Hai appena risposto alla tua domanda.
Può esistere un modo sicuro per consentire agli utenti di modificare "automagicamente" le proprie password per servizi diversi? Sì ...
Un'API aperta standard per consentire a un utente di cambiare la password di un sito Web è possibile e dico che è un'idea decente.
Inoltre, è possibile utilizzare un'API aperta standard per consentire a un utente di accedere a un sito Web e io dico che è una buona idea. Ma, incredibilmente, il processo di login al sito web sta diventando meno, non più standardizzato; questa funzione di base di un gestore di password è sempre più difficile, non più semplice.
Considerazioni sulla sicurezza:
Bene, rende più facile per un utente malintenzionato causare un sacco di problemi cambiando molte delle password di un utente contemporaneamente. Reimpostare le password richiederà più tempo che mai. Tuttavia, è raro che utenti malintenzionati cambino molte delle password di un utente, anche quando ne hanno l'abilità.
Il modificatore di password potrebbe avere anche i suoi difetti di sicurezza, ad esempio potrebbe scegliere password insufficientemente casuali e le implementazioni dell'API potrebbero avere problemi di sicurezza.
D'altra parte, è relativamente comune che le password vengano compromesse in modi che potrebbero essere migliorati da modifiche più frequenti della password.
Quindi direi (con un minimo di dubbio) che il lato negativo non è probabilmente superiore al rialzo.
Penso che un'idea migliore sarebbe quella di standardizzare ed evangelizzare un'API libera e aperta basata sul SRP (Secure Remote Password) , o qualcosa del genere. Con SRP un intercettatore o un uomo nel mezzo non può fare molte ipotesi di forza bruta, quindi si può ottenere una sicurezza così strong usando password relativamente brevi / semplici. Inoltre il server non memorizza dati equivalenti a password. Ciò significa che un utente malintenzionato che ruba i dati del server non può essere mascherato come client. E se non sbaglio, significa che c'è meno di un problema quando gli utenti usano la stessa password con più siti web.
UPDATE : nel frattempo, c'è Funzione Cambio password automatica LastPass .