密码管理器泄露后如何轮换密码

LastPass遭受入侵、用户加密保险库被盗已近一年。虽然我已将所有现有及新账户迁移至其他密码管理器，但一直拖延着未轮换现有账户的密码。我就像那个捂住耳朵 chanting“啦，啦，啦，我听不见，我有个超长主密码”的孩子，对父母的智慧充耳不闻。我知道不止我一人如此。

最近甚至有证据表明，攻击者已破解用户保险库并开始窃取受害者的加密货币。这最终促使我摘下“耳塞”采取行动。

如果你和我类似，随着时间积累已有数百个账户。每当我看着失窃保险库中成堆的账户和密码，登录每个网站更改密码的任务显得难以克服，令人气馁。但我意识到这并非全有或全无；这些尘封旧账户对我（或攻击者）的价值并不相同。我决定制定优先级列表来处理，这比指望问题自行消失有效得多。

我决定分享自己的思考过程和优先级列表，希望对他人有所帮助。希望本文能 gently 推动你加强个人安全。

通用考虑

即使你尚未从LastPass迁移至其他密码管理器，这也适用。

如果你有伴侣，请协助他们完成此过程。不仅因你关心他们，更因他们的账户泄露也可能影响你。

我极度厌恶“安全”问题（即账户恢复问题）。我倾向于选择不真实但合理的无意义答案，以备需与真人使用时使用。我将这些问题和答案存储在密码管理器中，这意味着我也需要更改这些答案。

既然要登录账户，我借机评估了任何新的双因素认证（2FA）功能，并在可能时升级至更强机制（无→短信→TOTP→安全密钥）。有些账户甚至开始支持Passkeys。

优先处理未启用2FA的账户。但记住，账户的安全性仅取决于其最薄弱环节。

优先级步骤

1. 从当前密码管理器导出备份：你永远不知道何时会派上用场。将其存储在安全位置。
2. 更改电子邮件账户密码：电子邮件常用于恢复密码。
3. 更改移动运营商密码：如果运营商支持，设置携号转网PIN。这将降低SIM交换攻击风险。
4. 更改所有金融账户密码：
   • 按资金量从多到少优先处理
   • 投资、银行、信用卡
   • 加密货币 – 如果种子短语或钱包密钥暴露，将币转移至新钱包
5. 轮换任何暴露的私钥（如SSH、GPG、TLS）：
   • 优先处理未加密或加密密码也存储的密钥
   • 这可能最头疼，因涉及撤销密钥签名并从所有添加系统中移除SSH密钥
6. 其他重要账户：思考哪些地方被他人冒充你会造成损害：
   • 身份提供商 – “使用其他账户登录”页面所列的地方（如Apple、Github、Facebook、Google、Microsoft）
   • 云基础设施（如Digital Ocean、AWS、Azure）
   • DNS注册商（如Cloudflare、GoDaddy、Namesilo）
   • 代码仓库（如Github、Gitlab）
   • 文件备份（如Dropbox、Backblaze）
   • 远程管理（如Teamviewer）
   • 购物（如Amazon）
   • 社交媒体
7. 最后，如果已迁移，删除LastPass账户：当然，这无法保护已失窃内容，但通过将攻击面减少至仅实际使用的内容（无论当前密码管理器是什么），有助于降低未来风险。

最终，你可以决定自己愿意处理到列表的哪一步。