¿Cuál es una manera eficiente de cambiar mis más de 200 contraseñas de cuenta?

Tengo muchas cuentas en línea, servicios web, etc., tanto personales como comerciales, así que obviamente (?) Uso un administrador de contraseñas para manejarlos a todos. Específicamente uso Lastpass pero mi pregunta se aplica a todos y cada uno:

Dado el problema de Heartbleed y las preguntas relacionadas , incluso si quisiera cambiar todas mis contraseñas (¿y no deberíamos hacerlo todas a intervalos regulares?), ¿Cómo puedo cambiar tantas contraseñas de manera eficiente?

Si tengo que visitar cada servicio y sitio individualmente y cambiar el PW manualmente, está claro que tomará un fin de semana de trabajo dedicado ... la seguridad de la contraseña es buena y todo, pero eso no es práctico.

_{Actualización: acabo de utilizar el "desafío de seguridad" de Lastpass, que informa que tengo 274 sitios y una puntuación de seguridad superior al 83%. Varios sitios de intranet en el trabajo reutilizan el mismo pw, lo que reduce significativamente mi puntaje. Todas mis cuentas de Internet tienen una puntuación superior al 92%.}

Honestamente, no hay ninguno. No, a menos que ofrezcan una API donde pueda realizar la administración remota de sus cuentas. Escoge y elige. ¿Cuáles son la máxima prioridad? Banco, por ejemplo, debe cambiar. Los foros y otros sitios de medios podrían clasificarse más bajos y cambiarse según sea necesario.

PD: También creo que la gente está desbordando esta forma desgarrada.

Tengo curiosidad por saber qué tipo de respuesta espera obtener ... ¿Un software que conecta en cascada los cambios de contraseña en varios protocolos, sitios, procedimientos, etc.? Voy a morderme la lengua en mi opinión sobre el costo / beneficio de cambiar todas esas contraseñas, teniendo en cuenta que cualquiera de ellas podría romperse en un plazo razonable, independientemente de si están comprometidas. En cambio, le recomendaré que recopile información de contacto para cada uno de estos sitios y servicios. Luego envíe un correo electrónico a todos ellos solicitando el restablecimiento de su contraseña o para restablecer una nueva contraseña en el próximo inicio de sesión. No veo ningún otro atajo aquí.

Dado que su pregunta probablemente no se presta a una respuesta fácil, le propondría que cambie las contraseñas de los sitios web en función de cuán vulnerables lo hacen (pérdida de dinero, pérdida de privacidad, pérdida de reputación, etc.)

Yo probablemente:

• revise la lista de sitios que almacenan información verdaderamente confidencial
• cambiarlos tan pronto como parezca claro, el sitio está listo para eso
• cambiar el resto la próxima vez que use el sitio o si el sitio solicita / fuerza un cambio.

Esto significa que algunos de ellos nunca se cambiarán, porque nunca volveré a usar el sitio, y esa es la fuente de la ganancia de eficiencia sobre hacerlos todos ahora. De hecho, esto podría eventualmente provocar una limpieza de cuentas sin sentido. En el contexto de hacerlo, cambiar las contraseñas no es una operación tan grande.

Yo creo (aunque no estoy seguro) que si yo con muy poca frecuencia utilizo un sitio entonces hay relativamente pocas posibilidades de mis datos en ese sitio de haber sido comprometida debido a heartbleed. De ahí la preferencia por los sitios que realmente uso.

El principal peligro de que esa suposición sea incorrecta es si resulta que la hemorragia cardíaca ha sido explotada activamente durante mucho tiempo. Entonces hay muchas oportunidades para que las contraseñas hayan sido comprometidas directamente a través de heartbleed, o mediante el uso de claves privadas o credenciales de administrador de heartbleed.

[Editar: está empezando a parecer que quizás la NSA ha explotado Heartbleed durante el tiempo que ha existido. Tendré que esperar para obtener más información al respecto, pero en cualquier caso, la NSA no me preocupa que tenga mis contraseñas como podría esperar. Si la NSA quiere mis contraseñas, las tiene, heartbleed es uno de los muchos medios por los cuales pueden adquirirlas. Si los han tenido durante dos años, otro mes hasta que encuentre tiempo para cambiar un montón de cuentas de bajo valor no hará la diferencia.]

El principal peligro de retrasar el cambio de contraseña es que alguien ya puede tener mi contraseña, pero o no ha podido sacarla de los GB de datos que obtuvieron usando heartbleed, o de lo contrario aún no ha podido usarla. De ahí la preferencia por sistemas más sensibles.

Es cuestionable si esto realmente tomaría menos trabajo, pero si es útil con Javascript, podría escribir una especie de mini-API que (una vez en la página correcta) buscó los campos correctos y los cambió por usted:

https://stackoverflow.com/questions/257255/generic-way-to-fill-out-a-form-in-javascript

El resultado final de esto es que una vez completado, tendrías un acceso fácil para futuros cambios. La desventaja es, literalmente, todo lo demás al respecto.

