सवाल मेरे 200+ खाता पासवर्ड बदलने का एक प्रभावी तरीका क्या है?


मेरे पास है बहुत ऑनलाइन खातों, वेब सेवाओं, और इसी तरह - व्यक्तिगत और साथ ही व्यापार - तो स्पष्ट रूप से (?) मैं उन सभी को संभालने के लिए एक पासवर्ड प्रबंधक का उपयोग करता हूं। विशेष रूप से मैं लास्टपास का उपयोग करता हूं लेकिन मेरा प्रश्न किसी भी और सभी पर लागू होता है:

देखते हुए दिल की समस्या और संबंधित प्रश्न, भले ही मैं अपने सभी पासवर्ड बदलना चाहता था (और हम सभी नियमित अंतराल पर ऐसा नहीं कर रहे हैं ??), मैं दुनिया में कितने पासवर्ड बदल सकता हूं एक कुशल तरीके से?

अगर मुझे व्यक्तिगत रूप से प्रत्येक सेवा और साइट पर जाना है और पीडब्लू को मैन्युअल रूप से बदलना है, तो यह स्पष्ट है कि इसमें समर्पित काम का सप्ताहांत लगेगा ... पासवर्ड सुरक्षा अच्छी है और यह सब कुछ व्यावहारिक नहीं है।

अपडेट करें: मैंने अभी लास्टपास की "सुरक्षा चुनौती" का उपयोग किया है जो रिपोर्ट करता है कि मेरे पास 274 साइटें हैं और 83% से अधिक सुरक्षा स्कोर है। काम पर कई इंट्रानेट साइटें उसी पीडब्ल्यू का पुन: उपयोग करती हैं जो मेरे स्कोर को काफी कम करती है। मेरे सभी इंटरनेट खाते 92% से ऊपर स्कोर करते हैं।


85
2018-04-09 19:17


मूल


अपने सभी पासवर्ड बदलने से पहले कृपया इस अच्छे साहित्य को पढ़ें: security.stackexchange.com/questions/55283/... - MonkeyZeus
मुझे खुशी है कि आपने मेरे हास्य का आनंद लिया :) लेकिन सभी गंभीरता में कोई आसान तरीका नहीं है। और मुझे लगता है कि आपने मेरे लिंक का मुख्य बिंदु याद किया होगा जो यह खंड है: एक साइट पर पासवर्ड बदलना जो हार्टबलेड के लिए कमजोर था / केवल बाद में प्रभावी है - MonkeyZeus
इस सवाल का संदर्भ देना सूचना सुरक्षा: पासवर्ड बदलने के लिए एपीआई? - unor
अच्छी बात यह है कि अब हम ओपनआईडी / ओपनएथ आधारित साइनऑन पर जा रहे हैं। आपको केवल पहचान प्रदाता के लिए पासवर्ड बदलना है और बाकी व्यक्तिगत वेबसाइटों पर है। साथ ही, ध्यान दें कि उन साइटों के लिए पासवर्ड बदलने के लिए केवल यह मूल्यवान है जो पहले से ही अपनी ओपनएसएसएल लाइब्रेरी अपडेट कर चुके हैं; शायद उन 200 वेबसाइटों की एक अच्छी संख्या जो आपने कभी भी हार्टबलेड के चेहरे पर अपने सिस्टम पर कोई अपडेट नहीं किया है। - Lie Ryan
एक ऐसे उपयोगकर्ता होने पर बधाई जो वास्तव में प्रत्येक अलग सेवा के लिए अलग-अलग पासवर्ड का उपयोग करती है। - JFA


जवाब:


ईमानदारी से, कोई नहीं है। जब तक वे एक एपीआई प्रदान नहीं करते हैं, जहां आप अपने खातों पर रिमोट प्रबंधन कर सकते हैं। उठाओ और चुनो। कौन सा सर्वोच्च प्राथमिकता है। उदाहरण के लिए बैंक आपको बदलना चाहिए। मंचों और अन्य मीडिया साइटों को कम किया जा सकता है और आवश्यकता के आधार पर बदल दिया जा सकता है।

