Google anunció que integrará la herramienta Password Checkup en su panel de Revisión de Seguridad, disponible para todas las cuentas de la empresa. El objetivo es evitar que las personas reutilicen las mismas contraseñas en múltiples cuentas, y advertir cuando ello ocurre.
Password Checkup contrasta las credenciales de los usuarios contra una base de datos de 4.000 millones de credenciales que se han filtrado, revisando si esa contraseña que el usuario ingresó está entre las filtradas.
Password Checkup se lanzó inicialmente como una extensión para Chrome en febrero de 2019, pero a partir de octubre se sumó a las cuentas de Google y a partir de diciembre pasado está integrada en Chrome.
Según una encuesta hecha por la compañía el año pasado, 52% de las personas reutilizan una contraseña para múltiples cuentas distintas, y un 13% utiliza la misma contraseña para todo.
Reutilizar contraseñas puede ser una forma de recordar una clave compleja que sea poco probable de adivinar, sin embargo si esta es utilizada en muchos servicios, y uno de estos es hackeado y la información se filtra, todas las cuentas quedarán vulnerables. Con solo esa filtración, los atacantes podrían acceder a múltiples cuentas, sin importar qué tan complicada sea la contraseña.
Google trabajó con la universidad de Stanford para crear un sistema que haga el chequeo de las contraseñas contra la base de datos de una forma que respete la privacidad, sin revelar las contraseñas a Google o darle acceso al usuario a la base de datos.
Para lograr esto, Google almacena una versión cifrada y hasheada de todos los usuarios y contraseñas que han sido expuestos en filtraciones. Cuando el usuario ingresa a una cuenta, Google enviará la versión cifrada y hasheada de las credenciales para revisar en la base de datos. Si se detecta una coincidencia, Google mostrará una alerta recomendando elegir otra contraseña.
Google planea en los próximos meses que Password Checkup envíe un email cuando detecte que una de las contraseñas almacenadas ha sido comprometida en una filtración de datos. También para este año se espera permitir el uso de la herramienta en Chrome sin estar logueado con una cuenta de Google.