سؤال ما هي الطريقة الفعالة لتغيير كلمات مرور حسابي 200+؟


لدي كثير من حسابات الإنترنت ، خدمات الويب ، وما إلى ذلك - الشخصية وكذلك الأعمال - من الواضح جداً (؟) أستخدم مدير كلمات المرور للتعامل معها جميعًا. على وجه التحديد أستخدم Lastpass لكن سؤالي ينطبق على أي وجميع:

نظرا إلى مشكلة Heartbleed والأسئلة ذات الصلة، حتى لو كنت أرغب في تغيير كل كلمات السر الخاصة بي (ولا ينبغي لنا جميعا أن نفعل ذلك على فترات منتظمة؟) ، كيف يمكنني تغيير الكثير من كلمات المرور في العالم؟ بطريقة فعالة؟

إذا اضطررت لزيارة كل خدمة وموقع على حدة وتغيير PW يدويًا ، فمن الواضح أن الأمر سيستغرق نهاية أسبوعًا من العمل المخصص ... أمان كلمة المرور جيد وكل ذلك غير عملي.

تحديث: استخدمت للتو "التحدي الأمني" الخاص بـ Lastpass والذي أفاد بأن لدي 274 موقعًا وأن درجة الأمان تزيد عن 83٪. تقوم العديد من مواقع الإنترانت في العمل بإعادة استخدام نفس pw مما يقلل بدرجة كبيرة من درجتي. جميع حسابات الإنترنت الخاصة بي تحصل على أعلى من 92٪.


85
2018-04-09 19:17


الأصل


يرجى قراءة هذه الأدبيات الجميلة قبل تغيير كل كلمات المرور الخاصة بك: security.stackexchange.com/questions/55283/... - MonkeyZeus
أنا سعيد لأنك استمتعت بروحي ... ولكن بكل جدية لا يوجد مخرج سهل. وأعتقد أنك قد غاب عن النقطة الرئيسية لرابطتي وهو هذا القسم: إن تغيير كلمات المرور على الموقع / الذي كان معرضًا لخطر Heartbleed - لا يعد فعالًا إلا بعد ذلك - MonkeyZeus
الرجوع إلى هذا السؤال على أمن المعلومات: API لتغيير كلمات المرور؟ - unor
شيئًا جيدًا أننا ننتقل الآن إلى OpenID / OpenAuth based signon. كل ما تحتاجه هو تغيير كلمة المرور لموفر الهوية والباقي على مواقع الويب الفردية. لاحظ أيضًا أنه لا يستحق سوى تغيير كلمة المرور للمواقع التي قامت بالفعل بتحديث مكتبة OpenSSL الخاصة بها ؛ ربما عددًا جيدًا من تلك المواقع الـ 200 التي لم تقم أبدًا بتحديثها على نظامهم حتى في مواجهة Heartbleed. - Lie Ryan
تهانينا على كونك المستخدم الوحيد الذي يستخدم كلمات مرور مختلفة بالفعل لكل خدمة مختلفة. - JFA


الأجوبة:


بصراحة ، لا يوجد شيء. ليس ذلك ما لم يقدموا واجهة برمجة التطبيقات حيث يمكنك إجراء إدارة عن بُعد على حساباتك. اختر واختار. أي منها هي الأولوية القصوى. البنك على سبيل المثال يجب عليك تغيير. يمكن تصنيف المنتديات والمواقع الإعلامية الأخرى بدرجة أقل وتغييرها على أساس الحاجة.

ملاحظة: أعتقد أيضا أن الناس يفجرون هذه الطريقة المعيبة من التناسب.


61
2018-04-09 19:31



تم تطهير التعليقات. المستخدم الفائق ليس منتدى مناقشة - يجب استخدام التعليقات لطلب التوضيح (والذي يجب أن يتم تناوله لاحقًا في الإجابة) أو الإشارة إلى المشكلات في المشاركة. إذا كنت تريد التحدث عن Heartbleed ، Super User Chat سيكون أفضل مكان. شكر. - slhck
^slhck أقترح عليهم مناقشة ذلك في غرفة خاصة لأمن تكنولوجيا المعلومات أو مثل ذلك ، لتجنب الغلبة على الغرفة العادية. هل يمكنك نشر رابط إلى غرفة مناسبة؟ - smci
أعتقد أن غرفتنا الرئيسية مناسبة تمامًا لهذا النوع من النقاش. نحن عادة لا نفرض أي مواضيع. أمن المعلومات لديها أيضا غرفة الدردشة. - slhck


