J'ai beaucoup de comptes en ligne, de services Web, etc., tant personnels que professionnels, donc, évidemment (?), J'utilise un gestionnaire de mots de passe pour tous les gérer. Plus précisément, j'utilise Lastpass mais ma question concerne tout le monde:
Compte tenu du problème Heartbleed et des questions connexes , même si je voulais changer tous mes mots de passe (et ne devrions-nous pas tous le faire à intervalles réguliers?) ), Comment puis-je changer autant de mots de passe de manière efficace?
Si je dois visiter chaque service et site individuellement et modifier manuellement le mot de passe, il est clair qu'il faudra un week-end de travail dédié ... la sécurité des mots de passe est bonne et tout, mais ce n'est tout simplement pas pratique.
Mise à jour: Je viens d'utiliser le "défi de sécurité" de Lastpass, qui indique que j'ai 274 sites et un score de sécurité supérieur à 83%. Plusieurs sites intranet au travail réutilisent le même logiciel, ce qui abaisse considérablement mon score. Tous mes comptes Internet ont un score supérieur à 92%.
Honnêtement, il n'y en a pas. Pas à moins qu'ils offrent une API où vous pouvez faire la gestion à distance de vos comptes. Prends et choisis. Lesquels sont la plus haute priorité. Banque par exemple, vous devriez changer. Les forums et autres sites médiatiques pourraient être classés plus bas et modifiés en fonction des besoins.
PS: Je pense aussi que les gens extrapolent de manière disproportionnée ce problème.
Je suis curieux de savoir quel type de réponse vous souhaitez obtenir ... Un logiciel qui gère en cascade les changements de mots de passe sur différents protocoles, sites, procédures, etc. Je croquerai ma langue à mon opinion sur le rapport coût/bénéfice de la modification de tous ces mots de passe, étant donné que l'un d'entre eux pourrait être craqué dans un délai raisonnable, qu'il soit ou non compromis. Au lieu de cela, je vous recommanderai de collecter les informations de contact pour chacun de ces sites et services. Envoyez ensuite un e-mail à chacun d'entre eux pour leur demander de réinitialiser votre mot de passe ou de rétablir un nouveau mot de passe lors de la prochaine connexion. Je ne vois pas d'autres raccourcis ici.
Puisque votre question ne donne probablement pas une réponse facile, je vous proposerais de modifier les mots de passe des sites Web en fonction de leur vulnérabilité (perte d'argent, perte de confidentialité, perte de réputation, etc.).
Je vais probablement:
Cela signifie que certaines d'entre elles ne seront jamais modifiées, car je n'utiliserai plus jamais le site, et c'est la source de gain d'efficacité par rapport à leur utilisation. En fait, cela pourrait éventuellement provoquer un effacement des comptes inutiles. Dans ce contexte, changer les mots de passe n’est pas une grosse opération.
Je pense (bien que je ne sois pas sûr) que si j'utilise très rarement un site, le risque que mon mot de passe sur ce site soit compromis est relativement faible. à heartbleed. D'où la préférence pour les sites que j'utilise réellement.
Le principal danger de cette hypothèse erronée réside dans le fait qu’il s'avère que le heartbleed est activement exploité depuis longtemps. Il existe alors de nombreuses possibilités pour que de nombreux mots de passe aient été compromis, soit directement via heartbleed, soit par l'utilisation de clés privées ou de références de l'administrateur provenant de heartbleed.
[Edit: cela commence à donner l’impression que le NSA a peut-être été exploité par Heartbleed depuis à peu près aussi longtemps qu’il existe. Je devrai attendre plus d'informations à ce sujet, mais dans tous les cas, je ne suis pas aussi préoccupé par le fait que mon NSA _ ait mes mots de passe comme prévu. Si la NSA veut mes mots de passe, alors elle les a, heartbleed est l'un des nombreux moyens par lesquels ils pourraient les acquérir. S'ils les ont depuis deux ans, puis un mois avant que je trouve le temps de changer un groupe de comptes de faible valeur ne fera aucune différence.]
Le principal danger de retarder le changement de mot de passe est que quelqu'un peut déjà avoir mon mot de passe, mais soit n'a pas réussi à le sortir du Go de données qu'il a obtenu en utilisant heartbleed, soit n'a pas encore eu le temps de l'utiliser. D'où la préférence pour des systèmes plus sensibles.
Il est douteux que cela prenne réellement moins , mais si vous êtes très pratique avec Javascript, vous pouvez écrire vous-même une sorte de mini-API qui (une fois sur la bonne page) ) a recherché les champs corrects et les a modifiés pour vous:
https://stackoverflow.com/questions/257255/generic-way-to-fill-out-a-form-in-javascript
Le résultat de ceci est une fois terminé, vous auriez un accès facile à des modifications futures. L'inconvénient est littéralement tout le reste à ce sujet.
