Frage:
Wie kann ich Passwörter auf mehreren Websites einfach zurücksetzen?
Islay
2019-03-27 16:19:27 UTC
view on stackexchange narkive permalink

Eine meiner alten E-Mail-Adressen war an der kürzlich erfolgten Offenlegung von Whitepages-Verstößen beteiligt ( Quelle: Wurde ich pwned).

Ich habe keine Ich kann mich nicht erinnern, auf welchen Websites ich diese E-Mail-Adresse für die Registrierung verwendet habe, aber ich möchte mein Passwort überall zurücksetzen . Zu den Websites können gehören: Facebook, Google, Amazon, eBay, Paypal usw. usw. - im Grunde die Top-N häufig verwendeten oder sensiblen Webanwendungen / -plattformen.

Dies ist besonders wichtig als Ich habe zu diesem Zeitpunkt keinen Kennwortmanager verwendet und möglicherweise Kennwörter wiederverwendet.

Gibt es eine Möglichkeit, das Initiieren von Zurücksetzen von Kennwörtern zu automatisieren, hauptsächlich durch Anfordern von E-Mails zum Zurücksetzen des Passworts auf gängigen Plattformen mit einer einzigen E-Mail-Adresse , auf die ich Zugriff habe ?

Ich sehe nicht, wie das so einfach funktionieren könnte.Sie haben viel, viel mehr Passwörter als Sie denken.Ich dachte, ich hätte "vielleicht 20", bis ich eine Tabelle erstellte und feststellte, dass ich 130 hatte. Und ich bin kein "Unterzeichner" und versuche aktiv, diese Zahl niedrig zu halten.Darüber hinaus stimme ich Ihrer Vorstellung von "Top-Websites" nicht zu. Sie haben Amazon, eBay und Paypal vergessen. * Sehen Sie, wie es ist? * Es gibt so viele Websites.
@Harper In der Tat ist die Anzahl der registrierten Websites wahrscheinlich viel größer als erwartet.Auch wenn dies nicht der Fall ist, geht es mir darum, wie das Zurücksetzen von Passwörtern zumindest auf den beliebten oder kritischen Websites von _top_ N automatisiert werden kann.Und ja, Amazon und eBay würden / sollten in diesen enthalten sein - ich behaupte nicht, diese Liste bereit zu haben oder dass sie nur die 5 Einträge enthält, die ich in der Frage erwähnt habe (daher das "usw.").
Verwandte Themen: [API zum Ändern von Kennwörtern?] (Https://security.stackexchange.com/questions/55563/api-to-change-passwords) und standortübergreifendes Duplikat: [Was ist ein effizienter Weg, um mein Konto über 200 zu ändern?Passwörter?] (https://superuser.com/questions/739774/whats-an-efficient-way-to-change-my-200-account-passwords)
Eine Automatisierung lohnt sich nur, wenn Sie sie regelmäßig ändern.Sie erhalten mehr Sicherheit bei geringerem Aufwand, wenn Sie sie einmal ändern und (fortfahren) einen Kennwortmanager verwenden.
Ich würde denken, ein Tool zur Automatisierung des Prozesses zu haben, wäre ein schreckliches Risiko.Jetzt wird der Hacker hoch motiviert sein, sich eher auf das Tool als auf die Websites zu hacken.
@MaxW Es präsentiert ein neues lukratives Angriffsziel.Aber ich denke, das Tool wäre nicht sehr nützlich, wenn man nicht auch das E-Mail-Konto kontrolliert.Die Vorteile eines solchen Tools würden jedoch die potenzielle neue Angriffsfläche bei weitem überwiegen, die mit bewährten Sicherheitsmethoden minimiert werden könnte.
Sechs antworten:
schroeder
2019-03-27 16:59:31 UTC
view on stackexchange narkive permalink

Dies ist ein bekanntes Problem ohne eine vorhandene Lösung. Einige Kennwortverwaltungstools arbeiten daran, aber es ist nicht vollständig oder narrensicher.

Zum Beispiel: https://helpdesk.lastpass.com/generating-a-password/

Die automatische Kennwortänderung ändert das Kennwort einer Site mit einem einzigen Klick. Diese Funktion unterstützt derzeit 75 der beliebtesten Websites. Die vollständige Liste der unterstützten Websites finden Sie unten.

Wenn Sie jedoch für alle Ihre Konten einen Kennwortmanager verwenden, sind 90% der erforderlichen Arbeiten bereits erledigt . Sie wissen, welche Websites diesen Benutzernamen / diese E-Mail-Adresse verwenden, und Sie können die Wiederverwendung von Kennwörtern vermeiden (oder wissen, welche Konten ein freigegebenes Kennwort verwenden).