أنا أشعر بالفضول حول نوع الإجابة التي تتوقع الحصول عليها ... قطعة من البرامج التي تتغيّر تغييرات كلمة المرور عبر مختلف البروتوكولات والمواقع والإجراءات ، وما إلى ذلك؟ سأعضّ لساني على رأيي بتكلفة / فائدة تغيير كل كلمات المرور هذه ، مع الأخذ بعين الاعتبار أن أيًا منها يمكن أن يتم تصدعه في إطار زمني معقول ، بغض النظر عما إذا كان قد تم اختراقه. بدلاً من ذلك ، سأوصي بجمع معلومات الاتصال لكل من هذه المواقع والخدمات. ثم أرسل رسالة بريد إلكتروني إلى كل منهم تطلب إعادة تعيين كلمة المرور أو إعادة إنشاء كلمة مرور جديدة عند تسجيل الدخول التالي. لا أرى أي اختصارات أخرى هنا.


12
2018-04-09 19:25



من المرجح أن يرسل عدد كبير من المواقع ردًا يفيد بأنه "إذا كنت ترغب في إعادة تعيين كلمة المرور ، فيرجى النقر على الرابط التالي: رابط إعادة تعيين كلمة المرور". - Nzall


بما أن سؤالك ربما لا يناسب الإجابة السهلة ، أقترح عليك تغيير كلمات المرور الخاصة بالمواقع استناداً إلى مدى ضعفهم (فقدان المال ، فقدان الخصوصية ، فقدان السمعة ، وما إلى ذلك)


11
2018-04-10 02:27





ربما سوف:

  • مراجعة قائمة المواقع التي تخزّن معلومات حساسة حقًا
  • تغيير تلك بمجرد يبدو واضحا أن الموقع جاهز لذلك
  • تغيير الباقي في المرة القادمة التي أستخدم فيها الموقع أو إذا كان الموقع يطلب / يفرض التغيير.

وهذا يعني أن بعضها لن يتغير أبدًا ، لأنني لن أستخدم الموقع مرة أخرى ، وهذا هو مصدر مكاسب الكفاءة على القيام بها جميعًا الآن. في الواقع ، قد يؤدي هذا في النهاية إلى توضيح الحسابات غير المجدية. في سياق القيام بذلك ، لا يعد تغيير كلمات المرور عملية كبيرة.

أنا يفكر (على الرغم من أنني لست متأكداً) أنه إذا كنت لا أستخدم موقعًا إلا بشكل متكرر جدًا ، فهناك احتمال ضئيل نسبيًا لأن تكون كلمة المرور الخاصة بي على هذا الموقع قد تعرضت للاختراق نظرًا لضعفها. ومن هنا تفضيل المواقع التي أستخدمها بالفعل.

يتمثل الخطر الرئيسي في كون هذا الخطأ خاطئًا هو أنه إذا تبين أن هذا القدر من الاهتزاز قد تم استغلاله بفعالية لفترة طويلة. ثم هناك الكثير من الفرص لكتل ​​من كلمات المرور التي تم اختراقها إما مباشرة عن طريق ضربات القلب ، أو عن طريق استخدام مفاتيح خاصة أو أوراق اعتماد المسؤول من heartbleed.

[تحرير: لقد بدأ الأمر يبدو وكأنه قد تم استغلاله من قبل وكالة الأمن القومي لمدة طويلة كما كانت موجودة. سيتعين عليك الانتظار للحصول على مزيد من المعلومات حول ذلك ، ولكن على أية حال ، لا أشعر بالقلق من أن NSA لديها كلمات المرور الخاصة بي كما قد تتوقع. إذا كانت وكالة الأمن القومي تريد كلمات السر الخاصة بي ، فستجدها ، وهي واحدة من عدة وسائل يمكن أن تحصل عليها. إذا كان لديهم منهم لمدة عامين ثم شهر آخر حتى أجد الوقت لتغيير مجموعة من الحسابات ذات القيمة المنخفضة لن تحدث فرقا.]

