Quel est un moyen efficace de changer les 200 mots de passe de mon compte ou plus?

87

J'ai beaucoup de comptes en ligne, de services Web, etc., personnels et professionnels, alors évidemment (?), J'utilise un gestionnaire de mots de passe pour tous les gérer. Plus précisément, j'utilise Lastpass mais ma question concerne tout le monde:

Étant donné le problème de Heartbleed et les questions connexes , même si je voulais changer tous mes mots de passe (et ne devrions-nous pas tous le faire à intervalles réguliers?), Comment puis-je changer autant de mots de passe de manière efficace?

Si je dois visiter chaque service et site individuellement et modifier manuellement le mot de passe, il est clair qu'il faudra un week-end de travail dédié ... la sécurité des mots de passe est bonne et tout, mais ce n'est tout simplement pas pratique.

Mise à jour: Je viens d'utiliser le "défi de sécurité" de Lastpass, qui indique que j'ai 274 sites et un score de sécurité supérieur à 83%. Plusieurs sites intranet au travail réutilisent le même logiciel, ce qui abaisse considérablement mon score. Tous mes comptes Internet ont un score supérieur à 92%.

Torben Gundtofte-Bruun
la source
6
Veuillez lire cette belle littérature avant de changer tous vos mots de passe: security.stackexchange.com/questions/55283/…
MonkeyZeus
4
Je suis heureux que vous ayez apprécié mon humour :) mais, en toute sincérité, il n'y a pas de solution de facilité. Et je pense que vous avez peut-être manqué le point principal de mon lien qui est cette section: Changer les mots de passe sur un site qui est / était vulnérable à Heartbleed n'est efficace qu'après
MonkeyZeus
1
C'est une bonne chose que nous passions maintenant au code d'accès basé sur OpenID / OpenAuth. Tout ce dont vous avez besoin est simplement de changer le mot de passe du fournisseur d'identité et le reste se trouve sur les sites Web individuels. Notez également que cela ne vaut que la peine de changer le mot de passe pour les sites qui ont déjà mis à jour leur bibliothèque OpenSSL; probablement un bon nombre de ces 200 sites Web que vous n’avez jamais mis à jour, même face à Heartbleed.
Lie Ryan
2
Nous vous félicitons d’être le seul utilisateur à utiliser des mots de passe différents pour chaque service.
JFA

Réponses:

61

Honnêtement, il n'y en a pas. Pas à moins qu'ils offrent une API où vous pouvez faire la gestion à distance de vos comptes. Prends et choisis. Lesquels sont la plus haute priorité. Banque par exemple, vous devriez changer. Les forums et autres sites médiatiques pourraient être classés plus bas et modifiés en fonction des besoins.

PS: Je pense aussi que les gens extrapolent de manière disproportionnée ce problème.

Jason
la source
1
Les commentaires ont été purgés. Le super utilisateur n'est pas un forum de discussion - les commentaires doivent être utilisés pour demander des éclaircissements (qui doivent ensuite être abordés dans la réponse) ou signaler des problèmes dans un message. Si vous voulez parler de Heartbleed, le super-utilisateur sera le meilleur endroit. Merci.
Slhck
^ @slhck Je suggère qu'ils discutent dans une salle spéciale pour la sécurité informatique ou similaire, afin d'éviter de surcharger la salle normale. Pouvez-vous poster un lien vers une salle appropriée?
smci
@smci Je crois que notre pièce principale est en fait bien adaptée à ce genre de discussion. Nous n'appliquons généralement aucun sujet. La sécurité de l'information a également un forum de discussion.
Slhck
12

Je suis curieux de savoir quel genre de réponse vous attendez-vous ... Un logiciel qui gère en cascade les changements de mots de passe sur différents protocoles, sites, procédures, etc.? Je croquerai ma langue à mon opinion sur le rapport coût / bénéfice de la modification de tous ces mots de passe, étant donné que l'un d'entre eux pourrait être craqué dans un délai raisonnable, qu'il soit ou non compromis. Au lieu de cela, je vous recommanderai de recueillir les informations de contact pour chacun de ces sites et services. Envoyez ensuite un e-mail à chacun d'entre eux pour leur demander de réinitialiser votre mot de passe ou de rétablir un nouveau mot de passe lors de la prochaine connexion. Je ne vois pas d'autres raccourcis ici.

