今年6月,在“心脏出血”漏洞出现后,我呼吁建立一定的系统,让用户自动更改某项服务的密码。我的愿望基本实现了。
周一,密码管理公司Dashlane宣布了一个自动更改密码的系统。他们有一个应用此功能的网站列表。目前(周三上午)这个页面上有78个站点。
周二,Lastpass发布了同样的公告。他们声称支持75个网站。
宣布的时间有点奇怪,但回想起来,很多公司都在做同样的事情也就不足为奇了。可能他们只是看到了我看到的,需要这个功能。“心脏出血”的理论是,这么多重要的网站在这么长时间内都是脆弱的,你不得不假设它们已经被攻陷了。一旦网站更新了他们的OpenSSL,你必须更改所有密码。我怀疑很多人真的这样做过。
我的建议是使用标准的web API,我仍然认为这是最好、最优雅的方法。唯一可行的办法就是一些大公司,比如微软或者谷歌,创建一个API,承诺自己支持,然后交给一些标准组织,不附加条件。或者,如果它来自像亚马逊这样独立于平台的公司,它在政治上更容易被软件公司接受。
达什兰和拉斯帕斯没有采取这种方法。他们已经编写了一个web界面脚本来修改密码,在可能的情况下自动执行HTTPS交易,并在必要时请求用户输入,例如提供验证码。在我看来,这是一个错误的方法,但它是正确的,也是唯一没有一些标准的方法。无论如何,有必要自动化那些不支持标准的系统。
我认为在被管理企业的IAM/密码管理系统中考虑这个特性会更令人兴奋。如果管理得当,这将允许组织在几乎任何服务上自动更改每个人的密码。非常酷。
大坊的自动化流程如下:
请注意,Dashlane隐藏了实际的web会话,只显示进度指示器,并打开一个对话框询问任何必要的用户输入。
Lastpass采取了不同的方法:他们打开了一个新的浏览器标签,你可以看到整个密码更改过程。Lastpass指出,这可以确保您的未加密密码不会离开您的系统。做这项工作的是你的电脑,不是他们的。这意味着Dashlane确实会将您的密码传输到他们的系统,并从那里执行修改,但这可能不是真的。
目前,两家公司都将此功能称为beta版。Dashlane让“早期访问”的下载在他们的主页上非常大且明显,而Lastpass的“试用软件”页面则写着“抱歉,目前没有可用的试用软件。”
我测试了Dashlane好几天,密码更改功能似乎运行良好。接下来的几天,我会对大坊进行更全面的回顾。