200以上のアカウントパスワードを変更する効率的な方法は何ですか?


87

私は多くのオンラインアカウント、ウェブサービスなどを持っています-個人だけでなくビジネスも-だから明らかに(?)それらをすべて処理するためにパスワードマネージャーを使用します。特に私はLastpassを使用していますが、私の質問はすべてに当てはまります:

与えられたハートブリードの問題と関連した質問、私はすべての私のパスワードを変更したい場合でも、(私たちはすべての??定期的にそれを行うべきではありません)の世界で、私は非常に多くのパスワードを変更することができますどのように効率的な方法で?

各サービスとサイトに個別にアクセスし、PWを手動で変更する必要がある場合、週末に専用の作業が必要になることは明らかです。パスワードセキュリティは良好であり、すべてが実用的ではありません。

更新:274サイトと83%以上のセキュリティスコアがあることを報告するLastpassの「セキュリティチャレンジ」を使用しました。職場のいくつかのイントラネットサイトは同じpwを再利用するため、スコアが大幅に低下します。すべてのインターネットアカウントのスコアは92%を超えています。


6
すべてのパスワードを変更する前に、この罰金文献をお読みください:security.stackexchange.com/questions/55283/...
MonkeyZeus

4
あなたが私のユーモアを楽しんでくれてうれしいです:)しかし、すべての真剣さに簡単な方法はありません。:そして、私はあなたがこのセクションで私のリンクの主なポイントを見逃しているかもしれないと思う/ハートブリードに脆弱だったされているサイト上のパスワードの変更をした後にのみ有効である
MonkeyZeus


1
OpenID / OpenAuthベースのサインオンに移行しているのは良いことです。必要なのは、IDプロバイダーのパスワードを変更するだけで、残りは個々のWebサイトにあります。また、既にOpenSSLライブラリを更新しているサイトのパスワードを変更するだけの価値があることに注意してください。たぶん、あなたが持っている200のWebサイトのうちかなりの数が、Heartbleedに直面してもシステムを更新することはありません。
ライライアン14

2
異なるサービスごとに異なるパスワードを実際に使用する1人のユーザーであることを祝福します。
JFA

回答:


61

正直、ありません。アカウントでリモート管理を行うことができるAPIを提供している場合を除きます。選んで決める。どれが最高の優先度です。たとえば、銀行は変更する必要があります。フォーラムやその他のメディアサイトは、必要に応じてランクを下げて変更できます。

PS:私はまた、人々がこの心血の道を不均衡に吹いていると思います。


1
コメントは削除されました。スーパーユーザーはディスカッションフォーラムではありません。コメントを使用して、説明(後で回答で対処する必要があります)を求めるか、投稿で問題を指摘する必要があります。Heartbleedについて話したい場合は、スーパーユーザーチャットが最適です。ありがとう。
slhck

^ @slhck通常の部屋を圧倒することを避けるため、ITセキュリティなどの特別な部屋で議論することをお勧めします。適切な部屋へのリンクを投稿できますか?
smci 14

@smciメインルームは実際にそのような議論に適していると思います。通常、トピックを強制しません。情報セキュリティにはチャットルームもあります。
slhck 14

12

私はあなたがどのような答えを期待しているのか興味があります...パスワードの変更をさまざまなプロトコル、サイト、手順などにカスケードするソフトウェアの一部ですか?これらのパスワードのいずれかが、侵害されているかどうかにかかわらず、妥当な時間内にクラックされる可能性があることを考慮して、実際にすべてのパスワードを変更するコスト/利点についての私の意見に舌を噛みます。代わりに、これらの各サイトおよびサービスの連絡先情報を収集することをお勧めします。次に、パスワードのリセットを要求するか、次のログイン時に新しいパスワードを再確立するように、全員に電子メールを送信します。ここには他のショートカットはありません。


8
多くのWebサイトでは、「パスワードをリセットする場合は、次のリンクをクリックしてください:パスワードリセットリンク」という返信が返されます。
Nzall 14

11

あなたの質問はたぶん簡単な答えにはならないので、ウェブサイトのパスワードをあなたが作る脆弱性に基づいて変更することを提案します(お金の損失、プライバシーの損失、評判の損失など)


7

おそらく:

  • 本当に機密情報を保存しているサイトのリストを確認
  • サイトがその準備ができているように見えるとすぐにそれらを変更する
  • 次回サイトを使用するとき、またはサイトが変更を要求/強制する場合、残りを変更します。

