Está agregando su herramienta de verificación de contraseña al panel de control de seguridad
“Las contraseñas son una de las peores cosas en Internet”, dijo a The Verge Mark Risher, director senior de seguridad de cuentas, identidad y abuso de Google. Aunque son esenciales para la seguridad y para ayudar a las personas a iniciar sesión en muchas aplicaciones y sitios web, “son una de las formas principales, si no la principal, de que las personas realmente terminan comprometidas”.
Es extraño que un ejecutivo de seguridad de Google diga porque la última vez que ingresó a Gmail, probablemente ingresó una contraseña. Pero la compañía ha estado tratando de alejar a los usuarios del modelo durante años, o al menos minimizar el daño. Y en las próximas semanas, una de las herramientas más silenciosas de Google en esa lucha, el complemento Password Checkup, obtendrá un perfil más alto, ya que se une al panel de control de seguridad integrado en cada cuenta de Google.
EL 52 POR CIENTO DE LAS PERSONAS REUTILIZA LA MISMA CONTRASEÑA PARA VARIAS CUENTAS
Risher tiene razón en preocuparse. Aunque puede usar una herramienta como un administrador de contraseñas para ayudar a realizar un seguimiento de sus inicios de sesión, muchas personas terminan reutilizando contraseñas para muchas cuentas. El 52% de las personas reutilizan la misma contraseña para varias cuentas, según los resultados de una encuesta publicada en febrero de 2019 por Google y la firma de encuestas Harris. El trece por ciento de las personas reutiliza esa contraseña para todas sus cuentas, según la encuesta. Y Microsoft dijo en 2019 que 44 millones de cuentas de Microsoft usaban inicios de sesión que se habían filtrado en línea.
Si bien la reutilización de contraseñas puede ser una forma de recordar una palabra compleja, una frase o una combinación de letras, números y símbolos que cree que nadie podrá adivinar, la práctica puede poner en peligro su información personal. Si esa contraseña reutilizada se filtra como parte de una violación de datos, los piratas informáticos podrían tener la clave de muchas de sus otras cuentas en línea, sin importar cuán compleja sea la frase.
“Sabemos por otra investigación que hemos realizado en el pasado que las personas que han visto sus datos expuestos por una violación de datos tienen 10 veces más probabilidades de ser secuestrados que una persona que no está expuesta por una de estas violaciones”, dijo Kurt Thomas, miembro del equipo de investigación contra el abuso y la seguridad de Google.
Google ha estado tratando de ayudar a los usuarios a desarrollar mejores hábitos de contraseña durante algún tiempo, de manera lenta pero segura. Durante años, la compañía ha ofrecido un administrador de contraseñas incorporado en Cuentas de Google en Chrome y Android que puede guardar sus contraseñas y rellenarlas automáticamente en sitios web y aplicaciones, por ejemplo. Pero durante el último año, Google también ha estado trabajando para ayudar a las personas a crear proactivamente mejores contraseñas con Password Checkup. La herramienta verifica los inicios de sesión con una base de datos de 4 mil millones de credenciales filtradas, para ver si la contraseña que está escribiendo coincide con una que ya se filtró.
No es una idea nueva, pero Google está excepcionalmente bien posicionado para ofrecer algo como Password Checkup. La compañía tiene acceso a miles de millones de contraseñas y la escala para implementar la verificación de contraseñas a miles de millones de usuarios de una manera que se integra con las herramientas de seguridad de la cuenta en las que muchas personas ya confían.
Así es como se verá la verificación de contraseña en la verificación de seguridad.
Imagen: Google
Descubrir cómo permitir que la verificación de contraseña marcara las credenciales comprometidas de manera respetuosa con la privacidad fue un problema técnico difícil que requirió un esfuerzo combinado de Google y Stanford. El desafío era encontrar una manera de verificar automáticamente las credenciales de un usuario contra una base de datos de inicios de sesión violados sin revelar esa información a Google o darle acceso al usuario a toda la base de datos, todo mientras escalaba esa solución a la enorme base de usuarios de Google, dijeron investigadores de ambas organizaciones. yo.
Para hacerlo, Google almacena una versión cifrada y cifrada de cada nombre de usuario y contraseña conocidos expuestos por una violación de datos. Cada vez que inicie sesión en una cuenta, Google enviará una versión cifrada y cifrada de su información de inicio de sesión en esa base de datos. De esa manera, Google no puede ver su contraseña, y usted no puede ver la lista de inicios de sesión comprometidos de Google. Si Google detecta una coincidencia, Google mostrará una alerta recomendando que cambie su contraseña para ese sitio.
Una infografía de Google que describe cómo funciona la verificación de contraseña.
Imagen: Google
Google obtiene inicios de sesión comprometidos de “múltiples fuentes diferentes y socios confiables”, dijo Thomas, incluidos los foros clandestinos donde los volcados de contraseña se comparten abiertamente. “Tenemos una política ética de que nunca pagaremos a los delincuentes por los datos robados”, continuó. “Pero solo en virtud de cómo funcionan estos mercados, muy a menudo, [los datos robados] aumentarán y estarán disponibles”. Utilizando las personas que Google tiene en esos mercados, la compañía puede adquirir los datos, dijo.
La verificación de contraseña tardó entre dos y tres años desde el inicio hasta que apareció en muchos productos de Google, según Thomas. En el futuro, Google quiere que Security Checkup le envíe un correo electrónico cuando detecte que un inicio de sesión almacenado se ha visto comprometido en una violación de datos, que la compañía planea lanzar en los próximos meses. Y a finales de este año, Google tiene como objetivo permitir que las personas usen la verificación de contraseña en Chrome, incluso si no han iniciado sesión en una cuenta de Google.
OTRAS COMPAÑÍAS TAMBIÉN OFRECEN HERRAMIENTAS DE VERIFICACIÓN DE CONTRASEÑA
Google no es la única compañía que ofrece algún tipo de funcionalidad de verificación de contraseña. El administrador de contraseñas pagadas 1Password recomienda cambiar las contraseñas débiles o duplicadas y también ofrece Watchtower , que verifica sus inicios de sesión con la base de datos Have I Been Pwned de Troy Hunt de más de 9 mil millones de cuentas comprometidas y marca cualquier coincidencia. Y Apple anunció ayer que su próxima versión de Safari tendrá una herramienta de monitoreo de contraseña que parece funcionar de manera similar a Password Checkup.
Pero Google tiene la ventaja de ayudar a las personas con sus contraseñas gracias a su escala masiva. Y herramientas como Password Checkup y el administrador de contraseñas incorporado alcanzan un objetivo más amplio para facilitar la seguridad en línea para los usuarios.
“Lo que me gusta que sea la seguridad, y lo que creo que [Password Checkup] es un buen ejemplo de, es, ‘¿cómo facilitan que las personas normales hagan lo correcto?'”, Dijo el vicepresidente de ingeniería de seguridad de Google, Royal Hansen. The Verge “No se trata de alertarlo con más y más problemas”, dijo. “Se trata de hacerte más fácil, francamente, el paso más básico”.