El 52% de las personas reutilizan la misma contraseña para varias cuentas, según los resultados de una encuesta publicada en febrero de 2019 por Google y la firma de encuestas Harris.
“Las contraseñas son una de las peores cosas en Internet”, dijo a The Verge, Mark Risher, director senior de seguridad de cuentas, identidad y abuso de Google. Aunque son esenciales para la seguridad y para ayudar a las personas a iniciar sesión en muchas aplicaciones y sitios web, “son una de las formas principales, si no la principal, en la que las personas realmente terminan comprometidas”.
Es extraño que un ejecutivo de seguridad de Google lo diga, ya que probablemente la última vez que ingresó a Gmail, ingresó una contraseña. Pero la compañía ha estado tratando de alejar a los usuarios del modelo durante años, o al menos minimizar el daño. Y en las próximas semanas, una de las herramientas más silenciosas de Google en esa lucha, el complemento Password Checkup, obtendrá un perfil más alto, ya que se une al panel de control de seguridad integrado en cada cuenta de Google.
EL 52 POR CIENTO DE LAS PERSONAS REUTILIZA LA MISMA CONTRASEÑA PARA VARIAS CUENTAS
Risher tiene razón en preocuparse. Aunque puede usar herramientas como un administrador de contraseñas para ayudar a realizar un seguimiento de sus inicios de sesión, muchas personas terminan reutilizando contraseñas para diferentes cuentas. El 52% de las personas reutilizan la misma contraseña para varias cuentas, según los resultados de una encuesta publicada en febrero de 2019 por Google y la firma de encuestas Harris. El trece por ciento de las personas reutiliza esa contraseña para todas sus cuentas, según la encuesta. Y Microsoft dijo en 2019 que 44 millones de cuentas de Microsoft usaban inicios de sesión que se habían filtrado en línea.
Si bien la reutilización de contraseñas puede ser una forma de recordar una palabra compleja, una frase o una combinación de letras, números y símbolos que cree que nadie podrá adivinar, la práctica puede poner en peligro su información personal. Si esa contraseña reutilizada se filtra como parte de una violación de datos, los piratas informáticos podrían tener la clave de muchas de sus otras cuentas en línea, sin importar cuán compleja sea la frase.
“Sabemos por otra investigación que hemos realizado en el pasado que las personas que han visto sus datos expuestos por una violación de datos tienen 10 veces más probabilidades de ser secuestrados que una persona que no está expuesta por una de estas violaciones”, dijo Kurt Thomas, miembro del equipo de investigación contra el abuso y la seguridad de Google.
Google ha estado tratando de ayudar a los usuarios a desarrollar mejores hábitos de contraseña durante algún tiempo, de manera lenta pero segura. Durante años, la compañía ha ofrecido un administrador de contraseñas incorporado en Cuentas de Google en Chrome y Android que puede guardar sus contraseñas y rellenarlas automáticamente en sitios web y aplicaciones, por ejemplo. Pero durante el último año, Google también ha estado trabajando para ayudar a las personas a crear proactivamente mejores contraseñas con Password Checkup. La herramienta verifica los inicios de sesión con una base de datos de 4 mil millones de credenciales filtradas, para ver si la contraseña que está escribiendo coincide con una que ya se filtró.
Aunque no es una idea nueva, Google está excepcionalmente bien posicionado para ofrecer este tipo de herramientas como Password Checkup. La compañía tiene acceso a miles de millones de contraseñas y la dimensión suficiente para implementar la verificación de contraseñas a miles de millones de usuarios de una manera que se integra con las herramientas de seguridad de la cuenta en las que muchas personas ya confían.
Averiguar cómo hacer para que la verificación de contraseña marcara las credenciales comprometidas de manera respetuosa con la privacidad, fue un problema técnico difícil que requirió un esfuerzo combinado de Google y Stanford. El desafío era encontrar una manera de verificar automáticamente las credenciales de un usuario frente a una base de datos de inicios de sesión violados sin revelar esa información a Google o darle acceso al usuario a toda la base de datos, todo mientras escalaba esa solución a la enorme base de usuarios de Google, dijeron investigadores de ambas organizaciones.
Para hacerlo, Google almacena una versión cifrada de cada nombre de usuario y contraseña conocidos que han sido expuestos por una violación de datos. Cada vez que se inicie sesión en una cuenta, Google enviará una versión desglosada y cifrada de esa información de inicio de sesión y la validará contra esa base de datos. De esa manera, Google no puede ver su contraseña, y usted no puede ver la lista de inicios de sesión comprometidos de Google. Si Google detecta una coincidencia, Google mostrará una alerta recomendando que cambie su contraseña para ese sitio.
La plataforma obtiene inicios de sesión comprometidos de “múltiples fuentes y socios confiables”, dijo Thomas, incluidos los foros clandestinos donde los volcados de contraseña se comparten abiertamente. “Tenemos una política ética de que nunca pagaremos a los delincuentes por datos robados”, continuó. “Pero solo en virtud de cómo funcionan estos mercados, muy a menudo, [los datos robados] aumentarán y estarán disponibles”. Utilizando las personas que Google tiene en esos mercados, la compañía puede adquirir los datos, dijo.
La herramienta Password Checkup, tardó entre dos y tres años desde el inicio para poder aparecer en muchos productos de Google, según Thomas. En el futuro, Google quiere a través de Security Checkup poder enviar un correo electrónico al usuario cuando detecte que un inicio de sesión almacenado se ha visto comprometido en una violación de datos, funcionalidad que la compañía planea lanzar en los próximos meses. Y a finales de este año, el propósito es permitir que las personas usen Password Checkup en Chrome, incluso si no han iniciado sesión en una cuenta de Google.
OTRAS COMPAÑÍAS TAMBIÉN OFRECEN HERRAMIENTAS DE VERIFICACIÓN DE CONTRASEÑA
Google no es la única compañía que ofrece algún tipo de funcionalidad de verificación de contraseña. El administrador de contraseñas pagadas 1Password, recomienda cambiar las contraseñas débiles o duplicadas y también ofrece Watchtower, que verifica los inicios de sesión con la base de datos Have I Been Pwned de Troy Hunt, de más de 9 mil millones de cuentas comprometidas y marca cualquier coincidencia. Apple recientemente anunció que su próxima versión de Safari tendrá una herramienta de monitoreo de contraseña que parece funcionar de manera similar a Password Checkup.
Pero en este escenario Google tiene la ventaja para ayudar a las personas con sus contraseñas gracias a su escala masiva. Y herramientas como Password Checkup y el administrador de contraseñas incorporado, abarcan un objetivo más amplio para facilitar la seguridad en línea para los usuarios.
“Lo que me gusta que sea la seguridad, y lo que creo que [Password Checkup] es un buen ejemplo de, es, ‘¿cómo facilitan que las personas normales hagan lo correcto?’”, Dijo el vicepresidente de ingeniería de seguridad de Google, Royal Hansen a The Verge “No se trata de alertarlo con más y más problemas”, dijo. “Se trata de hacerte más fácil, francamente, el paso más básico”.
Fuente: The verge
1 comment
La habilidad de bajar una aplicación y tenerla al alcance de un solo click en vez de tener que buscarla, es la verdadera utilidad de una app, sobre todo las que se instalan en los móviles o tablets.
Comments are closed.