今年6月,在“心脏出血”漏洞出现后,我曾呼吁建立某种系统,让用户能够自动更改某项服务的密码。我的愿望基本上实现了。
周一,密码管理公司Dashlane宣布了一个自动修改密码的系统。他们有一个该功能适用的站点列表。目前(周三上午)这个页面有78个站点。
周二,Lastpass发布了同样的公告。他们声称支持75个网站。
公告的时间确实有点奇怪,但回顾起来,并不奇怪有多家公司在做同样的事情。也许他们只是看到了我所看到的,需要这个特性。“心脏出血”的理论是,这么多重要的网站在这么长时间内都是脆弱的,你不得不假设它们已经被攻陷了。一旦网站更新了他们的OpenSSL,你必须更改所有的密码。我怀疑很多人真的这么做了。
我的建议是使用标准的web API,我仍然认为这是最好、最优雅的方法。唯一可行的方法是一些大公司,比如微软或谷歌,创建API,承诺自己支持它,然后把它交给一些没有附加条件的标准组织。或者,如果它来自于像Amazon这样的平台无关的公司,那么它在政治上更容易被软件公司所接受。
Dashlane和Lastpass采取的不是这种方式。他们编写了修改密码的web界面脚本,在可能的地方自动执行HTTPS事务,在需要的地方请求用户输入,比如提供验证码。在我看来,这是一种错误的做法,但这是正确的,也是没有某种标准的唯一方法。在任何情况下,为了自动化那些不支持标准的系统,这都是必要的。
我认为,在管理的企业IAM/密码管理系统中考虑这个特性会更令人兴奋。如果管理得当,这将允许组织在几乎任何服务上自动更改每个人的密码。非常酷。
Dashlane的自动化流程如下:
注意,Dashlane隐藏了实际的web会话,只显示一个进度指示器,并打开一个对话框来询问任何必要的用户输入。
Lastpass采取了一种不同的方法:他们打开一个新的浏览器标签,你可以看到整个密码更改过程。Lastpass指出,这可以确保你的未加密密码不会离开你的系统。完成这项工作的是你的电脑,不是他们的。这意味着Dashlane的确会将你的密码转移到他们的系统中,并从那里执行修改,但这未必是真的。
目前,两家公司都称该功能为beta版。Dashlane让“early access”的下载在他们的主页上显得很大很明显,而Lastpass的“试用版软件”页面则说“抱歉,目前还没有可用的试用版软件。”
我对Dashlane进行了几天的测试,密码更改功能似乎运行良好。在接下来的几天里,我将对Dashlane有一个更全面的回顾。