يتمثل الخطر الرئيسي لتأخير تغيير كلمة المرور في أن شخصًا ما قد يكون لديه كلمة المرور الخاصة بي بالفعل ، ولكنه إما لم يحصل على سحبه من جيجابايت من البيانات التي تم الحصول عليها باستخدام ضربات القلب ، أو أنه لم يستطع استخدامها بعد. ومن هنا تفضيل الأنظمة الأكثر حساسية.


7
2018-04-10 18:21





إنه أمر مشكوك فيه إذا كان هذا سيحدث بالفعل أقل العمل ، ولكن إذا كنت جاهزًا على الإطلاق مع Javascript ، فيمكنك كتابة نوع من واجهة برمجة التطبيقات المصغرة (التي كانت على الصفحة الصحيحة) التي تبحث عن الحقول الصحيحة وتغييرها لك:

https://stackoverflow.com/questions/257255/generic-way-to-fill-out-a-form-in-javascript

بمجرد اكتمال هذه النتيجة ، يمكنك الانتقال بسهولة إلى التغييرات المستقبلية. الجانب السلبي هو حرفيا كل شيء عن ذلك.


6
2018-04-10 13:40



ثم في أي وقت أي من هذه المواقع يجعل أي نوع من التغيير إلى الصفحة في السؤال من المرجح كسر البرنامج النصي الخاص بك ... :-( - Michael
@ مايكل ، ليس بالضرورة. مخطوطات مثل SuperGenPass تفعل ذلك فقط وكلاهما عام جدا وناجح جدا. سيكون في الواقع مفيد أداة رفيق بمجرد بدء تغيير كلمات مرور الموقع. قد تكون طريقة سهلة للغاية للحصول على كلمات مرور طويلة وفريدة. Natch ، معظم مديري كلمات المرور لديهم شيء من هذا القبيل ولكن ليس بنقرة واحدة سهلة. - Torben Gundtofte-Bruun
الجانب السلبي يبدو حادًا جدًا عندما تضعه على هذا النحو ... - Raystafarian
@ TorbenGundtofte-Bruun يبدو أن SuperGenPass يستخدم تقنية قمت بها يدويًا منذ سنوات قبل أن يكون لديّ keychain: أود أن آخذ اسم موقع الويب وأجري تحويلاً سريًا في رأسي لإنشاء كلمة المرور الخاصة بي. هذا بت فجأة لي عندما اشترى موقع اشتريت أشياء من قبل موقع مختلف (وبالتالي تغيير اسمها). - Michael
Michael فعلت الشيء نفسه ، توقفت لأنني كنت أعاني من ضربة مصغرة في كل مرة أضطر إلى إعادة تعيين كلمة المرور واختيار واحدة جديدة. على أي حال ، لمخاطبة ما قلته في وقت سابق: نعم ، هبوط حاد للغاية ، ولا ، لن يكون هذا هو الجواب المختار ؛ شعرت أنه كان من الجدير تركها هنا كحل بديل لأي من المستخدمين المميزين الشجعان الذين حدثوا عبر هذا السؤال. - Sandy Gifford


تحقق مما إذا كان بإمكانك تسجيل الدخول باستخدام Google OpenID في بعض المواقع. يمكن أن يقلل ذلك من عدد كلمات المرور التي تحتاجها للتغيير / الإدارة / الاستخدام.

ضع إشارة مرجعية على جميع صفحات "تغيير كلمة المرور" وافتحها كلها في علامات تبويب معًا (أو ربما على دفعات من 50). أنشئ نصًا برمجيًا لإنشاء قائمة بكلمات مرور عشوائية ونسخها ولصقها باستخدام أداة النسخ واللصق. قم بتنظيف النظام الخاص بك بعد القيام بذلك. لن يستغرق تغيير 50 ​​كلمة مرور باستخدام هذه الطريقة أكثر من 10 دقائق ، مما يبدو وقتًا معقولًا للغاية لإجراء صيانة أسبوعية.

عند القيام بذلك ، ستقوم بتغيير كل كلمات المرور الخاصة بك مرة في الشهر ، وتستثمر 10 دقائق. أسبوع.


4
2018-04-10 13:52



12 ثانية لكل موقع يبدو متفائلا بالنسبة لي حتى فتح كل صفحة تغيير كلمة المرور في علامات التبويب. لكن المبدأ يبدو صحيحًا ، وربما تكون هذه هي الطريقة الأكثر فاعلية لزيارة جميع المواقع وتغيير كلمات المرور. - Steve Jessop


بشكل خاص لـ LastPass بما أنك ذكرت ذلك ، يمكنك تصدير ملف ccv وإرسال المواقع إلى أحد أدوات التحقق مثل OnePass نفسه الذي يعرض لتحديد المواقع التي تكون جاهزة حتى لتغيير كلمات المرور.

