AgileBits ha anunciado una característica tremendamente importante para las suscripciones de 1Password: la capacidad de ver si sus contraseñas son contraseñas pwned. Técnicamente, ahora es solo una prueba de concepto, pero AgileBits dijo que estaba trabajando en una implementación más profunda dentro de 1Password. Esto es lo que necesita saber al respecto.
Contraseñas Pwned de Troy Hunt V2
Pwned es una jerga geek para algo que se ha comprometido: ha sido propiedad, por así decirlo, que se escribió como pwned y, por lo tanto, nació un concepto. Con una gran cantidad de violaciones de datos, los delincuentes han cometido cientos de millones de inicios de sesión, y esas contraseñas están siendo vendidas y utilizadas por malhechores en todo el mundo.
Entra Troy Hunt, un buen tipo si alguna vez hubo uno. Entre sus muchos proyectos relacionados con la seguridad se encuentra Pwned Passwords V2. Es una base de datos accesible de todos los inicios de sesión comprometidos que el Sr. Hunt ha podido recopilar de los rincones oscuros de las redes.
Se puede acceder a esta base de datos a través de una API, y AgileBits ha creado un mecanismo de prueba de concepto para comparar sus contraseñas con esa base de datos. Y es bastante asombroso.
Encontrar contraseñas Pwned con 1Password
Para utilizar esta prueba de concepto, deberá iniciar sesión en su membresía de 1Password en línea; aún no está disponible dentro de la aplicación. Aquí hay un video instructivo de AgileBits:
En forma escrita, así es como AgileBits describió el proceso:
- Inicie sesión en su cuenta en 1Password.com. Haga clic en Abrir bóveda para ver los elementos en una bóveda, luego haga clic en un elemento para ver sus detalles. Ingrese la secuencia del teclado mágico Shift-Control-Option-C (o Shift + Ctrl + Alt + C en Windows) para desbloquear la prueba de concepto. Haga clic en el botón Comprobar contraseña que aparece junto a su contraseña.
Al hacer clic en el botón Comprobar contraseña, llamará al servicio de Troy y le permitirá saber si su contraseña existe en su base de datos. Si se encuentra su contraseña, no significa necesariamente que su cuenta haya sido violada. Alguien más podría haber estado usando la misma contraseña. De cualquier manera, le recomendamos que cambie su contraseña.
Recuerde, esta es una prueba de concepto. Troy Hunt lanzó su servicio ayer, y felicitaciones locas a AgileBits por sacar esto tan rápido.
Esto no expondrá sus contraseñas
Aquí está la parte genial, y es una combinación del servicio de Troy Hunt y la implementación de AgileBits. Su contraseña no se envía a ninguna parte. En cambio, su contraseña es hash, y luego los primeros cinco caracteres de ese hash son enviados por 1Password a Pwned Passwords V2.
Luego, el servicio envía todas las contraseñas conocidas que coinciden con esos primeros cinco caracteres. Es 1Password en sí mismo que luego compara su contraseña completa con todas esas contraseñas pwned. Se accede a su contraseña desde su propia bóveda y no se envía a ninguna parte, y luego se compara con contraseñas comprometidas conocidas.
Siempre que actúe en función de los resultados y cambie las contraseñas necesarias, el mundo se convertirá en un lugar un poco más seguro. ¿Cuan genial es eso?
Más viene
AgileBits no ha ofrecido un cronograma, pero en su publicación de blog, la compañía dijo que llegará una implementación más completa a la función Watchtower de la aplicación 1Password. Hubo sugerencias que incluirían la capacidad de verificar todas sus contraseñas a la vez, en lugar de tener que hacerlo una a la vez.
Así que me quito el sombrero ante AgileBits y Troy Hunt: ¡vaya y sea consciente de su seguridad en línea!
