Menu
in

Password Checkup: Google quiere ayudarte a comprobar contraseñas filtradas

La compañía habilitó una extensión oficial para Chrome

Comprobar contraseñas filtradas

El usuario promedio puede cometer muchos errores en materia de seguridad, pero las contraseñas filtradas no son su responsabilidad. Alguien hace mal la tarea en un servicio, juego o aplicación en línea, y los datos terminan en listas extrañas que se distribuyen a toda velocidad. Usar una contraseña filtrada implica un riesgo directo de secuestro para cualquier cuenta, y en un intento por advertir a los millones de usuarios de Chrome, Google publicó una extensión llamada Password Checkup.

El recurso por excelencia para comprobar si un nombre de usuario o una contraseña han sido filtrados a la Web como consecuencia de un ciberataque es el portal Have I Been Pwned. Su base de datos posee más de seis mil millones de credenciales, y cada una de ellas nos recuerda una verdad contundente: El usuario es apenas la mitad de la ecuación. Si los responsables de servicios y plataformas en línea no hacen su trabajo, pueden provocar una crisis de seguridad informática de la noche a la mañana.

De allí surgen recomendaciones clásicas como no reutilizar contraseñas en múltiples sitios, y adoptar un administrador con funciones de generación aleatoria, de modo tal que si una contraseña se filtra, afecta a un solo servicio y no a varios (minimizando así su impacto). La gente de Google decidió implementar una estrategia más agresiva en lo que se refiere a comprobar contraseñas filtradas, y el resultado es Password Checkup, una extensión compatible con Chrome.


Cómo comprobar contraseñas filtradas con Password Checkup

Varias combinaciones riesgosas no fueron reportadas por la extensión. Necesita trabajo.

En esencia, Password Checkup se mantiene en silencio (con apenas un nuevo icono junto a la barra de direcciones) hasta que detecta una combinación de usuario y contraseña expuesta en una fuga de datos previa. La base de datos de Google supera los cuatro mil millones de elementos, a la que utiliza para advertir a los usuarios de sus servicios, o en el peor de los casos, aplicar un «reset» de emergencia en las contraseñas y solicitar que ingresen una nueva.

Si la extensión encuentra un caso positivo, presentará una alerta en color rojo sugiriendo el cambio inmediato de la contraseña afectada. Los usuarios técnicamente tienen la posibilidad de ignorar esa alerta y continuar, además de borrar la información local que acumula la extensión.


La infografía de Google que explica el mecanismo detrás de Password Checkup

La hipótesis es interesante, pero hay dos puntos a destacar. El primero es que Password Checkup es un trabajo en progreso. Decidí ponerla a prueba con una mezcla de usuario y contraseña que fue filtrada hace años, y la extensión no dio ningún avisoo. El segundo es que Google obtiene una fracción extremadamente cifrada y procesada vía hash Argon 2 de las credenciales. Esto es tan delicado y complejo que Mountain View dedicó un artículo entero en su blog para explicar su funcionamiento, el cual podemos reducir (en términos muy relajados) a tres objetivos: Google nunca recibe una copia plana y/o completa del usuario y la contraseña, el sistema está preparado para resistir intentos de fuerza bruta, y no hay identificadores que permitan el rastreo de un usuario.

Un aspecto positivo es que Google no trabajó solo en la extensión, sino que unió fuerzas con un equipo de criptógrafos de la Universidad de Stanford. Estoy convencido de que varios expertos en seguridad se encargarán de destripar a Password Checkup en las próximas semanas. Si recibe luz verde, será una herramienta muy interesante a tener en cuenta.


Password Checkup para Chrome: Haz clic aquí

Escrito por Lisandro Pardo

Leave a Reply