¿Cuál es una manera eficiente de cambiar mis más de 200 contraseñas de cuenta?


87

Tengo muchas cuentas en línea, servicios web, etc., tanto personales como comerciales, así que obviamente (?) Uso un administrador de contraseñas para manejarlos a todos. Específicamente uso Lastpass pero mi pregunta se aplica a todos y cada uno:

Dado el problema de Heartbleed y las preguntas relacionadas , incluso si quisiera cambiar todas mis contraseñas (¿y no deberíamos hacerlo todas a intervalos regulares?), ¿Cómo puedo cambiar tantas contraseñas de manera eficiente?

Si tengo que visitar cada servicio y sitio individualmente y cambiar el PW manualmente, está claro que tomará un fin de semana de trabajo dedicado ... la seguridad de la contraseña es buena y todo, pero eso no es práctico.

Actualización: acabo de utilizar el "desafío de seguridad" de Lastpass, que informa que tengo 274 sitios y una puntuación de seguridad superior al 83%. Varios sitios de intranet en el trabajo reutilizan el mismo pw, lo que reduce significativamente mi puntaje. Todas mis cuentas de Internet tienen una puntuación superior al 92%.


66
Lea esta excelente literatura antes de cambiar todas sus contraseñas: security.stackexchange.com/questions/55283/…
MonkeyZeus

44
Me alegra que hayas disfrutado mi humor :) pero en serio no hay una salida fácil. Y creo que puede haber perdido el punto principal de mi enlace que es esta sección: Cambio de contraseñas en un sitio que es / era vulnerable a heartbleed sólo es efectivo después
MonkeyZeus

Haciendo referencia a esta pregunta sobre Seguridad de la información : ¿ API para cambiar las contraseñas?
hasta el

1
Lo bueno es que ahora estamos pasando al inicio de sesión basado en OpenID / OpenAuth. Todo lo que necesita es cambiar la contraseña del proveedor de identidad y el resto está en los sitios web individuales. Además, tenga en cuenta que solo vale la pena cambiar la contraseña de los sitios que ya han actualizado su biblioteca OpenSSL; Probablemente un buen número de esos 200 sitios web que nunca ha realizado actualizaciones en su sistema, incluso frente a Heartbleed.
Lie Ryan

2
Felicitaciones por ser el único usuario que realmente utiliza contraseñas diferentes para cada servicio diferente.
JFA

Respuestas:


61

Honestamente, no hay ninguno. No, a menos que ofrezcan una API donde pueda realizar la administración remota de sus cuentas. Escoge y elige. ¿Cuáles son la máxima prioridad? Banco, por ejemplo, debe cambiar. Los foros y otros sitios de medios podrían clasificarse más bajos y cambiarse según sea necesario.

PD: También creo que la gente está desbordando esta forma desgarrada.


1
Los comentarios han sido purgados. Superusuario no es un foro de discusión: los comentarios deben usarse para pedir aclaraciones (que luego se abordarán en la respuesta) o señalar problemas en una publicación. Si quieres hablar sobre Heartbleed, Super User Chat sería el mejor lugar. Gracias.
slhck

^ @slhck Sugiero que lo discutan en una sala especial para la seguridad de TI o similar, para evitar abrumar a la sala normal. ¿Puedes publicar un enlace a una habitación adecuada?
smci

@smci Creo que nuestra sala principal es realmente adecuada para ese tipo de discusión. Por lo general, no aplicamos ningún tema. Seguridad de la información también tiene una sala de chat.
slhck

12

Tengo curiosidad por saber qué tipo de respuesta espera obtener ... ¿Un software que conecta en cascada los cambios de contraseña en varios protocolos, sitios, procedimientos, etc.? Voy a morderme la lengua en mi opinión sobre el costo / beneficio de cambiar todas esas contraseñas, teniendo en cuenta que cualquiera de ellas podría romperse en un plazo razonable, independientemente de si están comprometidas. En cambio, le recomendaré que recopile información de contacto para cada uno de estos sitios y servicios. Luego envíe un correo electrónico a todos ellos solicitando el restablecimiento de su contraseña o para restablecer una nueva contraseña en el próximo inicio de sesión. No veo ningún otro atajo aquí.


8
Es probable que muchos sitios web envíen una respuesta indicando "Si desea restablecer su contraseña, haga clic en el siguiente enlace: enlace de restablecimiento de contraseña ".
Nzall

11

Dado que su pregunta probablemente no se presta a una respuesta fácil, le propondría que cambie las contraseñas de los sitios web en función de cuán vulnerables lo hacen (pérdida de dinero, pérdida de privacidad, pérdida de reputación, etc.)


7

Yo probablemente:

  • revise la lista de sitios que almacenan información verdaderamente confidencial
  • cambiarlos tan pronto como parezca claro, el sitio está listo para eso
  • cambiar el resto la próxima vez que use el sitio o si el sitio solicita / fuerza un cambio.