पीएस: मुझे यह भी लगता है कि लोग अनुपात से बाहर इस दिल से उड़ा रहे हैं।


61
2018-04-09 19:31



टिप्पणियां शुद्ध कर दी गई हैं। सुपर उपयोगकर्ता एक चर्चा मंच नहीं है-टिप्पणियों का उपयोग स्पष्टीकरण (जिसे बाद में उत्तर में संबोधित किया जाना चाहिए) पूछने के लिए किया जाना चाहिए या किसी पोस्ट में मुद्दों को इंगित करना चाहिए। यदि आप हार्टबलेड के बारे में बात करना चाहते हैं, सुपर उपयोगकर्ता चैट सबसे अच्छी जगह होगी। धन्यवाद। - slhck
^ @ एसएलएचके का सुझाव है कि वे इसे नियमित कमरे में भारी से बचने के लिए आईटी सुरक्षा या इसी तरह के विशेष कमरे में चर्चा करते हैं। क्या आप उपयुक्त कमरे में एक लिंक पोस्ट कर सकते हैं? - smci
@ एसएमसीआई मेरा मानना ​​है कि हमारा मुख्य कमरा वास्तव में उस तरह की चर्चा के लिए उपयुक्त है। हम आमतौर पर किसी भी विषय को लागू नहीं करते हैं। सूचना सुरक्षा एक चैट रूम भी है। - slhck


मैं उत्सुक हूं कि आप किस तरह का उत्तर प्राप्त करने की उम्मीद करते हैं ... सॉफ़्टवेयर का एक टुकड़ा जो विभिन्न प्रोटोकॉल, साइट्स, प्रक्रियाओं आदि पर पासवर्ड बदलता है? मैं वास्तव में उन सभी पासवर्ड को बदलने की लागत / लाभ की मेरी राय पर अपनी जीभ काट दूंगा, क्योंकि उनमें से किसी एक को उचित समय सीमा में क्रैक किया जा सकता है, भले ही उन्हें समझौता किया गया हो। इसके बजाय, मैं आपको इन साइटों और सेवाओं में से प्रत्येक के लिए संपर्क जानकारी एकत्र करने की सलाह दूंगा। फिर उन सभी को एक ई-मेल भेजें जो आपके पासवर्ड रीसेट का अनुरोध करते हैं या अगले लॉगिन पर एक नया पासवर्ड पुनः स्थापित करने के लिए। मुझे यहां कोई अन्य शॉर्टकट नहीं दिख रहा है।


12
2018-04-09 19:25



कई वेबसाइटें शायद एक उत्तर वापस भेज देंगी, "अगर आप अपना पासवर्ड रीसेट करना चाहते हैं, तो कृपया निम्न लिंक पर क्लिक करें: पासवर्ड रीसेट लिंक"। - Nzall


चूंकि आपका प्रश्न शायद खुद को एक आसान उत्तर में उधार नहीं देता है, इसलिए मैं प्रस्ताव दूंगा कि आप वेबसाइटों के पासवर्ड बदलते हैं, इस आधार पर कि वे आपको कितना कमजोर बनाते हैं (पैसे की हानि, गोपनीयता का नुकसान, प्रतिष्ठा का नुकसान इत्यादि)


11
2018-04-10 02:27





शायद मैं ये करूं:

  • वास्तव में संवेदनशील जानकारी संग्रहीत साइटों के लिए सूची की समीक्षा करें
  • जैसे ही यह स्पष्ट लगता है कि साइट इसके लिए तैयार है, उन्हें बदलें
  • अगली बार जब मैं साइट का उपयोग करता हूं या साइट बदलता / बदलती है तो बाकी शेष को बदलें।

इसका मतलब है कि उनमें से कुछ कभी नहीं बदला जाएगा, क्योंकि मैं कभी भी साइट का फिर से उपयोग नहीं करूंगा, और यह अब उन्हें करने पर दक्षता का स्रोत है। असल में यह अंततः व्यर्थ खातों की स्पष्टता को उकसा सकता है। ऐसा करने के संदर्भ में, पासवर्ड बदलना इतना बड़ा ऑपरेशन नहीं है।

