El Administrador de Contraseñas de Google ahora busca credenciales filtradas
Credit to Author: Naked Security| Date: Fri, 04 Oct 2019 10:40:16 +0000
Google ha dado un paso más en su estrategia para proteger las contraseñas de sus usuarios. El gigante de las búsquedas ha adoptado una función de comprobación de contraseñas lanzada a principios de este año como una extensión de su navegador Chrome y la ha incorporado directamente en su servicio de administrador de contraseñas.
En febrero, el gigante de la búsqueda y la publicidad lanzó Revisor de Contraseñas, una extensión de Chrome que verifica las contraseñas para ver si son seguras. Cuando los usuarios ingresan un nombre de usuario y una contraseña, la extensión verifica una versión hash de las credenciales con la base de datos interna de Google de cuatro mil millones de inicios de sesión inseguros. Si la extensión encuentra una coincidencia, advertirá al usuario y le sugerirá que restablezca su contraseña.
Ahora, la compañía ha decidido integrar esta función directamente en su administrador de contraseñas, que es la función en Chrome que pregunta si desea guardar las credenciales de inicio de sesión para los servicios en línea y reutilizarlas más tarde.
El administrador de contraseñas también está disponible a través de una interfaz web, y es esta versión en línea que Google ha actualizado con el nuevo servicio de verificación de contraseñas. Analiza las credenciales almacenadas de su cuenta buscando tres elementos: si han sido comprometidas, si se han reutilizado en más de un lugar y si son débiles. La comprobación lleva un par de segundos y arroja un informe útil.
Este es un servicio útil, pero aún está a un paso de marcar contraseñas comprometidas directamente en el navegador sin ningún complemento. Eso está por venir. Según informes, un sistema de alerta de contraseña advertirá al usuario si introduce las credenciales del sitio web que han aparecido en la base de datos de Google de inicios de sesión comprometidos. Ya está disponible como una característica en el lanzamiento de Chrome 78, pero los usuarios deben descargarlo manualmente hasta que el lanzamiento se generalice. También necesitan habilitar manualmente la función.
El movimiento de Google sigue de cerca la inclusión en Firefox de un servicio de escaneo para inicios de sesión guardados. Sin embargo, ese servicio verifica el servicio Have I Been Pwned (HIBP) de Troy Hunt, mientras que el servicio de verificación de contraseñas online de Google hace referencia a su propia base de datos, obtenida de fuentes que incluyen la web abierta y la web oscura.
Existe una gran necesidad de estos mecanismos de verificación de contraseñas. En agosto, Google publicó un estudio sobre la extensión Revisor de Contraseñas, revelando que el 1,5% de los inicios de sesión web usan credenciales filtradas. Puede que no parezca mucho, pero representa credenciales filtradas en más de 746.000 dominios distintos.
Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:
http://feeds.feedburner.com/sophos/dgdY