现在你可以自动更改所有密码

今年6月，在“心脏出血”漏洞出现后，我曾呼吁建立某种系统，让用户能够自动更改某项服务的密码。我的愿望基本上实现了。

周一，密码管理公司Dashlane宣布了一个自动修改密码的系统。他们有一个该功能适用的站点列表。目前(周三上午)这个页面有78个站点。

周二，Lastpass发布了同样的公告。他们声称支持75个网站。

公告的时间确实有点奇怪，但回顾起来，并不奇怪有多家公司在做同样的事情。也许他们只是看到了我所看到的，需要这个特性。“心脏出血”的理论是，这么多重要的网站在这么长时间内都是脆弱的，你不得不假设它们已经被攻陷了。一旦网站更新了他们的OpenSSL，你必须更改所有的密码。我怀疑很多人真的这么做了。

我的建议是使用标准的web API，我仍然认为这是最好、最优雅的方法。唯一可行的方法是一些大公司，比如微软或谷歌，创建API，承诺自己支持它，然后把它交给一些没有附加条件的标准组织。或者，如果它来自于像Amazon这样的平台无关的公司，那么它在政治上更容易被软件公司所接受。

Dashlane和Lastpass采取的不是这种方式。他们编写了修改密码的web界面脚本，在可能的地方自动执行HTTPS事务，在需要的地方请求用户输入，比如提供验证码。在我看来，这是一种错误的做法，但这是正确的，也是没有某种标准的唯一方法。在任何情况下，为了自动化那些不支持标准的系统，这都是必要的。

我认为，在管理的企业IAM/密码管理系统中考虑这个特性会更令人兴奋。如果管理得当，这将允许组织在几乎任何服务上自动更改每个人的密码。非常酷。

Dashlane的自动化流程如下:

注意，Dashlane隐藏了实际的web会话，只显示一个进度指示器，并打开一个对话框来询问任何必要的用户输入。

Lastpass采取了一种不同的方法:他们打开一个新的浏览器标签，你可以看到整个密码更改过程。Lastpass指出，这可以确保你的未加密密码不会离开你的系统。完成这项工作的是你的电脑，不是他们的。这意味着Dashlane的确会将你的密码转移到他们的系统中，并从那里执行修改，但这未必是真的。

目前，两家公司都称该功能为beta版。Dashlane让“early access”的下载在他们的主页上显得很大很明显，而Lastpass的“试用版软件”页面则说“抱歉，目前还没有可用的试用版软件。”

我对Dashlane进行了几天的测试，密码更改功能似乎运行良好。在接下来的几天里，我将对Dashlane有一个更全面的回顾。

　　免责声明：本文由用户上传，与本网站立场无关。财经信息仅供读者参考，并不构成投资建议。投资者据此操作，风险自担。 如有侵权请联系删除！