L'une de mes anciennes adresses e-mail a été impliquée dans la récente divulgation d'une violation des pages blanches ( source:Ai-je été envoyé ).
Je ne me souviens pas sur quels sites Web j'ai utilisé cette adresse e-mail pour l'inscription, mais je voudrais réinitialiser mon mot de passe partout où cela est possible . Les sites Web peuvent inclure: Facebook, Google, Amazon, eBay, Paypal, etc. - essentiellement les N meilleures applications/plates-formes Web couramment utilisées ou sensibles.
Ceci est particulièrement important car je n'utilisais pas de gestionnaire de mots de passe à l'époque et j'ai peut-être réutilisé des mots de passe.
Existe-t-il un moyen existant d'automatiser l'initiation des réinitialisations de mot de passe , principalement en demandant e-mails de réinitialisation de mot de passe, sur les plates-formes courantes avec une seule adresse e-mail à laquelle j'ai accès?
Non, pas vraiment - ils ont tous des processus différents pour vérifier votre identité pour les demandes de réinitialisation de mot de passe, et il n'y a pas de norme pour les réinitialisations de mot de passe en masse. Par exemple, Apple peut utiliser un appareil qui est enregistré sur le compte pour confirmer que c'est vous qui envoyez la demande, tandis que Facebook utilise différents schémas selon que vous changez votre mot de passe à partir d'un appareil où vous vous êtes déjà connecté, ou à partir d'une connexion complètement indépendante.
Le moyen le plus simple consiste probablement à parcourir les sites Web courants (par exemple, parcourir une liste comme https://en.wikipedia.org/wiki/List_of_most_popular_websites , en ignorant ceux que vous n'êtes certainement pas sûr d'appliquer) l'adresse e-mail que vous souhaitez réinitialiser et surveiller les e-mails de réinitialisation. Ce n'est pas parfait, mais si vous changez ceux que vous savez sensibles (par exemple ceux qui ont des détails de carte de crédit associés, ou des comptes de messagerie, ou des systèmes gouvernementaux), ça va - vous savez que ces comptes auront des mots de passe uniques, même si un attaquant peut être en mesure de se connecter à votre compte MySpace abandonné (ou à un autre réseau social défunt) avec un ancien mot de passe.
Il s'agit d'un problème connu sans solution existante. Certains outils de gestion des mots de passe y travaillent, mais il n'est ni complet ni infaillible.
Par exemple: https://helpdesk.lastpass.com/generating-a-password/
La modification automatique du mot de passe modifiera le mot de passe d'un site en un seul clic. Cette fonctionnalité prend actuellement en charge 75 des sites Web les plus populaires. Vous pouvez voir la liste complète des sites Web pris en charge ci-dessous.
En général, cependant, lorsque vous utilisez un gestionnaire de mots de passe pour tous vos comptes, 90% du travail que vous devez effectuer est déjà effectué. Vous savez quels sites utilisent ce nom d'utilisateur/e-mail et vous pouvez éviter de réutiliser les mots de passe en premier lieu (ou savoir quels comptes utilisent un mot de passe partagé).
Une astuce pour vous aider dans votre voyage est que plusieurs sites ont récemment implémenté " RL de changement de mot de passe bien connue ". C'est quelque chose que vous pouvez connecter à n'importe quel site Web (de support) qui redirige vers la page qui vous permet de changer votre mot de passe.
Prenez la page d'accueil du site et ajoutez /.well-known/change-password
jusqu'à la fin. Exemples:
accounts.google.com/.well-known/change-password
-> https://myaccount.google.com/signinoptions/password
github.com/.well-known/change-password
-> https://github.com/settings/admin
Twitter.com/.well-known/change-password
-> https://Twitter.com/settings/password
meta.discourse.org/.well-known/change-password
-> https://meta.discourse.org/my/preferences/account
Une autre solution pour identifier les sites sur lesquels vous avez utilisé votre adresse e-mail consiste à rechercher les mots de passe enregistrés de votre navigateur.
Cela vous permettra de voir tous les sites pour lesquels vous avez enregistré des mots de passe dans votre navigateur, ce qui pourrait vous aider à identifier ceux qui doivent être modifiés.
Évidemment, cela ne fonctionne que si vous utilisez la fonction "enregistrer le mot de passe" du navigateur.
C'est un problème difficile car la première liste de sites Web est si personnelle ... Et ce que vous avez à perdre n'est pas proportionnelle à la popularité du site sur n'importe quel index des sites populaires.
Et vous seul savez où vous pourriez avoir des comptes.
Par exemple, je considère que les sites de jeux sont plus critiques que les sites bancaires. Parce qu'il y a beaucoup moins de contrôles et moins de risques juridiques impliqués dans le piratage MMO comptes de jeu, ils sont donc les chouchous des crackers. D'autre part, si vous fait avec Maplestory, vous pouvez ne pas vous en soucier.
Mais vous n'avez certainement pas besoin de vous soucier de votre compte Eve Online si vous ne l'avez certainement jamais joué. Vous seul savez ce genre de chose.
Si vous pensez que vous avez peut-être utilisé un site dans le passé, pourquoi ne pas simplement essayer votre ancien identifiant?
Ils ne coopéreront pas avec les demandes automatisées à grande échelle de ce type.
Premièrement, le site Web reconnaissant si un e-mail a un compte, permettrait spear phishing. L'escroc reçoit un milliard d'e-mails (assez facile), ils commencent à frapper la réinitialisation du mot de passe du site Web pour savoir "cet e-mail a-t-il un compte ici, ou pas?" Maintenant, ils ont une liste d'un million de courriels qui le font. Maintenant, ils commencent à utiliser le phishing pour les titulaires de comptes connus. Mettez-les sur une newsletter quotidienne où la désinscription nécessite une connexion, ce genre de chose. Il s'agit d'une attaque "plusieurs adresses e-mail contre un seul site". La meilleure défense du site est d'ajouter de la friction au processus de réinitialisation du mot de passe, par ex. un CAPTCHA, ou tout simplement concevoir le processus de réinitialisation du mot de passe afin qu'il ne dise rien au demandeur si un compte existe. C'est encore plus important pour des sites comme Ashley Madison ou Furries où avoir un compte là-bas pourrait être embarrassant.
Deuxièmement, si un pirate parvient à prendre le contrôle d'un e-mail, il peut simplement faire exactement ce que vous essayez de faire - déterminer sur quels sites Web cet e-mail possède un compte. Avec un dossier complet, ils peuvent alors attaquer ces sites ou simplement vendre les informations d'identification pour plus que ce qu'ils pourraient autrement. Il s'agit d'une attaque "e-mail unique contre plusieurs sites". Dans ce cas, le site doit contrôler l'accès ponctuel à la fonction de réinitialisation du mot de passe - quelque chose comme un CAPTCHA est nécessaire. Et l'authentification à 2 facteurs - mais encore une fois, ce 2FA ne doit pas révéler à l'investigateur occasionnel s'il existe un compte ici.
Pour cette raison, je ne vois aucune probabilité que quelqu'un écrive une application pour ce faire. L'écrivain se retrouverait dans une "course aux armements" de piratage avec de nombreuses entreprises essayant d'empêcher son automatisation de fonctionner.