A principios del año Google lanzó una extensión para Chrome llamada Google Password Chekup, su función es realizar comprobaciones de forma proactiva y silenciosa para alertarnos cuando nuestras credenciales sean inseguras, es decir, Google verifica si tu usuario o contraseña alguna vez han sido expuestos en una brecha de seguridad y te dice si deberías cambiarlos.
Ahora en Google han decidido expandir esta herramienta y la van a integrar con su propio Administrador de contraseñas, es decir, simplemente podrás ir a tu página de gestión de las contraseñas que tienes almacenadas en Google para que un click se te informe si tus claves han sido expuestas.
En Genbeta conversamos con Elie Bursztein, líder del equipo de investigación y desarrollo contra el fraude y el abuso de Google sobre esta herramienta, cómo funciona, su finalidad y los beneficios que supone usar un gestor de contraseñas.
No es igual que 'Have I Been Pwned'
En Genbeta mucho hemos hablado de Have I Been Pwned, una web que desde hace varios años comprueba nuestras credenciales con una enorme base de datos de brechas de seguridad y nos dice si nuestro email o contraseña han sido comprometidos.
De hecho, navegadores como Firefox lo integran mediante Firefox Monitor para decirte si tus datos se han filtrados o si una web que visitas ha sufrido una brecha de datos.
Google Password Chekup suena similar, pero como nos explica Elie, funciona diferente: "Nosotros revisamos login y contraseña de una forma que preserva la privacidad, lo que significa que nunca sabremos nada sobre tu usuario ni contraseña, para ello trabajamos con una universidad para construir un protocolo de protección de privacidad".
Además de esto Bursztein explica que con la herramienta de Google nunca hay un falso positivo, siempre están 100% seguros de si tus datos han sido comprometidos.
Bursztein cree que esto ofrece valor al usuario porque no te dicen cuáles de tus cuenta "podrían estar comprometidas" sino cuáles sí lo están con certeza, es decir, "los hackers las tienen".
La razón detrás de este proyecto es que hace unos cuatro cinco años en la empresa empezaron a investigar activamente las credenciales de los usuarios de Google que se habían filtrado en brechas de datos y se encontraron con más de 100 millones de cuentas.
Esta herramienta es para aquellos que no saben o tiene tiempo de ir a buscar sus datos en esas bases de datos filtradas para comprobar si sus credenciales se han expuesto.
No usar la misma contraseña en todos lados
Cuando le preguntamos por otros métodos que pudiesen reemplazar las contraseñas en el futuro, Elie nos dijo que no cree que se trate sobre cambiar de tener contraseñas a no tener contraseñas, cree que lo más importante es empezar por usar un gestor de contraseñas para no utilizar la misma en todos lados.
Solo 20% de los usuarios utiliza un gestor de contraseña, así que 8 de cada 10 personas generan los passwords ellos mismos y terminan usando el mismo en todos lados, cuando uno se ve comprometido se comprometen todos. El primer paso es lograr que la gente empiecen a usar un gestor, y si luego podemos lograr que usen la autenticación en dos factores incluso cuando se filtre un password, se necesitará ese otro factor para poder comprometer sus datos
A favor y en contra del uso de gestores de contraseñas hay muchos argumentos, pero uno que suele detener a algunos usuarios es el hecho de que estos dependen de una contraseña maestra, y si esa se ve comprometida entonces todo se ve comprometido.
Elie entiende esa preocupación y tiene claro que es un problema, piensa que es un intercambio que la gente tiene que decidir hacer y que compensa, ningún método es perfecto, y lo más ideal es proteger muy bien esa contraseña maestra haciéndola segura y utilizar un servicio con buena reputación:
Más adelante este mismo año Google Password Chekup pasará a formar parte de Chrome también, de forma que ofrecerán protección en tiempo real sin necesidad de extensiones.
De momento, puedes acceder a g.co/securitycheckup y passwords.google.com para revisar tus contraseñas almacenadas y verificar si han sido comprometidas en brechas de datos, si están siendo usadas en diferentes sitios o incluso si se son muy débiles.
Ver 8 comentarios