Esto significa que algunos de ellos nunca se cambiarán, porque nunca volveré a usar el sitio, y esa es la fuente de la ganancia de eficiencia sobre hacerlos todos ahora. De hecho, esto podría eventualmente provocar una limpieza de cuentas sin sentido. En el contexto de hacerlo, cambiar las contraseñas no es una operación tan grande.

Yo creo (aunque no estoy seguro) que si yo con muy poca frecuencia utilizo un sitio entonces hay relativamente pocas posibilidades de mis datos en ese sitio de haber sido comprometida debido a heartbleed. De ahí la preferencia por los sitios que realmente uso.

El principal peligro de que esa suposición sea incorrecta es si resulta que la hemorragia cardíaca ha sido explotada activamente durante mucho tiempo. Entonces hay muchas oportunidades para que las contraseñas hayan sido comprometidas directamente a través de heartbleed, o mediante el uso de claves privadas o credenciales de administrador de heartbleed.

[Editar: está empezando a parecer que quizás la NSA ha explotado Heartbleed durante el tiempo que ha existido. Tendré que esperar para obtener más información al respecto, pero en cualquier caso, la NSA no me preocupa que tenga mis contraseñas como podría esperar. Si la NSA quiere mis contraseñas, las tiene, heartbleed es uno de los muchos medios por los cuales pueden adquirirlas. Si los han tenido durante dos años, otro mes hasta que encuentre tiempo para cambiar un montón de cuentas de bajo valor no hará la diferencia.]

El principal peligro de retrasar el cambio de contraseña es que alguien ya puede tener mi contraseña, pero o no ha podido sacarla de los GB de datos que obtuvieron usando heartbleed, o de lo contrario aún no ha podido usarla. De ahí la preferencia por sistemas más sensibles.


6

Es cuestionable si esto realmente tomaría menos trabajo, pero si es útil con Javascript, podría escribir una especie de mini-API que (una vez en la página correcta) buscó los campos correctos y los cambió por usted:

https://stackoverflow.com/questions/257255/generic-way-to-fill-out-a-form-in-javascript

El resultado final de esto es que una vez completado, tendrías un acceso fácil para futuros cambios. La desventaja es, literalmente, todo lo demás al respecto.


Y luego, cada vez que cualquiera de esos sitios realice algún tipo de cambio en la página en cuestión, es probable que su script se rompa ... :-(
Michael

@Michael, no necesariamente. Los scripts como SuperGenPass hacen exactamente eso y son muy genéricos y muy exitosos. En realidad, sería una herramienta complementaria útil una vez que comience a cambiar las contraseñas del sitio. Sería una forma muy simple de tener contraseñas largas y únicas. Natch, la mayoría de los administradores de contraseñas tienen algo como esto pero no es tan fácil con un solo clic.
Torben Gundtofte-Bruun

1
La desventaja parece bastante pronunciada cuando lo pones de esa manera ...
Raystafarian

@ TorbenGundtofte-Bruun SuperGenPass parece usar una técnica que hice manualmente hace años antes de tener un llavero: tomaría el nombre del sitio web y ejecutaría una transformación secreta en mi cabeza para crear mi contraseña. Esto me mordió abruptamente cuando un sitio donde compré cosas fue comprado por un sitio diferente (cambiando así su nombre).
Michael

@Michael Hice lo mismo, me detuve porque tenía un golpe en miniatura cada vez que tenía que restablecer mi contraseña y elegir una nueva. De todos modos, para abordar lo que dijiste antes: sí, una desventaja súper empinada, y no, nunca sería esta la respuesta elegida; Sentí que valía la pena dejarlo aquí como una solución alternativa para cualquiera de los súper usuarios más valientes que se enfrentaron a la pregunta.
Sandy Gifford

4

Compruebe si puede iniciar sesión con Google OpenID en algunos sitios. Eso podría reducir la cantidad de contraseñas que necesita cambiar / administrar / usar.

Marque todas las páginas de 'Cambiar contraseña' y ábralas todas juntas en pestañas (o tal vez en lotes de 50). Cree un script para generar una lista de contraseñas aleatorias y cópielas y péguelas con una herramienta de copiar y pegar. Limpia tu sistema después de hacer esto. Cambiar 50 contraseñas con este método no le llevará más de 10 minutos, lo que parece un tiempo bastante razonable para un mantenimiento semanal.

Al hacer esto, cambiará todas sus contraseñas una vez al mes, invirtiendo 10 minutos. una semana.


1
12 segundos por sitio me suena optimista incluso al abrir cada página de cambio de contraseña en pestañas. Pero el principio parece correcto, esta es probablemente la forma más eficiente de visitar todos los sitios y cambiar las contraseñas.
Steve Jessop

4

Específicamente para LastPass, ya que mencionó eso, puede exportar un archivo ccv y enviar los sitios a una de las herramientas de validación como la que LastPass ofrece para determinar qué sitios están listos para cambiar las contraseñas.

