Question:
Comment réinitialiser facilement les mots de passe sur plusieurs sites Web?
Islay
2019-03-27 16:19:27 UTC
view on stackexchange narkive permalink

L'une de mes anciennes adresses e-mail était impliquée dans la récente divulgation de violation de pages blanches ( source: Ai-je été Pwned).

Je ne le fais pas ' t me souviens sur quels sites Web j'ai utilisé cette adresse e-mail pour m'inscrire, mais je souhaite réinitialiser mon mot de passe partout où c'est possible . Les sites Web peuvent inclure: Facebook, Google, Amazon, eBay, Paypal, etc. - essentiellement les N principales applications / plates-formes Web couramment utilisées ou sensibles.

Ceci est particulièrement important car Je n'utilisais pas de gestionnaire de mots de passe à l'époque et j'ai peut-être réutilisé des mots de passe.

Existe-t-il un moyen d ' automatiser le lancement de la réinitialisation des mots de passe , principalement en demander des e-mails de réinitialisation de mot de passe, sur des plates-formes courantes, avec une seule adresse e-mail à laquelle j'ai accès ?

Je ne vois pas comment cela pourrait fonctionner aussi facilement que tout cela.Vous avez beaucoup plus de mots de passe que vous ne le pensez.Je pensais avoir "peut-être 20" jusqu'à ce que je fasse une feuille de calcul et que je découvre que j'en avais 130. Et je ne suis pas un "signataire" et j'essaie activement de maintenir ce nombre bas.De plus, je ne suis pas d'accord avec votre idée des "meilleurs sites", vous avez oublié Amazon, eBay et Paypal, * voyez comment c'est? * Il y a tellement de sites.
@Harper En effet, le nombre de sites enregistrés est susceptible d'être beaucoup plus important que prévu.Même si ce n'est pas le cas, mon souci est de savoir comment automatiser la réinitialisation des mots de passe sur au moins les sites Web populaires ou critiques _top_ N.Et oui, Amazon et eBay seraient / devraient être inclus dans ceux-ci - je ne prétends pas avoir cette liste prête ou qu'elle ne contient que les 5 entrées que j'ai mentionnées dans la question (d'où le "etc.")
Connexes: [API pour changer les mots de passe?] (Https://security.stackexchange.com/questions/55563/api-to-change-passwords), et duplication intersite: [Quel est un moyen efficace de changer mon compte 200+mots de passe?] (https://superuser.com/questions/739774/whats-an-efficient-way-to-change-my-200-account-passwords)
Les automatiser ne serait utile que si vous les changiez régulièrement.Vous obtiendrez plus de sécurité pour moins d'efforts en les changeant une fois et (en continuant) en utilisant un gestionnaire de mots de passe.
Je pense qu'avoir un outil pour automatiser le processus serait un risque horrible.Désormais, le hacker sera très motivé pour pirater l'outil plutôt que les sites.
@MaxW Il présente une nouvelle cible d'attaque lucrative.Mais je pense que l'outil ne serait pas très utile à moins de contrôler également le compte de messagerie.Cependant, les avantages d'un tel outil l'emporteraient largement sur la nouvelle surface d'attaque potentielle qui pourrait être minimisée grâce aux meilleures pratiques de sécurité.
Six réponses:
schroeder
2019-03-27 16:59:31 UTC
view on stackexchange narkive permalink

Il s'agit d'un problème connu sans solution existante. Certains outils de gestion des mots de passe fonctionnent dessus, mais ils ne sont ni complets ni infaillibles.

Par exemple: https://helpdesk.lastpass.com/generating-a-password/

La modification automatique du mot de passe changera le mot de passe d'un site en un seul clic. Cette fonctionnalité prend actuellement en charge 75 des sites Web les plus populaires. Vous pouvez voir la liste complète des sites Web pris en charge ci-dessous.

En général, cependant, lorsque vous utilisez un gestionnaire de mots de passe pour tous vos comptes, 90% du travail que vous devez faire est déjà fait . Vous savez quels sites utilisent ce nom d'utilisateur / cette adresse e-mail et vous pouvez éviter de réutiliser les mots de passe en premier lieu (ou savoir quels comptes utilisent un mot de passe partagé).

