Google publica la extensión Password Checkup para Chrome

Password Checkup es una nueva extensión de navegador para el navegador web Google Chrome de Google que informa a los usuarios sobre nombres de usuario o contraseñas inseguras.

Los usuarios de Internet tienen algunas opciones a la hora de probar la solidez de las contraseñas y descubrir si alguna de sus cuentas se incluyó en las filtraciones.

La base de datos Have I Been Pwned es probablemente la mayor base de datos pública de contraseña filtrada; consta de más de 6.400 millones de cuentas, y puede verificar cualquier dirección de correo electrónico o contraseña de la cuenta en la base de datos.

Algunos administradores de contraseñas admiten comprobaciones de contraseñas; mi herramienta favorita, KeePass, es compatible con esto para que pueda verificar todas las contraseñas en la base de datos localmente para revelar cuentas que necesitan cambios de contraseña, ya que debe considerar comprometida cualquier contraseña filtrada.

Comprobación de contraseña por Google

La solución de comprobación de contraseña de Google está disponible como una extensión de Chrome. Funciona solo con el administrador de contraseñas integrado del navegador Chrome y no si usa administradores de contraseñas de terceros como LastPass o 1Password.

La comprobación de contraseña utiliza un sistema diferente cuando se trata de informar a los usuarios sobre credenciales inseguras.

Comprueba la contraseña que se utiliza para iniciar sesión en cuentas en Internet cuando se inician sesión en una base de datos de más de 4 mil millones de contraseñas.

Google mantiene una lista de nombres de usuario y contraseñas filtrados en formato cifrado y hash, y agrega nuevas credenciales cada vez que se da cuenta de ellos.

La compañía señala que la extensión y el sistema se diseñaron teniendo en cuenta la privacidad debido a la naturaleza sensible de los datos. La extensión fue diseñada para "nunca revelar [..] información personal a Google" y "evitar que un atacante abuse de Password Checkup para revelar nombres de usuario y contraseñas inseguras".

Password Checkup envía una copia cifrada y cifrada del nombre de usuario a Google cuando los usuarios inician sesión en los sitios. Google utiliza el cegamiento y la recuperación de información privada para buscar en la base de datos de credenciales inseguras; La verificación final que determina si el nombre de usuario o la contraseña se expusieron en una violación de datos ocurre localmente según Google.

La extensión del navegador muestra información procesable si se descubrió que el nombre de usuario o la contraseña se filtraron en línea. Se solicita a los usuarios que cambien la contraseña en ese mismo momento, pero también es posible ignorar los hallazgos de sitios específicos.

Google planea refinar la extensión en los próximos meses. Puede consultar la publicación en el blog de Google Security para obtener información adicional.

Palabras de clausura

La verificación de contraseña utiliza un enfoque diferente para la mayoría de los verificadores de pérdida de contraseña que existen. El nombre de usuario y la contraseña solo se verifican si el usuario inicia sesión en los sitios. Si bien eso conlleva un poco de estrés al tener que cambiar las contraseñas en docenas o incluso cientos de sitios, podría significar que un usuario nunca se da cuenta de los problemas de credenciales o solo después de un período prolongado.

Además, dado que Google usa su propio conjunto de datos, es posible que no se encuentre una contraseña o nombre de usuario filtrado en la base de datos de Google, sino en Have I Been Pwnds u otros en Internet (y viceversa). Una prueba rápida mostró que Google no detectó infracciones en algunas cuentas, mientras que Have I Been Pwned sí.

Google podría resolver algunos de los problemas de la extensión agregando una opción para verificar todos los nombres de usuario y contraseñas almacenados en su base de datos de credenciales filtradas.

Ahora tú: ¿Cuál es tu impresión de Password Checkup hasta ahora?