मैं सोच (हालांकि मुझे यकीन नहीं है) कि यदि मैं बहुत बार एक साइट का उपयोग करता हूं तो उस साइट पर मेरे पासवर्ड का अपेक्षाकृत कम संभावना है जो दिल से जुड़ी हुई है। इसलिए उन साइटों के लिए वरीयता जो मैं वास्तव में उपयोग करता हूं।

उस अनुमान का मुख्य खतरा गलत है अगर यह पता चला कि दिल से जुड़ा हुआ सक्रिय रूप से लंबे समय तक शोषण किया गया है। फिर पासवर्ड के लोगों के लिए सीधे दिल से जुड़ा हुआ, या निजी कुंजी या दिल से जुड़े व्यवस्थापक प्रमाण-पत्रों के उपयोग से समझौता किया गया है।

[संपादित करें: ऐसा लगता है कि जब तक यह अस्तित्व में है, तब तक एनएसए द्वारा शायद दिल की धड़कन का शोषण किया जा रहा है। उस पर अधिक जानकारी के लिए इंतजार करना होगा, लेकिन किसी भी मामले में मैं अपने पासवर्ड वाले एनएसए से चिंतित नहीं हूं जैसा कि आप उम्मीद कर सकते हैं। अगर एनएसए मेरे पासवर्ड चाहता है तो उसके पास है, दिल से घिरा हुआ केवल कई साधनों में से एक है जिसके द्वारा वे उन्हें प्राप्त कर सकते हैं। यदि उनके पास दो साल तक है तो एक और महीना जब तक मुझे कम मूल्य वाले खातों का समूह बदलने का समय नहीं मिलेगा, तो इससे कोई फर्क नहीं पड़ता।]

पासवर्ड परिवर्तन में देरी का मुख्य खतरा यह है कि किसी के पास पहले से ही मेरा पासवर्ड हो सकता है, लेकिन या तो दिल से जुड़ी हुई डेटा के जीबी डेटा से बाहर खींचने के लिए नहीं मिला है, या फिर इसे अभी तक उपयोग करने के लिए नहीं मिला है। इसलिए अधिक संवेदनशील प्रणालियों के लिए वरीयता।


7
2018-04-10 18:21





यह वास्तव में ले जाएगा अगर यह संदिग्ध है कम से काम, लेकिन यदि आप जावास्क्रिप्ट के साथ पूरी तरह से काम कर रहे हैं, तो आप खुद को कुछ प्रकार के मिनी-एपीआई लिख सकते हैं कि (एक बार सही पृष्ठ पर) सही फ़ील्ड की तलाश कर रहे थे और उन्हें आपके लिए बदल दिया:

https://stackoverflow.com/questions/257255/generic-way-to-fill-out-a-form-in-javascript

इसका एक बार पूरा हो गया है, भविष्य में बदलावों के लिए आपको आसानी से जाना होगा। नकारात्मकता इसके बारे में सचमुच सबकुछ है।