@schroeder s'il y avait une solution à mi-chemin décente à ce problème, les méchants en abuseraient pour déni de service et autres mésaventures.C'est pourquoi ce problème est si difficile et peu susceptible d'être résolu de manière satisfaisante.
@emory Je ne suis pas sûr que ce soit vrai.Un processus authentifié n'exposerait pas une menace DoS au processus.
Si je comprends bien, OP veut envoyer un message à un tas de sites - facebook, google, spotify, netflex, etc. - en disant "hé, je suis presque sûr que j'ai un compte avec vous les gars et mon nom d'utilisateur est op@somedomain.com.Ce compte a été compromis. Veuillez me verrouiller. "Pourquoi ne pourrais-je pas faire de même avec toutes les adresses e-mail que je sais utiliser par @schroeder?
@emory .... parce que ce serait idiot.Et personne n'en parle.Et cela n'a rien à voir avec ce que j'ai dit ou ce que le PO a dit.
@emory J'ai toujours accès à l'ancien compte de messagerie, donc l'idée de schroeder d'un processus authentifié pour déclencher les demandes semble atténuer le problème IMO.
Il y a une [proposition] (https://github.com/WICG/change-password-url/blob/gh-pages/explainer.md) pour rendre cela plus facile, mais on ne sait pas combien il a de traction.
Je me demande si quelqu'un a tenté d'utiliser l'IA pour résoudre ce problème: apprenez à un programme à quoi ressemblent les processus de réinitialisation, où les trouver en regardant une page Web et comment soumettre le nom d'utilisateur / e-mail à réinitialiser.Si nous avons de la chance, cela pourrait fonctionner pour une majorité de sites Web et non pour une liste codée en dur de moins de 100.
@Bakuriu Face à un problème, certaines personnes proposent "Utilisons l'IA".Maintenant, ils ont deux problèmes.Notez que cela peut être une idée _intéressante_, mais pas particulièrement appropriée pour l'objectif.Ne pas prendre en compte les captchas qui DEVRAIENT faire partie du processus de réinitialisation (pour ne pas inonder les utilisateurs de demandes de réinitialisation malveillantes).
@ Ángel étant donné ** la situation actuelle **, c'est-à-dire qu'il n'y a pas de norme / protocole pour réinitialiser le mot de passe dans les sites ** actuellement déployés **, vous avez deux choix: 1) regarder chaque site Web à la main et écrire à la main un programme quieffectue la réinitialisation ou 2) lancez l'IA dessus et cela fonctionnera probablement avec un nombre important de cas.60% des sites Web représenteraient encore * des milliards * de plus que tout outil manuscrit ne peut faire aujourd'hui.Évidemment, mieux serait d'avoir un protocole standardisé, mais ** il n'existe pas actuellement **.L'IA n'est pas la solution pour tout, mais IMHO dans ce cas sonne comme la seule option.
Matthew
2019-03-27 16:45:15 UTC
view on stackexchange narkive permalink

Non, pas vraiment - ils ont tous des processus différents pour vérifier votre identité pour les demandes de réinitialisation de mot de passe, et il n'y a pas de norme pour les réinitialisations groupées de mots de passe. Par exemple, Apple peut utiliser un appareil qui est enregistré sur le compte pour confirmer que c'est vous qui envoyez la demande, tandis que Facebook utilise différents schémas selon que vous modifiez votre mot de passe à partir d'un appareil sur lequel vous vous êtes précédemment connecté, ou à partir d'un site totalement indépendant.

Le moyen le plus simple est probablement de parcourir des sites Web courants (par exemple, de parcourir une liste comme https://en.wikipedia.org/wiki/List_of_most_popular_websites, ignorer celles que vous êtes sûr de ne pas appliquer) fournir l'adresse e-mail que vous souhaitez réinitialiser et surveiller les e-mails de réinitialisation Ce n'est pas parfait, mais si vous changez ceux dont vous savez qu'ils sont sensibles (par exemple, ceux qui ont des détails de carte de crédit associés, ou des comptes de messagerie ou des systèmes gouvernementaux), ce n'est pas grave - vous savez que ces comptes auront des mots de passe uniques, même si un attaquant peut être en mesure de se connecter à votre compte MySpace abandonné (ou à un autre réseau social disparu) avec un ancien mot de passe.

