私はたくさんのオンラインアカウントやウェブサービスなどを持っていて、個人的にもビジネスにも利用しているので、当然(?)パスワードマネージャーを使っています。具体的には Lastpass を使っていますが、この質問はどのようなものにも当てはまります
Heartbleed問題と関連する質問を考えると、仮にすべてのパスワードを変更したいと思っていたとしても(みんな定期的に変更すべきではないのか?
各サービスやサイトを個別に訪問して手動でPWを変更しなければならないとなると、週末の専用作業が必要になるのは明白ですね・・・パスワードのセキュリティはいいとしても、それだけでは現実的ではありません
更新: Lastpass の「セキュリティチャレンジ」を使ってみたところ、274 のサイトがあり、セキュリティスコアが 83% 以上であることがわかりました。職場のいくつかのイントラネットサイトが同じPWを再利用しているため、スコアが大幅に低下しています。私のインターネットアカウントはすべて92%以上のスコアを出しています
87 Torben Gundtofte-Bruun 2014-04-09
正直言って、何もありません。彼らがAPIを提供しない限り、あなたのアカウントでリモート管理を行うことができます。選択して選択してください。どのものが最優先事項です。例えば銀行は変更する必要があります。フォーラムや他のメディアサイトは下位にランクされ、必要に応じて変更される可能性があります
PS: 私はまた、人々がこの心の傷を大げさに吹き飛ばしていると思います
61 Jason 2014-04-09
どのような答えを期待しているのか興味があります…パスワードの変更を様々なプロトコル、サイト、手順などにカスケードするソフトウェアの一部ですか?実際にそれらすべてのパスワードを変更することのコスト/利点についての私の意見に舌を噛むでしょう、それらのいずれかの1つは、それらが危険にさらされているかどうかに関係なく、合理的な時間枠でクラックされる可能性があることを考慮してください。その代わりに、これらのサイトやサービスの連絡先情報を集めることをお勧めします。そして、それらすべてのサイトにメールを送り、パスワードをリセットするか、次回のログイン時に新しいパスワードを再設定するように要求してください。ここには他のショートカットはありません
12 Wutnaut 2014-04-09
あなたの質問はおそらく簡単な答えにはならないでしょうから、私は、ウェブサイトのパスワードをいかに脆弱にするか(お金の損失、プライバシーの損失、評判の損失など)に基づいて変更することを提案します
11 Benjamin Wade 2014-04-10
たぶんそうするわ
- 本当に機密情報を保存しているサイトのリストを確認してください
- サイトがその準備ができていることが明らかになったら、すぐにそれらを変更してください
- 次回利用時に残りを変更するか、サイトが変更を要求/強制する場合は
ということは、そのうちのいくつかは二度と使わないから変えないということで、それが今全部やるよりも効率化の元になっています。実際、これは最終的には無意味なアカウントの一掃を引き起こすかもしれません。その意味では、パスワードの変更はそれほど大きな作業ではありません
私が思うに、(確信はありませんが)ごく稀にサイトを利用するのであれば、そのサイトのパスワードが heartbleed によって漏洩する可能性は比較的低いと思います。そのため、私は実際に利用するサイトを選ぶことにしています
その推測が間違っている場合の主な危険性は、 heartbleed が長い間積極的に悪用されてきたことが判明した場合です。そうなると、大量のパスワードが heartbleed を介して直接、あるいは秘密鍵や heartbleed の管理者認証情報を使って侵害される可能性は十分にあります
[編集: heartbleedが存在している限り、おそらくNSAに悪用されているように見えてきた。それについての詳細な情報を待たなければならないが、いずれにしても、NSAが私のパスワードを持っていても、あなたが期待しているほど気にしていない。もしNSAが私のパスワードを欲しがっているのであれば、NSAはパスワードを持っている。彼らが2年も持っているのなら、価値の低いアカウントの束を変更する時間を見つけるまで、あと1ヶ月は何も変わらないだろう。]
パスワード変更を遅らせることの主な危険性は、誰かが私のパスワードをすでに持っているかもしれないが、ハートブリードを使って手に入れた1GBのデータからパスワードを取り出すことに手が回らないか、あるいはまだ使っていないかのどちらかである。だからこそ、より機密性の高いシステムを好むのだ
7 Steve Jessop 2014-04-10
これが実際にはより少ない作業で済むかどうかは疑問ですが、もしあなたがJavascriptを使いこなせるのであれば、(正しいページにアクセスしたら)正しいフィールドを検索して変更するミニAPIのようなものを自分で書くことができます
これのアップショットは、一度完了すると、将来の変更のために簡単に行くことができるでしょう。欠点は文字通りそれについての他のすべてです
6 Sandy Gifford 2014-04-10
一部のサイトでGoogle OpenIDでログインできるかどうかを確認してみてください。そうすることで、変更/管理/使用するパスワードの数を減らすことができるかもしれません
