Cómo esta lista de 500 millones de contraseñas hackeadas puede ayudar a protegernos de futuras brechas de seguridad

Troy Hunt, el conocido experto en seguridad y creador de Have I Been Pwned, ese sitio donde podemos comprobar si nuestro email alguna vez se ha visto comprometido en una brecha de datos, ha lanzado la segunda versión de Pwned Passwords, una colección de más de 500 millones de contraseñas disponibles para que cualquiera las descargue.

La intención de Hunt con este proyecto es el ofrecer una base de datos de contraseñas que han sido hackeadas en diferentes brechas de seguridad, para que cualquier organización pueda usarlas para proteger mejor sus sistemas. ¿Cómo?, así lo explica:

Bloquear contraseñas riesgosas

"Esta contraseña ha aparecido antes en una brecha de datos. Por favor utiliza una alternativa más segura."

La idea es usar esos 501.636.842 passwords expuestos hasta la fecha para que los servicios que usamos recomienden a sus usuarios no usarlos al momento de elegir o cambiar contraseñas.

Si alguien está creando una cuenta en un servicio y está usando una contraseña que ha aparecido previamente en una brecha de datos, las probabilidades son de que esa persona esté volviendo a usar la misma contraseña (malo), o se trata de dos personas que por mera coincidencia están usando la misma contraseña. Eso significa que esas dos personas probablemente tengan perros con el mismo nombre o compartan algún otro atributo personal que están usando para elegir su contraseña (también malo).

Recordemos que la base de datos de las contraseñas de Pwned Passwords vienen recopiladas de múltiples brechas de datos que se han hecho públicas, lo que quiere decir que más de un tercero con malas intenciones se pueden haber hecho con ellas hace tiempo, y siempre pueden usarlas para intentar robar las credenciales de aquellos usuarios que nunca se tomaron la molestia de cambiar sus contraseñas.

Troy Hunt está ofreciendo justamente eso pero mejor organizado, los millones de contraseñas que necesita cualquier organización para comparar y evitar que el usuario use contraseñas vulnerables.

Un vistazo a…
Cómo utilizar la nemotecnia para crear y recordar contraseñas complejas y seguras

No se trata de bloquear 500 millones de contraseñas

Sin embargo, no es tan simple como bloquear medio millón de contraseñas e impedir que alguien las use solo porque alguna vez han aparecido en una brecha. Eso sería una pesadilla de usabilidad.

Es por eso que en Pwned Passwords cada contraseña de la base de datos tiene un número al lado: uno que indica cuántas veces la contraseña vulnerable ha aparecido en todas las fuentes de brechas.

Añadir un número de prevalencia le permite a quien administre el sistema hacer cosas como por ejemplo, bloquear por completo una contraseña que ha aparecido millones de veces, y si el usuario elige una que ha salido unas cien veces o menos, entonces recomendarle usar otra.

Hunt ha armado este proyecto de su propio bolsillo y aunque acepta donaciones, todo está disponible gratis para cualquiera. Espera que esta iniciativa anime a otros a construir cosas usando estos datos y al final tener un impacto positivo en la seguridad online de todos.

Más información | Troy Hunt
En Genbeta | Cambiar constantemente de contraseña y usar caracteres especiales es inútil, según quien lo recomendó originalmente

Ver todos los comentarios en https://www.genbeta.com

VER 6 Comentarios

Portada de Genbeta