J'ajouterais que pendant que vous êtes en train de le faire, j'investirais un peu plus de temps dans l'ajout de ces sites à un gestionnaire de mots de passe (par exemple, LastPass, 1Password, KeePass, Bitwarden, ...).Cela vous permet de garder une trace de vos comptes, vous permet d'utiliser des mots de passe uniques pour chaque site (ce qui empêchera qu'un mot de passe divulgué sur le site A soit utilisé pour vous connecter sur le site B) et certains surveillent même l'apparence de votre compte dans la base de données HIBP).
@BlueCacti: Certainement.C'est ma configuration _current_ depuis les dernières années déjà.
Et c'est une raison de plus pour laquelle l'utilisation d'un gestionnaire de mots de passe est une bonne pratique.Vous «changez» le mot de passe sur ces sites en laissant le gestionnaire leur donner un mot de passe unique en premier lieu.Ensuite, la brèche survient (et elle ** viendra **; elle vient pour nous tous éventuellement) et la plupart du travail est déjà fait.Vous n'avez _seulement_ qu'à changer le site défaillant, car les autres utilisaient déjà un mot de passe unique.Mieux encore, _ fermez le compte_ du site qui a échoué si vous le pouvez.
Riking
2019-03-29 10:48:56 UTC
view on stackexchange narkive permalink

Une astuce pour vous aider dans votre voyage est que plusieurs sites ont récemment mis en œuvre l '" URL de changement de mot de passe connue". C'est quelque chose que vous pouvez brancher sur n'importe quel site Web (de support) qui redirige vers la page qui vous permet de changer votre mot de passe.

Prenez la page d'accueil du site et ajoutez /.well-known/ change-password jusqu'à la fin. Exemples: 

  accounts.google.com/.well-known/change-password -> https://myaccount.google.com/signinoptions/passwordgithub.com/.well-known/change -password -> https://github.com/settings/admintwitter.com/.well-known/change-password -> https://twitter.com/settings/passwordmeta.discourse.org/.well-known/change -password -> https://meta.discourse.org/my/preferences/account
Je n'en avais jamais entendu parler.Essaie-t-il de s'ajouter à [cette liste] (https://www.iana.org/assignments/well-known-uris/well-known-uris.xhtml)?
Apple l'a d'abord implémenté dans Safari, et LastPass l'a repris ensuite.Il y a un brouillon mais il n'est pas encore publié en tant que RFC.
Jacob
2019-03-27 18:55:25 UTC
view on stackexchange narkive permalink

Une autre solution pour identifier les sites sur lesquels vous avez utilisé votre adresse e-mail consiste à consulter les mots de passe enregistrés dans votre navigateur.

Cela vous permettra de voir tous les sites pour lesquels vous avez enregistré des mots de passe dans votre navigateur, ce qui pourrait vous aider à identifier ceux qui doivent être modifiés.

De toute évidence, cela ne fonctionne que si vous utilisez la fonction "Enregistrer le mot de passe" du navigateur.

Donc, en d'autres termes, regardez dans votre gestionnaire de mots de passe.Et parfois, votre gestionnaire de mots de passe est votre navigateur.
C'est vrai, même si je pense que la plupart des gens ne considéreraient pas leur navigateur comme un véritable "gestionnaire de mots de passe".Ceci est juste une autre suggestion qui pourrait être facile à ignorer pour les autres qui essaient de trouver des sites Web sur lesquels ils ont oublié de s'être inscrits.
Je dirais "presque toujours, votre navigateur est votre gestionnaire de mots de passe".
Harper - Reinstate Monica
2019-03-28 02:52:40 UTC
view on stackexchange narkive permalink

C'est un problème difficile car la liste des sites Web en tête est si personnelle ... Et ce que vous avez à perdre n'est en aucun cas proportionnel à la popularité du site sur aucun index des sites populaires.

Et vous seul savez où vous pourriez avoir des comptes.

Par exemple, je considère les sites de jeux comme plus critiques que les sites bancaires. Parce qu'il y a beaucoup moins de contrôles et moins de risques juridiques impliqués dans le piratage de comptes de jeux MMO, ils sont donc les chouchous des crackers. D'un autre côté, si vous avez fini avec Maplestory, vous ne vous en souciez peut-être pas.