@schroeder Wenn es eine halbwegs anständige Lösung für dieses Problem gäbe, würden böse Jungs es für Denial-of-Service und andere Missgeschicke missbrauchen.Aus diesem Grund ist dieses Problem so schwierig und wird wahrscheinlich nie zufriedenstellend gelöst.
@emory Ich bin mir nicht sicher, ob das stimmt.Ein authentifizierter Prozess würde keine DoS-Bedrohung für den Prozess darstellen.
So wie ich es verstehe, möchte OP eine Nachricht an eine Reihe von Websites senden - Facebook, Google, Spotify, Netflex usw. - und sagen: "Hey, ich bin mir ziemlich sicher, dass ich ein Konto bei euch habe und mein Benutzername ist op@somedomain.com.Dieses Konto wurde kompromittiert. Bitte sperren Sie mich aus. "Warum konnte ich nicht mit allen E-Mail-Adressen, die @schroeder verwenden soll, dasselbe tun?
@emory .... weil das dumm wäre.Und niemand spricht darüber.Und das hat nichts mit irgendetwas zu tun, was ich gesagt habe oder was das OP gesagt hat.
@emory Ich habe immer noch Zugriff auf das alte E-Mail-Konto, daher scheint die Idee von schroeder, einen authentifizierten Prozess zum Auslösen der Anforderungen durchzuführen, das Problem IMO zu mindern.
Es gibt einen [Vorschlag] (https://github.com/WICG/change-password-url/blob/gh-pages/explainer.md), um dies zu vereinfachen, aber es ist unklar, wie viel Traktion es hat.
Ich frage mich, ob jemand versucht hat, dieses Problem mithilfe von KI zu lösen: Bringen Sie einem Programm bei, wie Rücksetzprozesse aussehen, wo sie auf einer Webseite zu finden sind und wie Sie den Benutzernamen / die E-Mail zum Zurücksetzen senden.Wenn wir Glück haben, funktioniert dies möglicherweise für die meisten Websites und nicht für eine fest codierte Liste von weniger als 100.
@Bakuriu Wenn einige Leute mit einem Problem konfrontiert werden, schlagen sie "Lass uns KI verwenden" vor.Jetzt haben sie zwei Probleme.Beachten Sie, dass es eine interessante Idee sein kann, aber für das Ziel nicht besonders geeignet ist.Ohne Berücksichtigung der Captchas, die Teil des Rücksetzvorgangs sein sollten (um die Benutzer nicht mit böswilligen Rücksetzanforderungen zu überfluten).
@ Ángel Angesichts der aktuellen Situation **, dh es gibt keinen Standard / kein Protokoll zum Zurücksetzen des Passworts auf ** derzeit bereitgestellten ** Websites. Sie haben zwei Möglichkeiten: 1) Sehen Sie sich jede einzelne Website von Hand an und schreiben Sie ein Programm, dasführt den Reset durch oder 2) Wirf AI darauf und es wird wahrscheinlich mit einer signifikanten Anzahl von Fällen funktionieren.60% der Websites wären immer noch * Milliarden * mehr als jedes handgeschriebene Tool heute.Noch besser wäre es natürlich, ein standardisiertes Protokoll zu haben, aber ** es existiert derzeit nicht **.KI ist nicht die Lösung für alles, aber IMHO klingt in diesem Fall nach der einzigen Option.
Matthew
2019-03-27 16:45:15 UTC
view on stackexchange narkive permalink

Nein, nicht wirklich - alle haben unterschiedliche Verfahren zum Überprüfen Ihrer Identität für Anforderungen zum Zurücksetzen von Kennwörtern, und es gibt keinen Standard für das Zurücksetzen von Massenkennwörtern. Beispielsweise kann Apple ein Gerät verwenden, das im Konto registriert ist, um zu bestätigen, dass Sie die Anfrage senden, während Facebook unterschiedliche Schemata verwendet, je nachdem, ob Sie Ihr Kennwort von einem Gerät aus ändern, auf dem Sie sich zuvor angemeldet haben, oder

Der einfachste Weg besteht wahrscheinlich darin, gängige Websites zu durchsuchen (z. B. eine Liste wie https://en.wikipedia.org/wiki/List_of_most_popular_websites durchzuarbeiten). Ignorieren Sie alle, von denen Sie sicher sind, dass sie nicht zutreffen. Geben Sie die E-Mail-Adresse an, die Sie zurücksetzen möchten, und suchen Sie nach zurückgesetzten E-Mails. Es ist nicht perfekt, aber wenn Sie diejenigen ändern, von denen Sie wissen, dass sie vertraulich sind (z. B. solche, denen Kreditkartendaten zugeordnet sind, oder E-Mail-Konten oder Regierungssysteme), ist das in Ordnung - Sie wissen, dass diese Konten eindeutige Passwörter haben, auch wenn Ein Angreifer kann sich möglicherweise mit einem alten Kennwort bei Ihrem verlassenen MySpace-Konto (oder einem anderen nicht mehr existierenden sozialen Netzwerk) anmelden.

