密码管理器泄露后如何轮换密码
LastPass被攻破、用户加密保险库被盗已近一年。虽然我已将所有现有及新账户迁移至其他密码管理器,但一直拖延着未更换现有账户的密码。我就像捂住耳朵念叨“听不见听不见,我有个超长主密码”的孩子,对父母的忠告充耳不闻。我知道不止我一人如此。
近期有证据显示,攻击者已破解用户保险库并开始窃取受害者的加密货币。这终于让我摘下“耳塞”采取行动。如果你和我一样,多年来积累了数百个账户。每当我看到被盗保险库中堆积如山的账户和密码时,登录每个网站更改密码的任务显得难以克服。后来我意识到这并非全有或全无的选择——这些尘封旧账户对我(或攻击者)的价值并不相同。我决定制定优先级清单来处理,这比指望问题自动消失有效得多。
我愿分享自己的思考过程和优先级清单,希望对他人有所帮助。希望本文能 gently 推动你加强个人安全防护。
通用考虑事项
即使你尚未从LastPass迁移至其他密码管理器,这也适用。 如果你有伴侣,请协助他们完成此过程。不仅因为关心他们,更因为他们的账户泄露也可能影响你。 我极度厌恶“安全”问题(即账户恢复问题)。我倾向于选择不真实但合理的无意义答案,并将这些问题和答案存储在密码管理器中。这意味着我也需要更改这些答案。 既然要登录账户,我借机评估了新的双因素认证(2FA)功能,并在可能时升级至更强机制(无→短信→TOTP→安全密钥)。有些账户甚至开始支持Passkeys。 优先处理未启用2FA的账户。但请记住,账户的安全性取决于其最薄弱环节。
优先级步骤
- 从当前密码管理器导出备份。你永远不知道何时会派上用场。将其存储在安全位置。
- 更改邮箱账户密码。邮箱常用于找回密码。
- 更改手机运营商密码。如果运营商支持,设置转出PIN。这将降低SIM交换攻击风险。
- 更改所有金融账户密码。
- 按资金量从多到少排序。
- 投资、银行、信用卡。
- 加密货币——如果助记词或钱包密钥暴露,将币转移至新钱包。
- 轮换任何暴露的私钥(如SSH、GPG、TLS)。
- 优先处理未加密或加密密码也存储的情况。
- 这可能最头疼,因为涉及撤销密钥签名并从所有添加过的系统中移除SSH密钥。
- 其他重要账户。考虑哪些地方被冒用会带来损害。
- 身份提供商——出现在“使用其他账户登录”页面的地方(如Apple、Github、Facebook、Google、Microsoft)。
- 云基础设施(如Digital Ocean、AWS、Azure)。
- DNS注册商(如Cloudflare、GoDaddy、Namesilo)。
- 代码仓库(如Github、Gitlab)。
- 文件备份(如Dropbox、Backblaze)。
- 远程管理(如Teamviewer)。
- 购物(如Amazon)。
- 社交媒体。
- 最后,如果你已迁移,删除LastPass账户。当然,这无法保护已被盗内容,但通过将攻击面缩减至实际使用的密码管理器,可降低未来风险。
最终,你可以决定处理到清单的哪一步。