أنا متأكد من أن كل واحد من البائعين مشغولون أيضًا في إنشاء / وضع أداة لأتمتة شيء مكافئ (على سبيل المثال ، مكمل لتحدي الأمان في LP).

سيقدم كل مدير كلمة المرور تحديًا مختلفًا. على سبيل المثال لا يتضمن Dashlane القدرة على فرز كلمات المرور حسب التاريخ الذي تم تغييره ، على الرغم من أنه يحتوي على حقل يمكنك إعادة تحديده إلى كلمات المرور التي تم تغييرها أو التي ستتجاهلها.

التحديث (أكتوبر 2015) - LastPass و Dashlane (الاثنان اللذين جربتهما) وبعض مديري كلمات المرور الآخرين لديهم الآن إجراء / نموذج يمكن أن يجعل تغيير كلمات المرور في عدة مئات من المواقع بسيطة مثل التحقق من مربع (إذا كنت تثق في الأتمتة ؛ فهم يعرفون حتى أن بعض تستبعد المواقع / تتطلب بعض الأحرف الخاصة أو طول الولاية). بدلاً من ذلك ، ينقلك البعض مباشرة إلى صفحة تغيير الموقع عبر رابط واقتراح كلمة مرور جديدة وتسجيل التغيير.

إذا كنت ترغب في ذلك ، فافتح متصفحًا آخر واختبر سريعًا كلمة المرور الجديدة باستخدام إجراء 1 إلى 3 نقرات مفتوحة و autlogin / autofill لهذا الموقع. فقط كن مدركا لكيفية حدوث المزامنة ومتى.

اعتقدت هذا يستحق تحديثا لأن لدينا الكثير من الشقوق موقع أكبر ومآثر الشبكة والموجه.


4
2018-04-09 23:33





إذا سمحت لك الأنظمة بالاتصال عبر telnet أو ssh أو ما شابه ذلك ، فيمكنك كتابة تغييرات كلمة المرور بطريقة واضحة نسبيًا. إذا كان لابد من إجراء تغييرات كلمة المرور عبر واجهة ويب ، فمن المحتمل أن تكون أدوات الكتابة للتعامل مع الاختلافات أكثر عملاً مما تستحق ، ولكنني على الأقل أحاول التأكد من أنه قد تم لصق كلمة المرور الجديدة من موثوقية المصدر بدلاً من أن أتمكن من إعادة كتابته بدقة 400 مرة.

تبسط أنظمة المعرّف الفيدرالي ذلك إلى حد ما من خلال توفير نقطة واحدة لتغيير كلمة المرور لأنظمة متعددة ... ولكن بالطبع عليك أن تقرر ما إذا كنت تثق في لوحات الوصل تلك.

ملاحظة: تغيير كلمات المرور على أساس منتظم ليس تحسين الأمن بقدر ما يُعتقد عادة.  إذا كان هناك أي شيء ، فقد يشجع الناس على اختيار كلمات المرور الأقل جودة ، لأن اختيار واحد جيد كل شهر من أشهر هو ألم في patootie. يساعد ذلك فقط إذا كنت تعتقد أنه من المحتمل بشكل معقول أن يقوم أحد الأشخاص بسرقة كلمة المرور الحالية الخاصة بك ، وإذا كان خروج كلمة المرور هذه يعرض لك شيئًا يهمك أو قد يكون عرضة لرفع مستوى تضخيم الحقوق.


1
2018-04-11 02:10





لدي اقتراح يبدو مجديًا. أنا لم أحاول الخروج بنفسي

use AHK (key mouse event recorders ) قمت بإجراء دفعة من تغييرات كلمة المرور ، وقم بتسجيل جلسة العمل باستخدام AHK. في المرة القادمة التي تريد تغيير كلمة المرور. اخراج البرنامج النصي AHK وتغيير كلمة المرور فقط. ما عليك سوى تشغيل نص AHK مرة أخرى.

أنا شخصياً استخدم تمريرات مختلفة لمواقع مختلفة ، ما لم يتم تسريبها كلها ، لست بحاجة إلى تغييرها في وقت واحد.


1
2018-04-11 07:32