Ich möchte hinzufügen, dass ich währenddessen etwas mehr Zeit in das Hinzufügen dieser Websites zu einem Kennwortmanager investieren würde (z. B. LastPass, 1Password, KeePass, Bitwarden, ...).Auf diese Weise können Sie den Überblick über Ihre Konten behalten, eindeutige Kennwörter für jeden Standort verwenden (wodurch verhindert wird, dass ein Kennwort auf Standort A für die Anmeldung auf Standort B verloren geht) und einige sogar das Erscheinungsbild Ihres Kontos in der HIBP-Datenbank überwachen).
@BlueCacti: Auf jeden Fall.Das ist mein aktuelles Setup seit den letzten Jahren.
Dies ist ein weiterer Grund, warum die Verwendung eines Passwort-Managers eine gute Praxis ist.Sie "ändern" das Kennwort auf diesen Websites, indem Sie dem Manager zunächst ein eindeutiges Kennwort geben.Dann kommt die Verletzung (und sie wird kommen; sie kommt schließlich für uns alle) und der größte Teil der Arbeit ist bereits erledigt.Sie müssen nur die fehlgeschlagene Site ändern, da die anderen bereits ein eindeutiges Passwort verwendet haben.Noch besser, schließen Sie das Konto an der Site, die fehlgeschlagen ist, wenn Sie können.
Riking
2019-03-29 10:48:56 UTC
view on stackexchange narkive permalink

Ein Tipp, der Ihnen auf Ihrer Reise helfen soll, ist, dass mehrere Websites kürzlich die " bekannte URL zur Kennwortänderung" implementiert haben. Dies können Sie an jede (unterstützende) Website anschließen, die zu der Seite weiterleitet, auf der Sie Ihr Passwort ändern können.

Nehmen Sie die Startseite der Website und fügen Sie /.well-known/ hinzu. Passwort ändern bis zum Ende. Beispiele: 

  accounts.google.com/.well-known/change-password -> https://myaccount.google.com/signinoptions/passwordgithub.com/.well-known/change -password -> https://github.com/settings/admintwitter.com/.well-known/change-password -> https://twitter.com/settings/passwordmeta.discourse.org/.well-known/change -password -> https://meta.discourse.org/my/preferences/account
Ich hatte noch nie davon gehört.Versucht es, sich an [diese Liste] anzuhängen (https://www.iana.org/assignments/well-known-uris/well-known-uris.xhtml)?
Apple hat es zuerst in Safari implementiert und LastPass als nächstes.Es gibt einen Entwurf, der jedoch noch nicht als RFC veröffentlicht wurde.
Jacob
2019-03-27 18:55:25 UTC
view on stackexchange narkive permalink

Eine alternative Lösung zur Identifizierung von Websites, auf denen Sie Ihre E-Mail-Adresse verwendet haben, besteht darin, die gespeicherten Kennwörter Ihres Browsers zu überprüfen.

Auf diese Weise können Sie alle Websites anzeigen, für die Sie möglicherweise Kennwörter in Ihrem Browser gespeichert haben helfen Ihnen dabei, diejenigen zu identifizieren, die geändert werden müssen.

Dies funktioniert natürlich nur, wenn Sie die Funktion "Passwort speichern" des Browsers verwenden.

Mit anderen Worten, schauen Sie in Ihren Passwort-Manager.Und manchmal ist Ihr Passwort-Manager Ihr Browser.
Stimmt, obwohl ich denke, dass die meisten Leute ihren Browser nicht als echten "Passwort-Manager" betrachten würden.Dies ist nur ein weiterer Vorschlag, der für andere, die versuchen, Websites zu finden, auf denen sie vergessen haben, dass sie sich registriert haben, leicht zu übersehen ist
Ich würde sagen "fast immer, Ihr Browser ist Ihr Passwort-Manager."
Harper - Reinstate Monica
2019-03-28 02:52:40 UTC
view on stackexchange narkive permalink

Es ist ein schwieriges Problem, weil die Top-Liste der Websites so persönlich ist ... Und was Sie verlieren müssen ist in keiner Weise proportional zur Popularität der Website auf einer Index der beliebtesten Websites.

Und nur Sie wissen, wo Sie möglicherweise Konten haben.

Zum Beispiel halte ich Spieleseiten für kritischer als Bankenseiten. Da das Hacken von MMO-Spielkonten viel weniger Kontrollen und weniger rechtliche Gefahren mit sich bringt, sind sie die Lieblinge der Cracker. Auf der anderen Seite ist es Ihnen vielleicht egal, ob Sie mit Maplestory fertig sind.

Aber Sie müssen sich sicherlich nicht um Ihr Eve Online-Konto kümmern, wenn Sie es definitiv nie gespielt haben. Nur Sie kennen so etwas.