Estoy seguro de que cada uno de los proveedores también está ocupado creando / considerando una herramienta para automatizar algo equivalente (por ejemplo, un suplemento al desafío de seguridad de LP).

Cada administrador de contraseñas presentará un desafío diferente. Por ejemplo, Dashlane no incluye la capacidad de ordenar las contraseñas por fecha de cambio, aunque tiene un campo que puede cambiar de propósito para verificar las contraseñas que se han cambiado o que va a ignorar.

Actualización (octubre de 2015) : LastPass y Dashlane (los dos que he probado) y algunos otros administradores de contraseñas ahora tienen un procedimiento / formulario que puede hacer que cambiar las contraseñas en varios cientos de sitios sea tan simple como marcar una casilla (si confía en la automatización; incluso saben que algunos sitios excluyen / requieren ciertos caracteres especiales o la longitud del mandato). Alternativamente, algunos lo llevan directamente a la página de cambio del sitio a través de un enlace, sugieren una nueva contraseña y registran su cambio.

Si lo desea, abra otro navegador y pruebe rápidamente la nueva contraseña mediante el procedimiento de 1 a 3 clics de abrir y autoiniciar / autocompletar para ese sitio web. Solo tenga en cuenta cómo y cuándo se produce la sincronización.

Pensé que esto merecía una actualización ya que hemos tenido muchas más grietas de sitios grandes y vulnerabilidades de red y enrutador.


1

Si los sistemas le permiten conectarse a través de telnet o ssh o algo similar, puede hacer un script para los cambios de contraseña de una manera relativamente sencilla. Si los cambios de contraseña tienen que hacerse a través de una interfaz web, escribir herramientas para lidiar con las variaciones probablemente sería más trabajo de lo que valdría la pena, pero al menos trataría de asegurarme de que la nueva contraseña se haya pegado desde un archivo confiable fuente en lugar de esperar que pudiera volver a escribirlo con precisión 400 veces.

Los sistemas de identificación federada simplifican esto un poco al proporcionar un punto único para cambiar la contraseña de varios sistemas ... pero, por supuesto, debe decidir si confía en esos centros de identificación.

NOTA: Cambiar las contraseñas regularmente NO mejora la seguridad tanto como se cree comúnmente. En todo caso, puede alentar a las personas a elegir contraseñas inferiores, porque elegir una nueva y buena cada N meses es un dolor en la patootie. Solo ayuda si cree que es probable que alguien haya robado su contraseña existente y si esa contraseña se expone expone algo que le interesa o tiene el riesgo de ser aprovechado para la amplificación de derechos.


1

Tengo una propuesta que parece factible. Sin embargo, nunca lo intento.

use AHK (key mouse event recorders ) realiza un lote de cambios de contraseña y registra la sesión con AHK. la próxima vez que quiera cambiar la contraseña. saque el script AHK y cambie la contraseña solamente. solo necesitas volver a jugar el script AHK.

Yo mismo uso diferentes pases para diferentes sitios, a menos que todos se filtren, no necesito cambiarlos a la vez.


1

LastPass lo escuchó y publicó una entrada en el blog explicando cómo se puede hacer esto. Y la conclusión es: debe hacerlo a mano sitio por sitio.

También vale la pena señalar que debe asegurarse de que los sitios se hayan actualizado antes de cambiar su contraseña.


0

Usted puede tratar de utilizar Dashlane utilidad que incluye Contraseña cambiador de función (es gratis) que puede cambiar docenas de contraseñas en un solo clic.

Realiza el trabajo pesado de reemplazar las contraseñas antiguas por otras nuevas y seguras, y las asegura en Dashlane, donde son recordadas y escritas para usted.


Al igual que muchos otros administradores de contraseñas 3 o 5 años después de la publicación original en 2014, incluido LastPass mencionado en la publicación original.
BillR

-2

Crea un Amazon Mechanical Turk.
Haga una lista de sus sitios web, nombres de usuario y contraseñas actuales. Cada HIT dará uno o más de estos. Dé reglas sobre en qué debe consistir la nueva contraseña. Pagando $ 0.01 por contraseña. El usuario debe cambiar la contraseña por usted e informar la nueva contraseña. Esto debería cambiar sus contraseñas bastante rápido. https://requester.mturk.com/


21
¿Estás realmente seguro de que es una buena idea confiar en extraños que trabajan para MTurk para cambiar tus contraseñas?

8
Solo puedo interpretar esto como una broma, que debería ir en la sesión de comentarios en el peor de los casos.
Quora Feans

1
LOL, ¿por qué no omitir al intermediario y simplemente enviar su DB de administrador de PW directamente a la mafia rusa (o algún otro grupo igualmente respetable). A la par con los consejos que esperarías recibir de un chico que usa un mono DOC.
krowe
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.