Wutnaut
la source
8
De nombreux sites Web vont probablement envoyer une réponse indiquant "Si vous souhaitez réinitialiser votre mot de passe, veuillez cliquer sur le lien suivant: lien de réinitialisation du mot de passe ".
Nzall
11

Étant donné que votre question ne donne probablement pas une réponse facile, je vous suggère de modifier les mots de passe des sites Web en fonction de leur vulnérabilité (perte d'argent, perte de confidentialité, perte de réputation, etc.).

Benjamin Wade
la source
7

Je vais probablement:

  • consultez la liste des sites stockant des informations réellement sensibles
  • changer ceux dès qu'il semble clair que le site est prêt pour cela
  • changez le reste la prochaine fois que j'utilise le site ou si le site demande / force un changement.

Cela signifie que certaines d'entre elles ne seront jamais modifiées, car je n'utiliserai plus jamais le site, et c'est la source de gain d'efficacité par rapport à leur utilisation. En fait, cela pourrait éventuellement provoquer un effacement des comptes inutiles. Dans ce contexte, changer les mots de passe n’est pas une grosse opération.

Je pense (bien que je ne sois pas sûr) que si j'utilise très rarement un site, le risque que mon mot de passe sur ce site soit compromis en raison de la sincérité de mon cœur est relativement faible. D'où la préférence pour les sites que j'utilise réellement.

Le principal danger de cette hypothèse erronée réside dans le fait qu’il s'avère que le heartbleed est activement exploité depuis longtemps. Il existe alors de nombreuses possibilités pour que de nombreux mots de passe aient été compromis, soit directement via heartbleed, soit par l'utilisation de clés privées ou de références de l'administrateur provenant de heartbleed.

[Edit: il commence à avoir l’impression que la NSA a peut-être exploité Heartbleed depuis à peu près aussi longtemps qu’il existe. Je devrai attendre plus d'informations à ce sujet, mais dans tous les cas, je ne suis pas aussi préoccupé par le fait que la NSA ait mes mots de passe comme prévu. Si la NSA veut mes mots de passe, elle les a, Heartbleed est l'un des nombreux moyens par lesquels ils pourraient les acquérir. S'ils les ont depuis deux ans, puis un mois avant que je trouve le temps de changer un groupe de comptes de faible valeur ne fera aucune différence.]

Le principal danger de retarder le changement de mot de passe est que quelqu'un peut déjà avoir mon mot de passe, mais soit n'a pas réussi à le sortir du Go de données qu'il a obtenu en utilisant heartbleed, soit n'a pas encore eu le temps de l'utiliser. D'où la préférence pour des systèmes plus sensibles.

Steve Jessop
la source
6

Il est douteux que cela prenne moins de travail, mais si vous maîtrisez le langage Javascript, vous pouvez écrire vous-même une sorte de mini-API qui (une fois sur la bonne page) a recherché les champs corrects et les a modifiés pour vous:

https://stackoverflow.com/questions/257255/generic-way-to-fill-out-a-form-in-javascript

Le résultat de ceci est une fois terminé, vous auriez un accès facile à des modifications futures. L'inconvénient est littéralement tout le reste à ce sujet.

