Acabas de responder a tu pregunta.
¿Puede haber una manera segura de permitir que los usuarios cambien "automáticamente" sus contraseñas para diferentes servicios? Si ...
Una API abierta estándar para permitir a un usuario cambiar la contraseña de un sitio web es posible y digo que es una idea decente.
De nuevo, es posible una API abierta estándar para permitir que un usuario inicie sesión en un sitio web y digo que es una buena idea. Pero, sorprendentemente, el proceso de inicio de sesión en el sitio web se está volviendo menos, no más estandarizado; esta función básica de un administrador de contraseñas es cada vez más difícil, no fácil.
Consideraciones de seguridad:
Bueno, hace que sea más fácil para un usuario malintencionado causar una gran cantidad de problemas al cambiar muchas de las contraseñas de un usuario a la vez. Restablecer las contraseñas será tan lento como siempre. Sin embargo, es raro que los usuarios maliciosos cambien una gran cantidad de contraseñas de un usuario, incluso cuando tienen la capacidad.
El cambiador de contraseñas también podría tener sus propios defectos de seguridad, por ejemplo, podría elegir contraseñas no aleatorias, y las implementaciones de la API podrían tener defectos de seguridad.
Por otro lado, es relativamente común que las contraseñas se vean comprometidas de manera que se puedan mejorar con cambios de contraseña más frecuentes.
Por lo tanto, diría (sin duda alguna) que la desventaja probablemente no sea mayor que la positiva.
Creo que una mejor idea sería estandarizar y evangelizar una API gratuita y abierta basada en la SRP Protocolo de (Contraseña remota segura) , o algo parecido. Con SRP, un intruso o un hombre en el medio no puede hacer muchas conjeturas de fuerza bruta, por lo que se puede obtener una seguridad sólida utilizando contraseñas relativamente cortas / simples. Además, el servidor no almacena datos equivalentes a contraseñas. Esto significa que un atacante que roba los datos del servidor no puede hacerse pasar por el cliente. Y si no me equivoco, significa que hay menos problemas cuando los usuarios usan la misma contraseña en varios sitios web.
ACTUALIZACIÓN : Mientras tanto, hay Función de cambio automático de contraseña de LastPass .