Google escogió el Día de Inter Segura para anunciar Password Checkup, una extensión de Chrome diseñada para avisar a los usuarios cuando introducen un nombre de usuario y contraseña que la empresa ha detectado en alguna filtración.
Al igual que el recientemente lanzado Mozilla Firefox Monitor, Password Checkup tiene un nivel superficial sencillo en el que interactúa el usuario, construido sobre elaboraciones más complicadas que necesitan una explicación más extensa.
La parte sencilla
Después de descargarlo de la web, Password Checkup se instala, del mismo modo que cualquier otra extensión, como un icono en la barra de direcciones de Chrome.
Cada vez que un usuario entra en una web, la extensión comprueba si la versión hash del identificador y contraseña se encuentra en una de base de datos con cuatro mil millones registros de filtraciones recopiladas por Google, avisando si descubre una concordancia.
Esto presenta una oportunidad: conectar a la web y cambiar la contraseña para que Password Checkup deje de mostrar la advertencia. Otra posibilidad es hacer caso omiso y hacer clic en cerrar.
La advertencia continuará saltando para esa web hasta que el usuario haga clic en “ignorar en este sitio”. Si se quiere restablecer las advertencias para ese sitio se deberá ir a la configuración avanzada de la extensión y escoger “Borrar datos de la extensión”.
Para evitar avisos molestos, no alertará cuando detecte contraseñas triviales (123456) y solo la activará cuando detecta que el par formado por el nombre de usuario y la contraseña se encuentra en la base de datos.
Antes de sumergirnos en cómo Google realiza la comprobación de credenciales, Kurt Thomas, senior product manager en Google, hizo un interesante comentario en una entrada de blog:
Hemos reseteado automáticamente la contraseña de las cuentas de Google si han estado comprometidas en una brecha de seguridad (una medida de seguridad que reduce el riesgo de que las cuentas sean hackeadas por un factor de diez).
En otras palabras, la empresa lleva realizado comprobaciones de las contraseñas de Google y G Suite durante algún tiempo.
Google ya aludió a este tema en 2014, lo que nos dice que Password Checkup no salió de la nada.
Desde entonces, han estado creando silenciosamente su propia base de datos de credenciales comprometidas tal y como se encuentran en Internet, lo que potencialmente se mezcla con la base de datos similar, pero no idéntica de Have I Been Pwned (HIBP) utilizada por Firefox Monitor.
La parte complicada
Como con Firefox Monitor, un punto importante es cómo Google comprueba las credenciales con su base de datos sin que nadie pueda interceptar la búsqueda, ni filtrar su propia base de datos al usuario. Según Google:
Password Checkup aborda todos estos requisitos empleando múltiples rondas de hashing, k-anonimato, recuperación de información privada y una técnica llamada blinding.
En efecto, Google dice que estaba tan preocupado por la privacidad que consultó con ingenieros criptográficos de la Universidad de Stanford para que les ayudaran con la seguridad del sistema.
El resultado de la colaboración es que Google realiza un hash de las nuevas entradas en su base de datos central de credenciales comprometidas utilizando el algoritmo Argon 2, cifrando la salida empleando una curva elíptica de cifrado. Un prefijo de 2-byte del hash se deja sin cifrar para el indexado.
Cuando un usuario entra en una web con la extensión ejecutándose, realiza un proceso idéntico pero local en las credenciales del usuario, esta vez el cifrado utiliza una clave secreta del lado del usuario (lo único que se envía a Google es el 2-byte anónimo del hash).
Entonces Google envía al usuario una base de datos cifrada con todas las contraseñas y nombres de usuarios que comparten ese prefijo. La búsqueda final del par formado por las credenciales del usuario y la base de datos se realiza localmente, permaneciendo seguros la información del usuario y la base de datos.
Es similar a una forma más desarrollada del principio k-anonimato empleado por Firefox Monitor para buscar en la base de datos de HIBP alojada por Cloudflare.
Por supuesto, hablando de Google, esto va a levantar sospechas. Parece que han tomado las medidas necesarias para alejar esos miedos, pero nuestro consejo es que si crees que puede haber gato encerrado simplemente no lo utilices.
Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:
Dejar un comentario