La forma simple y segura es una ronda, "Usted no".
Cuando un usuario inicia sesión con su contraseña anterior, muestra un aviso que dice que debe restablecer su contraseña. Genere un correo electrónico con un token de restablecimiento y envíelo a su dirección de correo electrónico. El token de la dirección de correo electrónico debe usarse porque ya no confiamos en la contraseña (y esperamos que la dirección de correo electrónico aún esté bajo el control de los usuarios).
Si está solicitando a los usuarios que actualicen sus contraseñas, es posible que esté cambiando los algoritmos de hash. Eso realmente debería suceder entre bambalinas, o involucrar la recuperación de cuentas antiguas en lugar de dejarlas inactivas. Sin embargo, es probable que se deba a una infracción.
Las infracciones afectan a los clientes incluso si no tiene información confidencial porque las presencias en línea a menudo están vinculadas (el mismo nombre de usuario, dirección de correo electrónico, etc.) y porque las contraseñas a menudo se reutilizan. Si ha perdido el control de su base de datos de contraseñas, los usuarios pueden correr el riesgo de que esas contraseñas sean forzadas de manera brutal y luego se usen contra cuentas de otros sitios.
Independientemente de su motivación, el método técnico para cambiar las contraseñas sigue siendo el mismo. Sin embargo, si ha tenido un incumplimiento, revele que es importante para su deber ético para con sus usuarios y, a veces, para los requisitos legales, dependiendo de su jurisdicción. La forma en que se escribe la carta es una combinación totalmente de asuntos legales y subjetivos, pero debe explicar por qué los usuarios deben preocuparse por otras cuentas y por qué deben restablecer su contraseña en su próximo inicio de sesión.
Obviamente, si desea enviar una solicitud a los usuarios (sin esperar a que vuelvan), debe comunicarse con ellos de alguna manera, lo que, en la mayoría de los casos, significa enviar correos electrónicos. Esto funciona solo si conoce una dirección de correo electrónico válida para cada usuario (lo cual es una buena razón para verificar la dirección de correo electrónico cuando el usuario se registra por primera vez).
Gracias a los spammers y otros villanos con intenciones fraudulentas, los usuarios típicos están entrenados para ignorar los correos electrónicos que hablan de contraseñas. Este es tu mayor problema. Del mismo modo, realmente no desea revertir ese entrenamiento. Por lo tanto, sería una mala práctica enviar un correo electrónico con un enlace en el que se pueda hacer clic en una página de restablecimiento de contraseña: los usuarios conscientes de la seguridad no seguirán el enlace, y los demás simplemente demostrarán qué tan vulnerables son.
Probemos de otra manera. Por lo general, cuando necesita que los usuarios realicen un restablecimiento masivo de las contraseñas, es porque se sospecha, por alguna razón contextual, que un número sustancial de contraseñas de usuarios puede verse comprometido. Por ejemplo, alguien irrumpió en su servidor y tomó una copia de la base de datos de contraseñas con hash.
Las contraseñas comprometidas son un problema porque permiten el reingreso no autorizado. A la inversa, las contraseñas comprometidas son no un problema (al menos, no para su servidor) hasta que el atacante intente regresar. Esto significa que puedes, de alguna manera, esperar. Técnicamente, esto implica lo siguiente:
Esta configuración es "segura" siempre que asumamos que el atacante no adivinó la contraseña del usuario y comprometió el correo electrónico del usuario al mismo tiempo.
La relevancia de enviar un correo electrónico masivo depende de la situación: puede ser bueno para las relaciones públicas ("vea, estamos tomando en serio la seguridad y no queremos ocultar los problemas") y puede ser malo para el público relaciones ("nos piratearon, es vergonzoso"). El zeitgeist actual es que, en general, el correo electrónico debe ser enviado; negar los problemas tiene una alta probabilidad de empeorarlos. Admita su infortunio, coma su sombrero y pida perdón: los usuarios lo perdonarán si sienten que los trata "justamente" (es decir, usa mucha adulación). Además, como indica, los usuarios tienden a reutilizar las contraseñas, por lo que si bien este no es técnicamente su problema, una advertencia proactiva se sentirá como un gesto positivo.
Si su servidor es lo suficientemente grande, contrate a un especialista en relaciones públicas de inmediato, para manejar la crisis.
Acerca de su única opción, si no desea esperar el próximo inicio de sesión de sus usuarios, es enviar un correo electrónico a los usuarios y pedirles que inicien sesión. Eso es un poco dudoso: sus usuarios pueden eliminar el correo electrónico como correo no deseado. / phishing.
Alternativamente, puede deshabilitar cada cuenta de usuario en su sitio, y la próxima vez que inicien sesión, pídales que realicen algún proceso adicional especial para autenticarse. Además de exigirles que proporcionen su contraseña, también puede pedirles que resuelvan un CAPTCHA o les hagan algunas preguntas sobre la actividad de su cuenta (por ejemplo, para un proveedor de correo electrónico, pídales que proporcionen las direcciones de correo electrónico de algunos corresponsales que el usuario contactos regulares). O bien, puede realizar algunas otras comprobaciones. Nada de esto es ideal, pero oye, lo preguntaste.
Lea otras preguntas en las etiquetas passwords password-management password-policy disclosure