Compruebe si puede iniciar sesión con Google OpenID en algunos sitios. Eso podría reducir la cantidad de contraseñas que necesita cambiar / administrar / usar.

Marque todas las páginas de 'Cambiar contraseña' y ábralas todas juntas en pestañas (o tal vez en lotes de 50). Cree un script para generar una lista de contraseñas aleatorias y cópielas y péguelas con una herramienta de copiar y pegar. Limpia tu sistema después de hacer esto. Cambiar 50 contraseñas con este método no le llevará más de 10 minutos, lo que parece un tiempo bastante razonable para un mantenimiento semanal.

Al hacer esto, cambiará todas sus contraseñas una vez al mes, invirtiendo 10 minutos. una semana.

Específicamente para LastPass, ya que mencionó eso, puede exportar un archivo ccv y enviar los sitios a una de las herramientas de validación como la que LastPass ofrece para determinar qué sitios están listos para cambiar las contraseñas.

Estoy seguro de que cada uno de los proveedores también está ocupado creando / considerando una herramienta para automatizar algo equivalente (por ejemplo, un suplemento al desafío de seguridad de LP).

Cada administrador de contraseñas presentará un desafío diferente. Por ejemplo, Dashlane no incluye la capacidad de ordenar las contraseñas por fecha de cambio, aunque tiene un campo que puede cambiar de propósito para verificar las contraseñas que se han cambiado o que va a ignorar.

Actualización (octubre de 2015) : LastPass y Dashlane (los dos que he probado) y algunos otros administradores de contraseñas ahora tienen un procedimiento / formulario que puede hacer que cambiar las contraseñas en varios cientos de sitios sea tan simple como marcar una casilla (si confía en la automatización; incluso saben que algunos sitios excluyen / requieren ciertos caracteres especiales o la longitud del mandato). Alternativamente, algunos lo llevan directamente a la página de cambio del sitio a través de un enlace, sugieren una nueva contraseña y registran su cambio.

Si lo desea, abra otro navegador y pruebe rápidamente la nueva contraseña mediante el procedimiento de 1 a 3 clics de abrir y autoiniciar / autocompletar para ese sitio web. Solo tenga en cuenta cómo y cuándo se produce la sincronización.

Pensé que esto merecía una actualización ya que hemos tenido muchas más grietas de sitios grandes y vulnerabilidades de red y enrutador.

Si los sistemas le permiten conectarse a través de telnet o ssh o algo similar, puede hacer un script para los cambios de contraseña de una manera relativamente sencilla. Si los cambios de contraseña tienen que hacerse a través de una interfaz web, escribir herramientas para lidiar con las variaciones probablemente sería más trabajo de lo que valdría la pena, pero al menos trataría de asegurarme de que la nueva contraseña se haya pegado desde un archivo confiable fuente en lugar de esperar que pudiera volver a escribirlo con precisión 400 veces.

Los sistemas de identificación federada simplifican esto un poco al proporcionar un punto único para cambiar la contraseña de varios sistemas ... pero, por supuesto, debe decidir si confía en esos centros de identificación.

NOTA: Cambiar las contraseñas regularmente NO mejora la seguridad tanto como se cree comúnmente. En todo caso, puede alentar a las personas a elegir contraseñas inferiores, porque elegir una nueva y buena cada N meses es un dolor en la patootie. Solo ayuda si cree que es probable que alguien haya robado su contraseña existente y si esa contraseña se expone expone algo que le interesa o tiene el riesgo de ser aprovechado para la amplificación de derechos.

Tengo una propuesta que parece factible. Sin embargo, nunca lo intento.

use AHK (key mouse event recorders ) realiza un lote de cambios de contraseña y registra la sesión con AHK. la próxima vez que quiera cambiar la contraseña. saque el script AHK y cambie la contraseña solamente. solo necesitas volver a jugar el script AHK.

Yo mismo uso diferentes pases para diferentes sitios, a menos que todos se filtren, no necesito cambiarlos a la vez.

LastPass lo escuchó y publicó una entrada en el blog explicando cómo se puede hacer esto. Y la conclusión es: debe hacerlo a mano sitio por sitio.

También vale la pena señalar que debe asegurarse de que los sitios se hayan actualizado antes de cambiar su contraseña.

Usted puede tratar de utilizar Dashlane utilidad que incluye Contraseña cambiador de función (es gratis) que puede cambiar docenas de contraseñas en un solo clic.

Realiza el trabajo pesado de reemplazar las contraseñas antiguas por otras nuevas y seguras, y las asegura en Dashlane, donde son recordadas y escritas para usted.

Crea un Amazon Mechanical Turk.
Haga una lista de sus sitios web, nombres de usuario y contraseñas actuales. Cada HIT dará uno o más de estos. Dé reglas sobre en qué debe consistir la nueva contraseña. Pagando $ 0.01 por contraseña. El usuario debe cambiar la contraseña por usted e informar la nueva contraseña. Esto debería cambiar sus contraseñas bastante rápido. https://requester.mturk.com/