Mais vous n'avez certainement pas besoin de vous soucier de votre compte Eve Online si vous n'y avez certainement jamais joué. Vous seul connaissez ce genre de chose.

Si vous pensez avoir utilisé un site dans le passé, pourquoi ne pas simplement essayer votre ancien identifiant?

Pourquoi ne pas envoyer de spam à tous les sites Web avec des demandes de réinitialisation de mot de passe?

Ils ne vont pas coopérer avec des demandes automatisées à grande échelle de ce type.

Premièrement, le site Web reconnaissant si un e-mail possède un compte autoriserait le spear phishing . L'escroc reçoit un milliard d'e-mails (assez facile), ils commencent à frapper la réinitialisation du mot de passe du site Web pour savoir "est-ce que cet e-mail a un compte ici, ou pas?" Maintenant, ils ont une liste d'un million de courriels qui le font. Maintenant, ils commencent à spear-phishing ces titulaires de compte connus. Mettez-les sur une newsletter quotidienne où la désinscription nécessite une connexion, ce genre de chose. Il s'agit d'une attaque «de nombreuses adresses e-mail contre un seul site». La meilleure défense du site est d'ajouter des frictions au processus de réinitialisation du mot de passe, par ex. un CAPTCHA, ou simplement concevoir le processus de réinitialisation du mot de passe de sorte qu'il ne dise rien au demandeur sur l'existence d'un compte. C'est encore plus important pour des sites comme Ashley Madison ou Furries où avoir un compte là-bas pourrait être gênant.

Deuxièmement, si un pirate parvient à prendre le contrôle d'un e-mail, il peut simplement faire exactement ce que vous essayez de faire - déterminer sur quels sites Web cet e-mail dispose d'un compte. Avec un dossier complet, ils peuvent alors attaquer ces sites ou simplement vendre les informations d'identification pour plus qu'ils ne le pourraient autrement. Il s'agit d'une attaque "un seul e-mail contre plusieurs sites". Dans ce cas, le site doit contrôler un accès unique à la fonction de réinitialisation du mot de passe - quelque chose comme un CAPTCHA est nécessaire. Et l'authentification à 2 facteurs - mais encore une fois, cette 2FA ne doit pas révéler au demandeur occasionnel si un compte existe ici.

Pour cette raison, je ne vois aucune probabilité que quelqu'un écrive application pour ce faire. L'écrivain se retrouverait dans une "course aux armements" de piratage avec de nombreuses entreprises essayant d'empêcher son automatisation de fonctionner.

Lol ... Tu m'as fait google Furries et Ashley Madison ...
L'énumération de spear phishing / email n'est pas un problème si le processus de réinitialisation de mot de passe en masse nécessite lui-même une vérification par e-mail. Cependant, bon point, si un pirate parvient à prendre le contrôle d'un email ..._.Mais alors, dans le cas d'un attaquant déterminé, la question de savoir si la nature manuelle du processus est suffisamment dissuasive - par rapport à la commodité offerte par son automatisation aux véritables utilisateurs - est discutable.
bvoyelr
2019-03-27 23:31:26 UTC
view on stackexchange narkive permalink

Vous pouvez absolument réinitialiser les mots de passe automatiquement si votre gestionnaire de mots de passe le prend en charge (j'utilise LastPass) - même rétroactivement. Vous n'avez pas besoin d'avoir créé le site en utilisant LastPass pour qu'il puisse réinitialiser vos mots de passe pour vous. Vous devez simplement y charger les informations d'identification et lui demander d'exécuter la fonction de réinitialisation du mot de passe.

Dans LastPass, autorisez simplement LastPass à mémoriser vos informations d'identification pour le site (généralement en vous connectant), puis dans la fenêtre Modifier le site de votre coffre-fort, sélectionnez simplement Modifier le mot de passe automatiquement sous le champ du mot de passe. p>

On n'a peut-être plus les anciens mots de passe à charger dans LastPass.
La fonctionnalité Lastpasses ne fonctionne également que sur certains des plus grands sites, et même de manière non fiable.(facebook, battle.net ....)
Tout cela est couvert dans une autre réponse (avec les faiblesses)
N'utilisez pas de gestionnaires de mots de passe propriétaires, non libres et fermés.


Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 4.0 sous laquelle il est distribué.
Loading...