliser. D'où la préférence pour des systèmes plus sensibles.
la source
Il est douteux que cela prenne moins de travail, mais si vous maîtrisez le langage Javascript, vous pouvez écrire vous-même une sorte de mini-API qui (une fois sur la bonne page) a recherché les champs corrects et les a modifiés pour vous:
https://stackoverflow.com/questions/257255/generic-way-to-fill-out-a-form-in-javascript
Le résultat de ceci est une fois terminé, vous auriez un accès facile à des modifications futures. L'inconvénient est littéralement tout le reste à ce sujet.
la source
Vérifiez si vous pouvez vous connecter avec Google OpenID sur certains sites. Cela pourrait réduire le nombre de mots de passe que vous devez modifier / gérer / utiliser.
Marquez toutes les pages "Modifier le mot de passe" et ouvrez-les toutes ensemble dans des onglets (ou peut-être par lots de 50). Créez un script pour générer une liste de mots de passe aléatoires et copiez-les avec un outil copier-coller. Nettoyez votre système après cela. Changer 50 mots de passe avec cette méthode ne vous prendra pas plus de 10 minutes, ce qui semble un temps assez raisonnable pour un entretien hebdomadaire.
Ce faisant, vous allez changer tous vos mots de passe une fois par mois, en investissant 10 min. une semaine.
la source
En particulier pour LastPass puisque vous avez mentionné cela, vous pouvez exporter un fichier ccv et soumettre les sites à l'un des outils de validation tels que celui proposé par LastPass lui-même pour déterminer quels sites sont même prêts à modifier les mots de passe.
Je suis sûr que chacun des fournisseurs est également occupé à créer / envisager un outil pour automatiser quelque chose d'équivalent (par exemple, un supplément au Security Challenge de LP).
Chaque gestionnaire de mot de passe va présenter un défi différent. Par exemple, Dashlane n'inclut pas la possibilité de trier les mots de passe par date de modification, bien qu'il dispose d'un champ que vous pouvez ré-utiliser pour extraire les mots de passe qui ont été modifiés ou que vous allez ignorer.
Mise à jour (octobre 2015) - LastPass et Dashlane (les deux que j'ai essayés) et certains autres gestionnaires de mots de passe ont maintenant une procédure / formulaire permettant de modifier les mots de passe sur plusieurs centaines de sites aussi simplement que de cocher une case (si vous faites confiance à l'automatisation; ils savent même que certains sites excluent / requièrent certains caractères spéciaux ou durée du mandat). Certains peuvent également vous diriger directement vers la page de modification du site via un lien, vous suggérer un nouveau mot de passe et enregistrer votre modification.
Si vous le souhaitez, ouvrez un autre navigateur et testez très rapidement le nouveau mot de passe en utilisant la procédure d'ouverture à la saisie / déconnexion 1 à 3 de ce site Web. Sachez simplement quand et comment se synchronise.
Je pensais que cela méritait une mise à jour car nous avons eu beaucoup plus de fissures sur les grands sites et d'exploits de réseaux et de routeurs.
la source
Si les systèmes vous permettent de vous connecter via telnet ou ssh ou quelque chose de similaire, vous pouvez programmer les modifications de mot de passe de manière relativement simple. Si les changements de mot de passe doivent être effectués via une interface Web, écrire un outillage pour gérer les variations représenterait probablement plus de travail que nécessaire, mais je voudrais au moins essayer de m'assurer que le nouveau mot de passe a été collé de manière fiable. source plutôt que d’espérer pouvoir la retaper exactement 400 fois.
Les systèmes d'identifiants fédérés simplifient quelque peu cette tâche en fournissant un point unique pour modifier le mot de passe de plusieurs systèmes ... mais vous devez bien sûr décider si vous souhaitez ou non faire confiance à ces concentrateurs d'identifiants.
REMARQUE: La modification régulière des mots de passe n'améliore PAS la sécurité autant qu'on le croit généralement. Au contraire, cela peut encourager les gens à choisir des mots de passe de qualité inférieure, car en choisir un nouveau tous les N mois est pénible. Cela n'aidera que si vous pensez que quelqu'un est raisonnablement susceptible de vous avoir volé votre mot de passe actuel et si ce mot de passe est en train de sortir, expose quelque chose qui vous tient à cœur ou risque d'être utilisé pour amplifier les droits.
la source
J'ai une proposition qui semble faisable. Je n'ai jamais essayé moi-même cependant.
use AHK (key mouse event recorders )
vous effectuez un lot de modifications de mot de passe et vous enregistrez la session à l'aide de AHK. la prochaine fois que vous voulez changer le mot de passe. sortir le script AHK et changer le mot de passe seulement. il vous suffit de rejouer le script AHK.J'utilise moi-même différents laissez-passer pour des sites différents. À moins qu'ils ne soient tous divulgués, je n'ai pas besoin de les changer en même temps.
la source
LastPass vous a entendu et a posté une entrée de blog expliquant comment cela peut être fait. Et le résultat inférieur est: vous devez le faire à la main site par site.
Il est également intéressant de noter que vous devez vous assurer que les sites ont été mis à niveau avant de changer votre mot de passe.
la source
Vous pouvez essayer d'utiliser Dashlane utilitaire qui comprend Password Changer fonction (il est gratuit) qui peut changer des dizaines de mots de passe en un seul clic.
la source
Créez un Amazon Mechanical Turk.
Dressez une liste de vos sites Web, noms d’utilisateur et mots de passe actuels. Chaque HIT donnera un ou plusieurs d'entre eux. Donne des règles sur le contenu du nouveau mot de passe. Payer 0,01 $ par mot de passe. L'utilisateur doit aller changer le mot de passe pour vous et rapporter le nouveau mot de passe. Vos mots de passe devraient être modifiés assez rapidement. https://requester.mturk.com/
la source