6
2018-04-10 13:40



और फिर किसी भी समय उन साइटों में से कोई भी पृष्ठ पर किसी प्रकार का परिवर्तन करता है, प्रश्न में आपकी स्क्रिप्ट संभवतः टूट जाएगी ... :-( - Michael
@ माइकल, जरूरी नहीं। SuperGenPass जैसे स्क्रिप्ट बस यही करते हैं और दोनों बहुत ही सामान्य और बहुत सफल होते हैं। यह वास्तव में एक उपयोगी होगा साथी उपकरण एक बार जब मैं साइट पासवर्ड बदलना शुरू करता हूं। यह लंबे और अनूठे पासवर्ड रखने का एक आसान तरीका होगा। नच, अधिकांश पासवर्ड प्रबंधकों के पास ऐसा कुछ है लेकिन एक-क्लिक आसान नहीं है। - Torben Gundtofte-Bruun
जब आप इसे इस तरह से डालते हैं तो नकारात्मक पक्ष बहुत खड़ा लगता है ... - Raystafarian
@ TorbenGundtofte-Bruun SuperGenPass एक तकनीक का उपयोग करने के लिए मैन्युअल रूप से कई साल पहले किया गया था: मैं अपना पासवर्ड बनाने के लिए वेब साइट का नाम लेता हूं और अपने सिर में एक गुप्त परिवर्तन चलाता हूं। यह अचानक मुझे थोड़ा सा करता है जब एक साइट जिसे मैंने खरीदा है, एक अलग साइट द्वारा खरीदा गया है (इस प्रकार उसका नाम बदल रहा है)। - Michael
@ माइकल मैंने वही किया, मैंने रोका क्योंकि हर बार मुझे अपना पासवर्ड रीसेट करना होगा और एक नया चुनना होगा। वैसे भी, जो आपने पहले कहा था उसे संबोधित करने के लिए: हां, सुपर खड़ी नकारात्मक, और नहीं, मुझे यह कभी भी चुना गया जवाब नहीं होगा; मुझे लगा कि सवाल के दौरान हुए किसी भी बहादुर सुपर उपयोगकर्ताओं के लिए वैकल्पिक समाधान के रूप में यहां जाने के लायक थे। - Sandy Gifford


जांचें कि क्या आप कुछ साइटों में Google ओपनआईडी के साथ लॉगिन कर सकते हैं। इससे आपको बदलने / प्रबंधित / उपयोग करने के लिए आवश्यक पासवर्ड की संख्या कम हो सकती है।

सभी 'पासवर्ड बदलें' पृष्ठ बुकमार्क करें और उन्हें सभी टैबों में एक साथ खोलें (या शायद 50 के बैचों में)। यादृच्छिक पासवर्ड की एक सूची उत्पन्न करने के लिए एक स्क्रिप्ट बनाएं और कॉपी-एंड-पेस्ट टूल के साथ उन्हें कॉपी-पेस्ट करें। ऐसा करने के बाद अपने सिस्टम को साफ करें। इस विधि के साथ 50 पासवर्ड बदलने से आपको 10 मिनट से ज्यादा समय नहीं लगेगा, जो साप्ताहिक रखरखाव के लिए एक उचित उचित समय लगता है।

ऐसा करने से, आप महीने में एक बार अपने सभी पासवर्ड बदल देंगे, 10 मिनट का निवेश करेंगे। एक सप्ताह।


4
2018-04-10 13:52



प्रति सेकंड 12 सेकंड टैब में हर पासवर्ड-चेंज पेज खोलने के लिए आशावादी लगता है। लेकिन सिद्धांत सही लगता है, यह संभवतः सभी साइटों पर जाने और पासवर्ड बदलने का सबसे प्रभावी तरीका है। - Steve Jessop


विशेष रूप से LastPass के लिए जब आपने इसका उल्लेख किया है, तो आप एक सीसीवी फ़ाइल निर्यात कर सकते हैं और साइट्स को सत्यापन उपकरण में से एक में सबमिट कर सकते हैं जैसे कि LastPass स्वयं यह निर्धारित करने के लिए ऑफ़र करता है कि कौन से साइट पासवर्ड बदलने के लिए तैयार हैं।

मुझे यकीन है कि प्रत्येक विक्रेता कुछ समकक्ष स्वचालित करने के लिए टूल बनाने / विचार करने में भी व्यस्त है (उदाहरण के लिए, एलपी के सुरक्षा चुनौती के पूरक)।

प्रत्येक पासवर्ड मैनेजर एक अलग चुनौती पेश करने जा रहा है। उदाहरण के लिए डैशलेन में तिथि बदलकर पासवर्ड सॉर्ट करने की क्षमता शामिल नहीं है, हालांकि इसमें एक ऐसा क्षेत्र है जहां आप बदल गए चेकऑफ पासवर्ड का पुन: उद्देश्य कर सकते हैं या जिन्हें आप अनदेखा कर रहे हैं।