Wenn Sie der Meinung sind, dass Sie in der Vergangenheit eine Website verwendet haben, probieren Sie einfach Ihren alten Berechtigungsnachweis aus.

Warum nicht einfach jede Website mit Anfragen zum Zurücksetzen von Passwörtern spammen?

Sie werden nicht mit großen automatisierten Anfragen dieses Typs zusammenarbeiten.

Erstens würde die Website, die bestätigt, ob eine E-Mail ein Konto hat, Spear-Phishing ermöglichen. Der Betrüger erhält eine Milliarde E-Mails (einfach genug). Er beginnt, das Passwort der Website zurückzusetzen, um zu erfahren, ob diese E-Mail hier ein Konto hat oder nicht. Jetzt haben sie eine Liste von 1 Million E-Mails, die dies tun. Jetzt fangen sie an, diese bekannten Kontoinhaber zu speeren. Stellen Sie sie in einen täglichen Newsletter, in dem für das Abbestellen ein Login erforderlich ist. Dies ist ein Angriff "Viele E-Mail-Adressen gegen eine einzelne Site". Die beste Verteidigung der Site besteht darin, dem Prozess zum Zurücksetzen des Passworts Reibung hinzuzufügen, z. ein CAPTCHA oder entwerfen Sie einfach den Vorgang zum Zurücksetzen des Passworts so, dass dem Anfragenden nichts darüber mitgeteilt wird, ob ein Konto vorhanden ist. Dies ist umso wichtiger für Websites wie Ashley Madison oder Furries, bei denen es peinlich sein kann, dort ein Konto zu haben.

Zweitens, wenn es einem Cracker gelungen ist, die Kontrolle über eine E-Mail zu erlangen, kann er einfach genau das tun, was Sie versuchen - feststellen, auf welchen Websites diese E-Mail ein Konto hat. Mit einem vollständigen Dossier können sie dann diese Websites angreifen oder einfach die Anmeldeinformationen für mehr verkaufen, als sie es sonst könnten. Dies ist ein Angriff "Einzelne E-Mail gegen viele Websites". In diesem Fall muss die Site den einmaligen Zugriff auf die Funktion zum Zurücksetzen des Kennworts steuern - so etwas wie ein CAPTCHA ist erforderlich. Und 2-Faktor-Authentifizierung - aber auch diese 2FA darf dem gelegentlichen Anfragenden nicht mitteilen, ob hier ein Konto vorhanden ist.

Aus diesem Grund sehe ich keine Wahrscheinlichkeit, dass jemand ein Konto schreibt App, um dies zu tun. Die Autorin würde sich in einem hackenden "Wettrüsten" befinden, bei dem viele Unternehmen versuchen, ihre Automatisierung am Funktionieren zu hindern.

Lol ... Du hast mich dazu gebracht, Furries und Ashley Madison zu googeln ...
Die Aufzählung von Spear-Phishing / E-Mails ist kein Problem, wenn der Prozess zum Zurücksetzen des Massenkennworts selbst eine E-Mail-Überprüfung erfordert. Ein guter Punkt, wenn es einem Cracker gelungen ist, die Kontrolle über eine E-Mail zu erlangen ...Im Fall eines entschlossenen Angreifers ist jedoch umstritten, ob die manuelle Art des Prozesses abschreckend genug ist - verglichen mit dem Komfort, den die Automatisierung für echte Benutzer bietet.
bvoyelr
2019-03-27 23:31:26 UTC
view on stackexchange narkive permalink

Sie können Passwörter absolut automatisch zurücksetzen, wenn Ihr Passwortmanager dies unterstützt (ich verwende LastPass) - auch rückwirkend. Sie müssen die Site nicht mit LastPass erstellt haben, damit Sie Ihre Passwörter für Sie zurücksetzen können. Sie müssen lediglich die Anmeldeinformationen laden und sie auffordern, die Funktion zum Zurücksetzen des Kennworts auszuführen.

Erlauben Sie LastPass in LastPass einfach, sich Ihre Anmeldeinformationen für die Site zu merken (normalerweise durch Anmelden), und wählen Sie dann im Fenster Site bearbeiten Ihres Tresors einfach die Option Passwort automatisch ändern unter dem Kennwortfeld aus.

Möglicherweise haben Sie nicht mehr die alten Passwörter, die Sie in LastPass laden können.
Die Lastpasses-Funktion funktioniert auch nur auf einigen der größten Websites und selbst dann nicht zuverlässig.(Facebook, Battle.net ....)
Dies alles wird in einer anderen Antwort behandelt (zusammen mit den Schwächen)
Verwenden Sie keine proprietären, nicht kostenlosen Kennwortmanager mit geschlossenen Quellen.


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 4.0-Lizenz, unter der er vertrieben wird.
Loading...