Sandy Gifford
la source
Et ensuite, chaque fois que l'un de ces sites modifie la page en question, votre script risque de ne pas fonctionner correctement ... :-(
Michael
@ Michael, pas nécessairement. Les scripts tels que SuperGenPass font justement cela et sont à la fois très génériques et très réussis. Ce serait en fait un outil d'accompagnement utile une fois que je commencerai à changer les mots de passe des sites. Ce serait un moyen extrêmement simple d'avoir des mots de passe longs et uniques. Natch, la plupart des gestionnaires de mots de passe ont quelque chose comme ça, mais pas en un clic.
Torben Gundtofte-Bruun
1
L'inconvénient semble assez raide quand vous le dites de cette façon ...
Raystafarian
@ TorbenGundtofte-Bruun SuperGenPass semble utiliser une technique que j'avais pratiquée manuellement il y a des années avant de posséder un trousseau: je prendrais le nom du site Web et exécuterais une transformation secrète dans ma tête pour créer mon mot de passe. Cela m’a brusquement mordu quand un site sur lequel j’ai acheté des produits a été acheté par un autre site (changeant ainsi son nom).
Michael
@ Michael j'ai fait la même chose, je me suis arrêté parce que j'aurais un coup miniature chaque fois que je devrais réinitialiser mon mot de passe et en choisir un nouveau. Quoi qu'il en soit, pour répondre à ce que vous avez dit plus tôt: oui, un très mauvais inconvénient, et non, je n'aurais jamais cette réponse choisie; J’ai pensé que cela valait la peine de partir d’ici en tant que solution de rechange pour les plus courageux des super utilisateurs qui ont traversé la question.
Sandy Gifford
4

Vérifiez si vous pouvez vous connecter avec Google OpenID sur certains sites. Cela pourrait réduire le nombre de mots de passe que vous devez modifier / gérer / utiliser.

Marquez toutes les pages "Modifier le mot de passe" et ouvrez-les toutes ensemble dans des onglets (ou peut-être par lots de 50). Créez un script pour générer une liste de mots de passe aléatoires et copiez-les avec un outil copier-coller. Nettoyez votre système après cela. Changer 50 mots de passe avec cette méthode ne vous prendra pas plus de 10 minutes, ce qui semble un temps assez raisonnable pour un entretien hebdomadaire.

Ce faisant, vous allez changer tous vos mots de passe une fois par mois, en investissant 10 min. une semaine.

Quora Feans
la source
1
12 secondes par site me semblent optimistes même en ouvrant chaque page de changement de mot de passe dans des onglets. Mais le principe semble correct, c’est probablement le moyen le plus efficace de visiter tous les sites et de changer les mots de passe.
Steve Jessop
4

En particulier pour LastPass puisque vous avez mentionné cela, vous pouvez exporter un fichier ccv et soumettre les sites à l'un des outils de validation tels que celui proposé par LastPass lui-même pour déterminer quels sites sont même prêts à modifier les mots de passe.

Je suis sûr que chacun des fournisseurs est également occupé à créer / envisager un outil pour automatiser quelque chose d'équivalent (par exemple, un supplément au Security Challenge de LP).

Chaque gestionnaire de mot de passe va présenter un défi différent. Par exemple, Dashlane n'inclut pas la possibilité de trier les mots de passe par date de modification, bien qu'il dispose d'un champ que vous pouvez ré-utiliser pour extraire les mots de passe qui ont été modifiés ou que vous allez ignorer.

Mise à jour (octobre 2015) - LastPass et Dashlane (les deux que j'ai essayés) et certains autres gestionnaires de mots de passe ont maintenant une procédure / formulaire permettant de modifier les mots de passe sur plusieurs centaines de sites aussi simplement que de cocher une case (si vous faites confiance à l'automatisation; ils savent même que certains sites excluent / requièrent certains caractères spéciaux ou durée du mandat). Certains peuvent également vous diriger directement vers la page de modification du site via un lien, vous suggérer un nouveau mot de passe et enregistrer votre modification.

Si vous le souhaitez, ouvrez un autre navigateur et testez très rapidement le nouveau mot de passe en utilisant la procédure d'ouverture à la saisie / déconnexion 1 à 3 de ce site Web. Sachez simplement quand et comment se synchronise.

Je pensais que cela méritait une mise à jour car nous avons eu beaucoup plus de fissures sur les grands sites et d'exploits de réseaux et de routeurs.

