Con listas de miles de millones de credenciales comprometidas flotando en foros clandestinos y en páginas de pegado de texto a través de Internet, es difícil para alguien mantenerse al día con la amenaza potencial de contraseñas violadas. Es por eso que, como parte de sus esfuerzos de seguridad durante un Día de Internet más seguro, Google ha lanzado un nuevo complemento para el navegador Chrome que verifica de forma automática y segura las credenciales del sitio web contra las violaciones de contraseña conocidas.
La extensión del navegador Chrome, llamadaComprobación de contraseña, esdisponible hoy. Comprueba de forma segura las credenciales utilizadas para iniciar sesión en sitios web, ya sea que se ingresen manualmente o estén almacenadas en el administrador de contraseñas de Chrome, contra las credenciales de hash almacenadas en una base de datos cifrada de miles de millones de cuentas comprometidas mantenidas por Google. Elie Bursztein, jefe de la investigación contra el abuso de Google, dijo a Ars que el protocolo detrás del servicio se presenta como un estándar para verificar de forma segura la seguridad de la cuenta y que la interfaz puede ofrecerse como una interfaz de aplicación abierta en el futuro.
La comprobación de violaciones de contraseña es una operación sensible. El equipo de seguridad de Google ha estado ofreciendo comprobaciones de contraseña para los usuarios de G Suite durante algún tiempo, pero hacer lo mismo con el resto de las credenciales de los usuarios es un baile de privacidad mucho más delicado. Los usuarios no solo quieren entregar sus contraseñas y cuentas a Google abiertamente, y "Google tiene un conjunto de datos que no queremos compartir públicamente", dijo Kurt Thomas, científico investigador del personal de Google. Por lo tanto, Password Checkup usa una combinación de anonimización y criptografía para proteger el intercambio, usando una técnica llamada \ "blinding \" para crear un índice de búsqueda secreto. Las credenciales se anonimizan con una función hash Argon2 para crear una clave de búsqueda para la base de datos de Google y se cifran con criptografía de curva elíptica.
No hay comentarios:
Publicar un comentario