Vérifiez si vous pouvez vous connecter avec Google OpenID sur certains sites. Cela pourrait réduire le nombre de mots de passe que vous devez modifier/gérer/utiliser.
Marquez toutes les pages "Changer le mot de passe" et ouvrez-les toutes ensemble dans des onglets (ou peut-être par lots de 50). Créez un script pour générer une liste de mots de passe aléatoires et copiez-les avec un outil copier-coller. Nettoyez votre système après cela. Changer 50 mots de passe avec cette méthode ne vous prendra pas plus de 10 minutes, ce qui semble un temps assez raisonnable pour un entretien hebdomadaire.
En faisant cela, vous allez changer tous vos mots de passe une fois par mois, en investissant 10 min. une semaine.
En particulier pour LastPass puisque vous avez mentionné cela, vous pouvez exporter un fichier ccv et soumettre les sites à l'un des outils de validation tels que celui proposé par LastPass lui-même pour déterminer quels sites sont même prêts à modifier les mots de passe.
Je suis sûr que chacun des fournisseurs est également occupé à créer/envisager un outil pour automatiser quelque chose d'équivalent (par exemple, un supplément au Security Challenge de LP).
Chaque gestionnaire de mot de passe va présenter un défi différent. Par exemple, Dashlane n'inclut pas la possibilité de trier les mots de passe par date de modification, bien qu'il dispose d'un champ que vous pouvez ré-utiliser pour extraire les mots de passe qui ont été modifiés ou que vous allez ignorer.
Mise à jour (octobre 2015) - LastPass et Dashlane (les deux que j'ai essayés) et certains autres gestionnaires de mots de passe ont maintenant une procédure/formulaire qui peut changer Les mots de passe sur plusieurs centaines de sites sont aussi simples que de cocher une case (si vous faites confiance à l’automatisation; ils savent même que certains sites excluent/requièrent certains caractères spéciaux ou la durée du mandat). Certains peuvent également vous diriger directement vers la page de modification du site via un lien, vous suggérer un nouveau mot de passe et enregistrer votre modification.
Si vous le souhaitez, ouvrez un autre navigateur et testez très rapidement le nouveau mot de passe à l'aide de la procédure d'ouverture d'un clic à un autre pour ce site Web. Sachez simplement quand et comment se synchronise.
Je pensais que cela méritait une mise à jour car nous avons eu beaucoup plus de fissures sur les grands sites et d'exploits de réseaux et de routeurs.
Si les systèmes vous permettent de vous connecter via telnet ou ssh ou quelque chose de similaire, vous pouvez programmer les modifications de mot de passe de manière relativement simple. Si les changements de mot de passe doivent être effectués via une interface Web, écrire un outil pour gérer les variations représenterait plus de travail que nécessaire, mais je voudrais au moins essayer de m'assurer que le nouveau mot de passe a été collé de manière fiable. source plutôt que d’espérer pouvoir la retaper exactement 400 fois.
Les systèmes d'identifiants fédérés simplifient quelque peu cette tâche en fournissant un point unique pour modifier le mot de passe de plusieurs systèmes ... mais vous devez bien sûr décider si vous souhaitez ou non faire confiance à ces concentrateurs d'identifiants.
REMARQUE: La modification régulière des mots de passe n'améliore pas la sécurité _ (_) autant qu'on le croit généralement. Si quoi que ce soit, cela peut encourager les gens à choisir des mots de passe de qualité inférieure, car en choisir un nouveau tous les N mois est pénible. Cela ne sert que si vous pensez que quelqu'un est raisonnablement susceptible de vous avoir volé votre mot de passe actuel et si ce mot de passe est en train de sortir expose quelque chose qui vous tient à cœur ou risque d'être utilisé pour amplifier les droits.
J'ai une proposition qui semble faisable. Je n'ai jamais essayé moi-même cependant.
use AHK (key mouse event recorders )
vous effectuez un lot de modifications de mot de passe et enregistrez la session à l'aide de AHK. la prochaine fois que vous voulez changer le mot de passe. sortir le script AHK et changer le mot de passe seulement. il vous suffit de rejouer le script AHK.
J'utilise moi-même différents laissez-passer pour différents sites. À moins qu'ils ne fassent l'objet d'une fuite, je n'ai pas besoin de les changer en même temps.
LastPass vous a entendu et a posté une entrée de blog expliquant comment cela peut être fait. Et le résultat inférieur est: vous devez le faire à la main site par site.
Il est également intéressant de noter que vous devez vous assurer que les sites ont été mis à niveau avant de changer votre mot de passe.
Vous pouvez essayer d'utiliser l'utilitaire Dashlane qui inclut la fonctionnalité Password Changer (c'est gratuit) qui peut changer des dizaines de mots de passe en un seul clic.
Il permet de remplacer les anciens mots de passe par des nouveaux, et les sécurise dans Dashlane où ils sont mémorisés et dactylographiés pour vous.