すべての「パスワード変更」ページをブックマークに登録して、すべてのページを一緒にタブで開く (あるいは 50 個のバッチで開く)。ランダムなパスワードのリストを生成するスクリプトを作成し、コピーアンドペーストツールを使ってコピーペーストする。これを行った後、システムをクリーンアップしてください。この方法で50個のパスワードを変更しても10分もかかりません
これを行うには、週に10分を投資して、月に一度、すべてのパスワードを変更することになります
4 Quora Feans 2014-04-10
特に LastPass の場合は、ccv ファイルをエクスポートして、LastPass 自身が提供しているような検証ツールにサイトを提出して、どのサイトがパスワードを変更する準備ができているかを判断することができます
各ベンダーも、同等のものを自動化するツール(LPのセキュリティチャレンジの補足など)の作成・検討に追われているのではないでしょうか
それぞれのパスワードマネージャーは、異なる課題を提示しようとしています。例えば、Dashlane には変更された日付でパスワードをソートする機能はありませんが、変更されたパスワードや無視したいパスワードをチェックオフするためのフィールドはあります
更新 (2015年10月) – LastPass と Dashlane (私が試した2つ) と他のいくつかのパスワードマネージャは、数百のサイトのパスワード変更をボックスにチェックを入れるだけで簡単にできる手順/フォームを持っています (自動化を信頼している場合; サイトによっては特定の特殊文字を除外/要求したり、長さを義務づけたりしていることさえ知っている場合もあります)。あるいは、リンクを介してサイトの変更ページに直接アクセスし、新しいパスワードを提案し、変更内容を記録するものもある
もしよろしければ、別のブラウザを開いて、そのウェブサイトの1~3回のクリックで開いて自動ログイン/自動入力の手順を使って、新しいパスワードを素早くテストしてみてください。ただ、いつ、どのように同期が発生するかに注意してください
私たちはより多くの大規模なサイトのクラックやネットワーク、ルータの悪用を持っていたので、これは更新に値すると思いました
4 BillR 2014-04-09
システムが telnet や ssh などを使って接続できるのであれば、比較的簡単な方法でパスワード変更をスクリプト化することができます。パスワードの変更がウェブインタフェースを介して行われなければならない場合、そのバリエーションに対応するためのツールを書くことは、おそらくそれに見合う以上の作業になるでしょうが、少なくとも私は、新しいパスワードが信頼できるソースから貼り付けられたものであることを確認することを試みるでしょう
統合されたIDシステムは、複数のシステムのパスワードを変更するための単一のポイントを提供することで、これを多少簡素化していますが、もちろん、これらのIDハブを信頼するかどうかを決定しなければなりません
注意: パスワードを定期的に変更しても、一般的に信じられているほどセキュリティは向上しません。どちらかと言えば、それは人々が劣ったパスワードを選ぶことを奨励するかもしれません。それはあなたが誰かがあなたの既存のパスワードを盗まれた可能性が高いと合理的に信じている場合にのみ役立ちますし、そのパスワードが出てくることであなたが気にしている何かを暴露したり、権利の増幅のために活用されるリスクがある場合
1 keshlam 2014-04-11
実現可能な提案をしています。自分で試したことはないけどね
use AHK (key mouse event recorders ) パスワードの変更を一括して行い、AHKを使ってセッションをログに記録します
私自身、サイトごとにパスを使い分けていますが、全て流出しない限り、一度に変更する必要はありません
1 zinking 2014-04-11
LastPass はあなたの声を聞き、これがどのようにできるかを説明するブログ記事を投稿しました。そして、一番大事なことは、サイトごとに手作業で行う必要があるということです
また、パスワードを変更する前に、サイトがアップグレードされているかどうかを確認しておくことも注意が必要です
1 assylias 2014-04-17
Dashlaneユーティリティを使用してみることができます。パスワードチェンジャー機能が含まれており、ワンクリックで何十ものパスワードを変更することができます(それは無料です)
古いパスワードを強力な新しいパスワードに置き換えるという重い作業を行い、それらのパスワードを記憶して入力されたDashlaneで保護します
0 kenorb 2017-10-09
Amazon Mechanical Turkを作成します。 自分のホームページ、ユーザー名、現在のパスワードのリストを作成します。各HITは、これらのうち1つ以上を配る。 新しいパスワードが何で構成されていなければならないかのルールを与える。パスワード1つにつき$0.01を支払う。ユーザーはあなたのためにパスワードを変更しに行き、新しいパスワードを報告しなければなりません。これでかなり早くパスワードを変更することができます。https://requester.mturk.com/
-2 Christopher Thomas Nicodemus 2014-04-10