अपडेट (अक्टूबर 2015) - लास्टपास और डैशलेन (मैंने दो कोशिश की है) और कुछ अन्य पासवर्ड प्रबंधकों के पास अब एक प्रक्रिया / रूप है जो कई सौ साइटों पर एक बॉक्स की जांच के रूप में सरल पासवर्ड बदल सकता है (यदि आप स्वचालन पर भरोसा करते हैं, तो वे यह भी जानते हैं कि कुछ साइटें कुछ विशेष वर्णों या जनादेश की लंबाई को बाहर / आवश्यकता होती हैं)। वैकल्पिक रूप से, कुछ आपको सीधे एक लिंक के माध्यम से साइट परिवर्तन पृष्ठ पर ले जाते हैं, एक नया पासवर्ड सुझाते हैं, और अपना परिवर्तन रिकॉर्ड करते हैं।

यदि आप चाहें, तो एक और ब्राउज़र खोलें और 1 से 3 का उपयोग करके नए पासवर्ड का परीक्षण करें, उस वेबसाइट के लिए ओपन-एंड-ऑटोगोलिन / ऑटोफिल प्रक्रिया पर क्लिक करें। बस सिंक होने पर कैसे और कब संज्ञेय होना चाहिए।

मैंने सोचा कि यह एक अपडेट के लायक है क्योंकि हमारे पास इतनी बड़ी साइट क्रैक और नेटवर्क और राउटर शोषण हैं।


4
2018-04-09 23:33





यदि सिस्टम आपको टेलनेट या एसएसएच या कुछ समान के माध्यम से कनेक्ट करने देते हैं, तो आप पासवर्ड को अपेक्षाकृत सरल तरीके से स्क्रिप्ट कर सकते हैं। यदि वेब इंटरफ़ेस के माध्यम से पासवर्ड परिवर्तन किए जाने हैं, तो भिन्नताओं से निपटने के लिए टूलिंग लिखना संभवतः अधिक काम करेगा, लेकिन मैं कम से कम यह सुनिश्चित करने का प्रयास करता हूं कि नया पासवर्ड विश्वसनीय से चिपकाया गया हो स्रोत की बजाय उम्मीद है कि मैं इसे 400 बार सटीक रूप से पुनः टाइप कर सकता हूं।

संघीय आईडी सिस्टम कई प्रणालियों के लिए पासवर्ड बदलने के लिए एक बिंदु प्रदान करके कुछ हद तक सरल बनाते हैं ... लेकिन निश्चित रूप से आपको यह तय करना होगा कि आप उन आईडी हबों पर भरोसा करते हैं या नहीं।

नोट: नियमित आधार पर पासवर्ड बदलना करता है नहीं सामान्य रूप से विश्वास के रूप में सुरक्षा में सुधार।  यदि कुछ भी हो, तो यह लोगों को निम्न पासवर्ड चुनने के लिए प्रोत्साहित कर सकता है, क्योंकि प्रत्येक एन महीने में एक नया अच्छा चुनना पेटूटी में दर्द होता है। यह केवल तभी मदद करता है जब आप मानते हैं कि किसी ने आपके मौजूदा पासवर्ड को चोरी करने की संभावना है और यदि वह पासवर्ड निकल रहा है तो आप उस चीज को उजागर करते हैं जिसके बारे में आप परवाह करते हैं या अधिकार प्रवर्धन के लिए लीवरेज होने का जोखिम है।


1
2018-04-11 02:10





मेरे पास एक प्रस्ताव है जो व्यवहार्य लगता है। हालांकि मैं खुद को कभी कोशिश नहीं करता हूं।

use AHK (key mouse event recorders ) आप पासवर्ड परिवर्तन का बैच करते हैं, और एएचके का उपयोग करके सत्र लॉग करते हैं। अगली बार जब आप पासवर्ड बदलना चाहते हैं। एएचके स्क्रिप्ट लें और केवल पासवर्ड बदलें। आपको केवल एएचके स्क्रिप्ट को फिर से चलाने की जरूरत है।

मैं स्वयं अलग-अलग साइटों के लिए अलग-अलग पास का उपयोग करता हूं, जब तक वे सभी लीक नहीं हो जाते हैं, मुझे उन्हें एक समय में बदलने की आवश्यकता नहीं है।


1
2018-04-11 07:32