web-dev-qa-db-ja.com

複数のWebサイトのパスワードを簡単にリセットするにはどうすればよいですか?

私の古いメールアドレスの1つが最近のホワイトページ違反の開示に関係していました(source:Have I Be Pwned )。

登録にそのメールアドレスを使用したWebサイトを覚えていませんが、可能な限りどこでもパスワードをリセットしたいFacebook、Google、Amazon、eBay、Paypal、など-基本的に、よく使用される、または機密性の高いWebアプリケーション/プラットフォームのトップN。

当時はパスワードマネージャーを使用しておらず、パスワードを再利用した可能性があるため、これは特に重要です。

自動化を開始するパスワードリセットを主に要求することにより、既存の方法はありますかパスワードリセットの電子メール、アクセスできる単一の電子メールアドレスが与えられた一般的なプラットフォーム上で

password-resethave-i-been-pwned
34
Islay

いいえ、そうではありません。パスワードリセットリクエストのIDを確認するためのプロセスはすべて異なります。また、一括パスワードリセットの標準はありません。たとえば、Appleは、アカウントに登録されているデバイスを使用して、リクエストを送信したことを確認することができます。Facebookは、デバイスからパスワードを変更しているかどうかに応じて異なるスキームを使用します以前にログインした場所、またはまったく関係のない場所から。

最も簡単な方法は、おそらく一般的なWebサイトを通過することです(たとえば、 https://en.wikipedia.org/wiki/List_of_most_popular_websites のようなリストを使用して、確実に適用しないものは無視して)、リセットするメールアドレスと、リセットメールを監視しています。完璧ではありませんが、機密性が高いことがわかっているもの(クレジットカードの詳細が関連付けられているもの、メールアカウント、政府機関など)を変更する場合は問題ありません。これらのアカウントには一意のパスワードが設定されています。攻撃者は、放棄されたMySpace(または他の無効なソーシャルネットワーク)アカウントに古いパスワードでログインできる可能性があります。

35
Matthew

これは、既存の解決策がない場合の既知の問題です。いくつかのパスワード管理ツールはそれに取り組んでいますが、完全ではなく、完全に保証されていません。

例: https://helpdesk.lastpass.com/generating-a-password/

自動パスワード変更は、シングルクリックでサイトのパスワードを変更します。この機能は現在、最も人気のある75のWebサイトをサポートしています。以下のサポートされているWebサイトの完全なリストを確認できます。

ただし、一般に、すべてのアカウントにパスワードマネージャーを使用する場合、必要な作業の90%はすでに完了しています。そのユーザー名/メールを使用するサイトがわかっているので、そもそもパスワードの再利用を回避できます(または、共有パスワードを使用するアカウントを知っています)。

45
schroeder

旅を手助けするための1つのヒントは、複数のサイトが最近「 よく知られているパスワード変更URL 」を実装したことです。これは、パスワードを変更できるページにリダイレクトする(サポート)Webサイトにプラグインできるものです。

サイトのホームページを取り、/.well-known/change-password 最後まで。例:

accounts.google.com/.well-known/change-password
  -> https://myaccount.google.com/signinoptions/password

github.com/.well-known/change-password
  -> https://github.com/settings/admin

Twitter.com/.well-known/change-password
  -> https://Twitter.com/settings/password

meta.discourse.org/.well-known/change-password
  -> https://meta.discourse.org/my/preferences/account
7
Riking

メールアドレスを使用したサイトを特定する1つの代替ソリューションは、ブラウザの保存されたパスワードを調べることです。

これにより、パスワードを保存したすべてのサイトをブラウザで確認できるため、変更が必要なサイトを特定するのに役立ちます。

明らかに、これはブラウザの「パスワードの保存」機能を使用する場合にのみ機能します。

4
Jacob

Webサイトのトップリストがpersonal...であり、失う必要があるものが存在しないため、これは難しい問題です人気のあるサイトのインデックスでのサイトの人気に比例する方法。

そして、あなただけがあなたがどこにアカウントを持っているかもしれないかを知っています。

たとえば、ゲームサイトは銀行サイトよりも重要であると考えています。 MMOゲームアカウントのハッキングに関与するコントロールと法的危険性がはるかに少ないため、それらはクラッカーの最愛の人です。一方、あなたがdoneMaplestoryでは、気にしないでください。

しかし、絶対にプレイしたことがないのであれば、Eve Onlineアカウントを気にする必要はありません。あなただけがこの種のことを知っています。

過去にサイトを使用したことがあると思われる場合は、古い資格情報を試してみませんか?

なぜすべてのWebサイトに、パスワードのリセット要求をスパム送信しないのですか?

これらは、このタイプの大規模な自動リクエストとは連携しません。

まず、電子メールにアカウントがあるかどうかを確認するWebサイトはスピアフィッシングを強化します。詐欺師は10億通のメールを(簡単に)受け取り、Webサイトのパスワードリセットを強打して、「このメールにはここにアカウントがあるかどうか」を学習します。現在、100万通のメールのリストがあります。今や、彼らはそれらの既知のアカウント保有者をスピアフィッシングし始めます。購読を解除するにはログインが必要な毎日のニュースレターにそれらを載せてください。これは「単一のサイトに対する多くの電子メールアドレス」攻撃です。 サイトの最善の防御策は、パスワードのリセットプロセスに摩擦を加えることです。 CAPTCHA、または単にパスワードリセットプロセスを設計して、アカウントが存在するかどうかについて問い合わせ者に通知しないようにします。これは、Ashley MadisonやFurriesのような、恥ずかしいアカウントを持っているサイトではさらに重要です。

第2に、クラッカーが電子メールを制御できた場合、単純に正確に何をしようとしているのか-この電子メールがアカウントを持っているWebサイトを確認できます。完全な一式文書を使用すると、それらのサイトを攻撃したり、資格情報を販売したりして、それ以外の場合よりも多くのものを販売できます。これは「単一の電子メールvs多くのサイト」攻撃です。 この場合、サイトはパスワードリセット機能への1回限りのアクセスを制御する必要があります-CAPTCHAのようなものが要求されます。また、2要素認証-ただし、この2FAは、ここにアカウントが存在するかどうかをカジュアルな質問者に開示してはなりません。

このため、これを行うアプリを誰かが作成する可能性はありません。ライターは、自動化の機能を停止させようとする多くの企業とのハッキング「武装競争」に身を置くでしょう。

2
Harper - Reinstate Monica