今年6月，在“心臟出血”漏洞出現(xiàn)后，我呼吁建立一定的系統(tǒng)，讓用戶自動更改某項服務的密碼。我的愿望基本實現(xiàn)了。

周一，密碼管理公司Dashlane宣布了一個自動更改密碼的系統(tǒng)。他們有一個應用此功能的網(wǎng)站列表。目前(周三上午)這個頁面上有78個站點。

周二，Lastpass發(fā)布了同樣的公告。他們聲稱支持75個網(wǎng)站。

宣布的時間有點奇怪，但回想起來，很多公司都在做同樣的事情也就不足為奇了。可能他們只是看到了我看到的，需要這個功能?！靶呐K出血”的理論是，這么多重要的網(wǎng)站在這么長時間內(nèi)都是脆弱的，你不得不假設(shè)它們已經(jīng)被攻陷了。一旦網(wǎng)站更新了他們的OpenSSL，你必須更改所有密碼。我懷疑很多人真的這樣做過。

我的建議是使用標準的web API，我仍然認為這是最好、最優(yōu)雅的方法。唯一可行的辦法就是一些大公司，比如微軟或者谷歌，創(chuàng)建一個API，承諾自己支持，然后交給一些標準組織，不附加條件?；蛘?，如果它來自像亞馬遜這樣獨立于平臺的公司，它在政治上更容易被軟件公司接受。

達什蘭和拉斯帕斯沒有采取這種方法。他們已經(jīng)編寫了一個web界面腳本來修改密碼，在可能的情況下自動執(zhí)行HTTPS交易，并在必要時請求用戶輸入，例如提供驗證碼。在我看來，這是一個錯誤的方法，但它是正確的，也是唯一沒有一些標準的方法。無論如何，有必要自動化那些不支持標準的系統(tǒng)。

我認為在被管理企業(yè)的IAM/密碼管理系統(tǒng)中考慮這個特性會更令人興奮。如果管理得當，這將允許組織在幾乎任何服務上自動更改每個人的密碼。非?？?。

大坊的自動化流程如下：

請注意，Dashlane隱藏了實際的web會話，只顯示進度指示器，并打開一個對話框詢問任何必要的用戶輸入。

Lastpass采取了不同的方法：他們打開了一個新的瀏覽器標簽，你可以看到整個密碼更改過程。Lastpass指出，這可以確保您的未加密密碼不會離開您的系統(tǒng)。做這項工作的是你的電腦，不是他們的。這意味著Dashlane確實會將您的密碼傳輸?shù)剿麄兊南到y(tǒng)，并從那里執(zhí)行修改，但這可能不是真的。

目前，兩家公司都將此功能稱為beta版。Dashlane讓“早期訪問”的下載在他們的主頁上非常大且明顯，而Lastpass的“試用軟件”頁面則寫著“抱歉，目前沒有可用的試用軟件?！?

我測試了Dashlane好幾天，密碼更改功能似乎運行良好。接下來的幾天，我會對大坊進行更全面的回顧。