Google acaba de lanzar una nueva extensión del navegador Chrome que le advierte si una combinación de nombre de usuario y contraseña se ha visto comprometida en una violación de datos.
Llamada Comprobación de contraseña, la extensión ya está disponible, aunque Google advierte que todavía es un trabajo en progreso. Password Checkup compara las credenciales que ingresa en cualquier sitio web con una base de datos de cuatro mil millones de conjuntos de credenciales comprometidos conocidos y le permite saber si su combinación de nombre de usuario y contraseña ya no es buena.
Entonces, si inicia sesión en Acme.com con el nombre de usuario "[email protected]" y la contraseña "BeepBeep", Password Checkup enviará una versión encriptada de esas credenciales a su base de datos.
Si el combo [email protected]/BeepBeep se encuentra entre los cuatro mil millones de conjuntos de credenciales pirateados, recibirá una gran advertencia roja de que "su contraseña para www.acme.com ya no es segura debido a una violación de datos". y que debe cambiar su contraseña. Si no es así, estará seguro de que todo está bien.
MÁS: Mejores administradores de contraseñas
Google le dijo a Lily Hay Newman de Wired que su base de datos no es la misma que la base de datos Have I Been Pwned de seis mil millones de conjuntos de credenciales comprometidos mantenidos por el investigador de seguridad australiano Troy Hunt. Sin embargo, es probable que haya cierta superposición entre los dos.
Hay otra gran diferencia: Have I Been Pwned le permite verificar las contraseñas por sí mismos y las direcciones de correo electrónico por sí mismos, pero nunca ambas al mismo tiempo. Eso es porque Hunt no quiere que Have I Been Pwned sea utilizado por ladrones de identidad para verificar si una combinación específica de dirección de correo electrónico / contraseña es válida.
De lo contrario, cualquiera podría intentar aplicar la "fuerza bruta" al ejecutar, digamos, las 1.000 contraseñas más utilizadas en una lista de direcciones de correo electrónico conocidas o generadas.
La verificación de contraseña de Google verifica ambas credenciales al mismo tiempo, lo que nos preocupa un poco de que la extensión del navegador haga que las credenciales inseguras sean aún menos seguras. (Usarlo para verificar sus propias contraseñas debería estar perfectamente bien).
Una publicación oficial del blog de Google dice que la compañía "diseñó Password Checkup para evitar que un atacante abuse de Password Checkup para revelar nombres de usuario y contraseñas inseguros".
No hemos tenido la oportunidad de hacer una prueba de estrés de la verificación de contraseñas para ver si esas protecciones contra la fuerza bruta funcionan. Pero alguien más ciertamente lo hará.
Esta publicación apareció originalmente en Tom's Guide.
- Las mejores computadoras portátiles para negocios y productividad