BillR
la source
1

Si les systèmes vous permettent de vous connecter via telnet ou ssh ou quelque chose de similaire, vous pouvez programmer les modifications de mot de passe de manière relativement simple. Si les changements de mot de passe doivent être effectués via une interface Web, écrire un outillage pour gérer les variations représenterait probablement plus de travail que nécessaire, mais je voudrais au moins essayer de m'assurer que le nouveau mot de passe a été collé de manière fiable. source plutôt que d’espérer pouvoir la retaper exactement 400 fois.

Les systèmes d'identifiants fédérés simplifient quelque peu cette tâche en fournissant un point unique pour modifier le mot de passe de plusieurs systèmes ... mais vous devez bien sûr décider si vous souhaitez ou non faire confiance à ces concentrateurs d'identifiants.

REMARQUE: La modification régulière des mots de passe n'améliore PAS la sécurité autant qu'on le croit généralement. Au contraire, cela peut encourager les gens à choisir des mots de passe de qualité inférieure, car en choisir un nouveau tous les N mois est pénible. Cela n'aidera que si vous pensez que quelqu'un est raisonnablement susceptible de vous avoir volé votre mot de passe actuel et si ce mot de passe est en train de sortir, expose quelque chose qui vous tient à cœur ou risque d'être utilisé pour amplifier les droits.

Keshlam
la source
1

J'ai une proposition qui semble faisable. Je n'ai jamais essayé moi-même cependant.

use AHK (key mouse event recorders ) vous effectuez un lot de modifications de mot de passe et vous enregistrez la session à l'aide de AHK. la prochaine fois que vous voulez changer le mot de passe. sortir le script AHK et changer le mot de passe seulement. il vous suffit de rejouer le script AHK.

J'utilise moi-même différents laissez-passer pour des sites différents. À moins qu'ils ne soient tous divulgués, je n'ai pas besoin de les changer en même temps.

zignant
la source
1

LastPass vous a entendu et a posté une entrée de blog expliquant comment cela peut être fait. Et le résultat inférieur est: vous devez le faire à la main site par site.

Il est également intéressant de noter que vous devez vous assurer que les sites ont été mis à niveau avant de changer votre mot de passe.

Assylias
la source
0

Vous pouvez essayer d'utiliser Dashlane utilitaire qui comprend Password Changer fonction (il est gratuit) qui peut changer des dizaines de mots de passe en un seul clic.

Il fait le gros du travail de remplacer les anciens mots de passe par des nouveaux, et les sécurise dans Dashlane où ils sont mémorisés et dactylographiés pour vous.

Kenorb
la source
Comme beaucoup d'autres gestionnaires de mot de passe 3 ou 5 ans après le message d'origine en 2014, y compris LastPass mentionné dans le message d'origine.
BillR
-2

Créez un Amazon Mechanical Turk.
Dressez une liste de vos sites Web, noms d’utilisateur et mots de passe actuels. Chaque HIT donnera un ou plusieurs d'entre eux. Donne des règles sur le contenu du nouveau mot de passe. Payer 0,01 $ par mot de passe. L'utilisateur doit aller changer le mot de passe pour vous et rapporter le nouveau mot de passe. Vos mots de passe devraient être modifiés assez rapidement. https://requester.mturk.com/

Christopher Thomas Nicodemus
la source
21
Etes-vous vraiment sûr que c'est une bonne idée de faire confiance à des étrangers travaillant pour MTurk pour changer vos mots de passe?
8
Je peux seulement interpréter cela comme une blague, qui devrait aller dans la session de commentaires dans le pire des cas.
Quora Feans
1
LOL, pourquoi ne pas passer par l’intermédiaire et envoyer votre base de données PW Manager directement à la foule russe (ou à un autre groupe tout aussi réputé). À égalité avec les conseils que vous vous attendriez à recevoir d'un gars portant une combinaison DOC.
Krowe