これは、それらの一部が変更されないことを意味します。なぜなら、私はこのサイトを再び使用することは決してないからです。実際、これは最終的に無意味なアカウントの整理を引き起こす可能性があります。それを行うという文脈では、パスワードの変更はそれほど大きな操作ではありません。

私が考えて、私は非常に頻度の低いサイトを使用した場合、その後に起因ハートブリードに侵害されるた、そのサイト上で自分のパスワードの比較的少ないチャンスがあることを(私はわからないが)。したがって、実際に使用するサイトの設定。

その推測が間違っている主な危険性は、長い間、ハートブリードが積極的に悪用されていることが判明した場合です。次に、大量のパスワードが、heartbleedを介して直接、またはheartbleedからの秘密鍵または管理者資格情報の使用によって侵害された可能性が十分にあります。

[編集:ハートブリードは、それが存在する限り、NSAによって悪用されているように見え始めています。それについての詳細な情報を待つ必要がありますが、いずれにせよ、私はあなたが期待するかもしれない私のパスワードを持っているNSAについて心配していません。NSAが私のパスワードを必要とする場合は、パスワードがあります。heartbleedは、パスワードを取得するための多くの手段の1つです。彼らが2年間持っていれば、価値の低いアカウントを変更する時間が見つかるまでもう1ヶ月は違いはありません。]

パスワードの変更を遅らせる主な危険性は、誰かがすでに私のパスワードを持っている可能性があることですが、heartbleedを使用して取得したGBのデータからパスワードを引き出すことができないか、まだ使用していないことです。したがって、より繊細なシステムが好まれます。


6

これにより実際に必要な作業が少なくなるかどうかは疑わしいですが、Javascriptを使用すると便利な場合は、(正しいページで)正しいフィールドを探して変更するミニAPIを作成できます。

https://stackoverflow.com/questions/257255/generic-way-to-fill-out-a-form-in-javascript

これが完了すると、将来の変更に簡単にアクセスできるようになります。欠点は、文字通りそれに関する他のすべてです。


そして、これらのサイトのいずれかが問題のページに何らかの変更を加えると、スクリプトが破損する可能性があります... :
マイケル14

@Michael、必ずしもではありません。SuperGenPassのようなスクリプトはまさにそれを行い、非常に汎用的で非常に成功しています。サイトのパスワードを変更し始めると、実際に便利なコンパニオンツールになります。それは長くてユニークなパスワードを持つための非常に簡単な方法でしょう。キャッチ、ほとんどのパスワードマネージャーにはこのようなものがありますが、ワンクリックでは簡単ではありません。
トーベンGundtofte・ブルーン

1
あなたがそのようにそれを置くときの欠点は...かなり険しいようだ
Raystafarian

@ TorbenGundtofte-Bruun SuperGenPassは、キーチェーンを使用する前に数年前に手動で行った手法を使用しているようです。私が物を買ったサイトが別のサイトに買収されたとき、それは突然私を噛みました(それによってその名前を変えました)。
マイケル14

@Michael私は同じことをしました。パスワードをリセットして新しいパスワードを選択する必要があるたびにミニチュアストロークが必要になるため、停止しました。とにかく、あなたが以前に言ったことに対処するために:はい、非常に急なマイナス面、そしていいえ、私はこれが選ばれた答えになることはないでしょう。私は、質問に出くわした勇敢なスーパーユーザーの代替ソリューションとしてここに残す価値があると感じました。
サンディギフォード

4

一部のサイトでGoogle OpenIDを使用してログインできるかどうかを確認してください。これにより、変更/管理/使用する必要があるパスワードの数を減らすことができます。

「パスワードの変更」ページをすべてブックマークし、それらをすべてタブで一緒に(または50個単位で)開きます。ランダムパスワードのリストを生成するスクリプトを作成し、コピーアンドペーストツールを使用してそれらをコピーアンドペーストします。これを行った後、システムをクリーニングします。この方法で50個のパスワードを変更しても、10分以上かかることはありません。これは、毎週のメンテナンスにはかなり妥当な時間のようです。

これを行うと、すべてのパスワードを月に1回変更し、10分を投資します。一週間。


1
サイトごとに12秒あれば、パスワード変更ページをすべてタブで開いても楽観的です。しかし、原則は正しいようです。これはおそらく、すべてのサイトにアクセスしてパスワードを変更する最も効率的な方法です。
スティーブジェソップ14

4

特に、LastPassについては、Ccvファイルをエクスポートし、LastPass自体が提供する検証ツールの1つにサイトを送信して、パスワードを変更する準備ができているサイトを判断できます。

