现在你可以自动更改所有密码

今年6月，在“心脏出血”漏洞出现后，我呼吁建立一定的系统，让用户自动更改某项服务的密码。我的愿望基本实现了。

周一，密码管理公司Dashlane宣布了一个自动更改密码的系统。他们有一个应用此功能的网站列表。目前(周三上午)这个页面上有78个站点。

周二，Lastpass发布了同样的公告。他们声称支持75个网站。

宣布的时间有点奇怪，但回想起来，很多公司都在做同样的事情也就不足为奇了。可能他们只是看到了我看到的，需要这个功能。“心脏出血”的理论是，这么多重要的网站在这么长时间内都是脆弱的，你不得不假设它们已经被攻陷了。一旦网站更新了他们的OpenSSL，你必须更改所有密码。我怀疑很多人真的这样做过。

我的建议是使用标准的web API，我仍然认为这是最好、最优雅的方法。唯一可行的办法就是一些大公司，比如微软或者谷歌，创建一个API，承诺自己支持，然后交给一些标准组织，不附加条件。或者，如果它来自像亚马逊这样独立于平台的公司，它在政治上更容易被软件公司接受。

达什兰和拉斯帕斯没有采取这种方法。他们已经编写了一个web界面脚本来修改密码，在可能的情况下自动执行HTTPS交易，并在必要时请求用户输入，例如提供验证码。在我看来，这是一个错误的方法，但它是正确的，也是唯一没有一些标准的方法。无论如何，有必要自动化那些不支持标准的系统。

我认为在被管理企业的IAM/密码管理系统中考虑这个特性会更令人兴奋。如果管理得当，这将允许组织在几乎任何服务上自动更改每个人的密码。非常酷。

大坊的自动化流程如下：

请注意，Dashlane隐藏了实际的web会话，只显示进度指示器，并打开一个对话框询问任何必要的用户输入。

Lastpass采取了不同的方法：他们打开了一个新的浏览器标签，你可以看到整个密码更改过程。Lastpass指出，这可以确保您的未加密密码不会离开您的系统。做这项工作的是你的电脑，不是他们的。这意味着Dashlane确实会将您的密码传输到他们的系统，并从那里执行修改，但这可能不是真的。

目前，两家公司都将此功能称为beta版。Dashlane让“早期访问”的下载在他们的主页上非常大且明显，而Lastpass的“试用软件”页面则写着“抱歉，目前没有可用的试用软件。”

我测试了Dashlane好几天，密码更改功能似乎运行良好。接下来的几天，我会对大坊进行更全面的回顾。

　　免责声明：本文由用户上传，与本网站立场无关。财经信息仅供读者参考，并不构成投资建议。投资者据此操作，风险自担。 如有侵权请联系删除！