各ベンダーは、同等のものを自動化するツール(LPのセキュリティチャレンジの補足など)の作成/検討にも忙しいでしょう。

各パスワードマネージャーは、異なる課題を提示します。たとえば、Dashlaneには、変更された日付でパスワードを並べ替える機能は含まれていませんが、変更されたパスワードまたは無視するパスワードをチェックオフするために再目的化できるフィールドがあります。

更新(2015年10月) -LastPassとDashlane(私が試した2つ)および他の一部のパスワードマネージャーには、ボックスをチェックするのと同じくらい簡単に数百のサイトでパスワードを変更できる手順/フォームがあります(自動化を信頼する場合);一部のサイトでは、特定の特殊文字を除外または必要とすることや、長さを指定することさえ知っています)。または、リンクを介してサイト変更ページに直接アクセスし、新しいパスワードを提案して、変更を記録する人もいます。

必要に応じて、別のブラウザーを開き、そのWebサイトの1〜3クリックのopen-and-autologin / autofill手順を使用して、新しいパスワードを非常にすばやくテストします。同期がいつどのように発生するかを認識してください。

私たちはより多くの大規模なサイトのクラックやネットワークとルーターの悪用があったため、これは更新に値すると思いました。


1

システムでtelnetやsshなどを使用して接続できる場合、比較的簡単な方法でパスワードの変更をスクリプト化できます。パスワード変更をWebインターフェース経由で行う必要がある場合、バリエーションに対処するためのツールを作成するのはおそらく価値がある以上の作業になりますが、少なくとも新しいパスワードが信頼できるソースを400回正確に再入力できると期待するのではなく。

フェデレーションIDシステムは、複数のシステムのパスワードを変更する単一のポイントを提供することにより、これをいくらか簡素化します...しかし、もちろん、それらのIDハブを信頼するかどうかを決定する必要があります。

注:定期的にパスワードを変更しても、一般に考えられているほどセキュリティは向上しません どちらかといえば、Nか月ごとに新しい良いパスワードを選択することはパトタイにとって苦痛なので、人々は劣ったパスワードを選択することを奨励するかもしれません。誰かが既存のパスワードを盗んだ可能性がかなり高いと信じる場合、およびそのパスワードが流出することで、気になるものが公開されたり、権利の拡大に利用されるリスクがある場合にのみ役立ちます。


1

実行可能な提案があります。私は自分自身を試したことはありません。

use AHK (key mouse event recorders ) パスワード変更のバッチを実行し、AHKを使用してセッションを記録します。次回パスワードを変更したいとき。AHKスクリプトを取り出して、パスワードのみを変更します。AHKスクリプトをもう一度再生するだけです。

私自身はサイトごとに異なるパスを使用しますが、それらがすべて漏洩しない限り、一度に変更する必要はありません。


1

LastPassはあなたの話を聞いて、これを行う方法を説明するブログエントリを投稿しまし。そして要点は、サイトごとに手動で行う必要があるということです。

また、パスワードを変更する前にサイトがアップグレードされていることを確認する必要があることも注目に値します。


0

ワンクリックで数十のパスワードを変更できるパスワードチェンジャー機能(無料)を含むDashlaneユーティリティを使用してみてください。

古いパスワードを強力な新しいパスワードに置き換えるという手間のかかる作業を行い、Dashlaneでそれらを記憶し、ユーザーに代わって入力します。


2014年の最初の投稿から3〜5年後の他の多くのパスワードマネージャーと同様に、最初の投稿で言及したLastPassも含まれます。
BillR

-2

Amazon Mechanical Turkを作成します。
Webサイト、ユーザー名、および現在のパスワードのリストを作成します。各HITはこれらの1つ以上を提供します。新しいパスワードの構成規則を指定します。パスワードごとに0.01ドルを支払う。ユーザーはパスワードを変更して、新しいパスワードを報告する必要があります。これにより、パスワードが非常に迅速に変更されます。 https://requester.mturk.com/


21
MTurkで働いている見知らぬ人があなたのパスワードを変更するのを信頼することは本当に良い考えだと思いますか?

8
私はこれを冗談としか解釈できません。最悪の場合はコメントセッションに行くべきです。
Quora Feans 14

1
LOL、中間者をスキップして、PWマネージャーDBをロシアの暴徒(または他の同様に評判の良いグループ)に直接送ってください。アドバイスと同等に、DOCジャンプスーツを着た男から受け取ることを期待しています。
クロー14
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.