Ampliar / Clave en pantalla digital Imágenes | D3Damon
Un nuevo sistema que verifica de forma segura si sus contraseñas tienen hecho público en violaciones de datos conocidas se ha integrado en El administrador de contraseñas ampliamente utilizado, 1Password. Esta nueva herramienta permite los clientes descubren si sus contraseñas se han filtrado sin transmitir credenciales completas a un servidor.
El investigador de seguridad Troy Hunt anunció esta semana su nuevo versión de “Contraseñas Pwned”, una herramienta de búsqueda y una lista de más de 500 millones de contraseñas que se han filtrado en violaciones de datos. Los usuarios puede acceder a él en línea y los desarrolladores pueden conectarle aplicaciones a través de una API.
En un día, la compañía AgileBits había integrado el nuevo Hunt herramienta en el administrador de contraseñas 1Password. Anuncio de AgileBits describe cómo funciona:
El nuevo servicio de Troy nos permite verificar sus contraseñas mientras manteniéndolos a salvo y seguros. Nunca nos los envían a nosotros ni a él Servicio.
Primero, 1Password comprueba tu contraseña con SHA-1. Pero enviando ese hash SHA-1 completo para el servidor proporcionaría demasiado información y podría permitir que alguien reconstruya su original contraseña. En cambio, el nuevo servicio de Troy solo requiere los primeros cinco caracteres del hash de 40 caracteres.
Para completar el proceso, el servidor devuelve una lista de filtrados hashes de contraseñas que comienzan con esos mismos cinco caracteres. 1Password luego compara esta lista localmente para ver si contiene hash completo de su contraseña. Si hay una coincidencia, entonces sabemos esto la contraseña es conocida y debe cambiarse.
Los clientes con cuentas de 1Password.com ya pueden usar la herramienta en un navegador web. Deberá ingresar “Shift-Control-Option-C (o Shift + Ctrl + Alt + C en Windows) para desbloquear la prueba de concepto “. Después eso, aparecerá un botón “Verificar contraseña” junto a su contraseñas
“Al hacer clic en el botón Verificar contraseña se llamará a Troy servicio y hacerle saber si su contraseña existe en su base de datos ” El CEO de AgileBits, Jeff Shiner, escribió. “Si se encuentra su contraseña, no significa necesariamente que se haya infringido su cuenta. Alguien De lo contrario, podría haber estado utilizando la misma contraseña. De cualquier manera, nosotros te recomiendo que cambies tu contraseña “.
1Password también tiene muchos clientes que compraron la computadora de escritorio o aplicaciones móviles pero no se han suscrito al nuevo servicio en línea. Todavía no pueden usar la herramienta, pero aparentemente ganarán acceso a ella en el futuro. “En futuras versiones agregaremos esto a Watchtower dentro de las aplicaciones 1Password, para que pueda ver su pwned contraseñas directamente en la aplicación 1Password que usa todos los días ” Shiner escribió.
Proporcionar la función a los usuarios de 1Password que no usan el El servicio en la nube de la compañía “es sin duda nuestra intención en este momento” Jeffrey Goldberg, “principal defensor contra las artes oscuras” de AgileBits le dijo a Ars hoy. “No hay nada en esta característica particular que hace uso de la tecnología que es específica para lo que se hace a través del servicio 1Password.com. Pero no sabremos qué inconvenientes tenemos encontrarnos hasta que comencemos el desarrollo para los clientes nativos “.
“Pudimos presentar lo que realmente es solo una prueba de concepto en nuestro cliente web en un día porque es mucho más rápido crear prototipos e implementar cosas allí que en clientes nativos “, Goldberg También dijo.
Las versiones futuras también pueden agregar la capacidad de “ver todos sus pwned contraseñas de un vistazo “.
Esfuerzo de equipo
Hunt elogió a AgileBits después de ver el resultado final.
“Estoy muy impresionado con lo que han hecho aquí; lancé esto servicio hace solo 27 horas y ya lo han eliminado ” Hunt tuiteó ayer. “No tenían conocimiento previo que estaba haciendo esto, simplemente pusieron manos a la obra de inmediato y lo hicieron posible. Eso es genial.”
Oye, ¿sabes qué sería genial? Si @ 1Password fuera a integrarse con mi modelo de anonimato de Pwned Passwords recién lanzado para que podría verificar de forma segura su exposición contra el servicio (tendría para ser aceptado, por supuesto). Oh wow, mira esto! https://t.co/RCspu1kNtR
– Troy Hunt (@troyhunt) 22 de febrero de 2018
Hunt pone a disposición datos de contraseña violados para descargar en su “¿Me han pwned?” sitio web, que también tiene la herramienta de búsqueda en línea para verificar contraseñas. La herramienta solía incluir un mensaje que dijo: “No envíe ninguna contraseña que use activamente a un tercero servicio, ¡incluso este! ”
El blog de Hunt explica cómo integró el nuevo enfoque más seguro en su sistema de verificación de contraseña.
“[E] l problema con mi implementación actual fue que mientras puede pasar solo un hash SHA-1 de la contraseña, si devuelve un golpeé e iba a tomar eso y revertirlo de nuevo al claro (que �Podría hacerlo fácilmente porque creé los hashes en primer lugar!) Yo sabría la contraseña. Eso hizo que el servicio fuera difícil de justificar enviando contraseñas reales a “, escribió Hunt.
Pero mientras Hunt estaba desarrollando la próxima versión el mes pasado, él escuché del ingeniero de Cloudflare, Junade Ali. Ali “quería construir un herramienta para buscar contraseñas Pwned V1 pero para hacerlo de una manera que permitió a terceros usarlo y mantener anonimato.”
La caza continuó:
Sin embargo, la idea de Junade era diferente; propuso usar un propiedad matemática llamada anonimato k y dentro del alcance de Contraseñas Pwned, funciona así: imagina si quisieras comprobar si la contraseña “P @ ssw0rd” existe en el conjunto de datos. (Por cierto, los hackers han descubierto que la gente hace cosas como esta. Lo sé, apesta. Están sobre nosotros.) El hash SHA-1 de eso la cadena es “21BD12DC183F740EE76F27B78EB39C8AD972A757”, así que estamos lo que vamos a hacer es tomar solo los primeros 5 caracteres, en este caso que significa “21BD1”. Eso se envía a la API Pwned Passwords y responde con 475 sufijos hash (eso es todo después de “21BD1”) y un recuento de cuántas veces ha sido la contraseña original visto
“Este modelo de anonimato es lo que ahora se encuentra detrás de la línea función de búsqueda “, escribió Hunt. Si escribe una contraseña en la búsqueda campo, está cifrado en su dispositivo “y solo los primeros 5 caracteres [son] pasados a la API. “Hunt tiene la suficiente confianza en este método que eliminó la advertencia contra escribir contraseñas en uso en El formulario de búsqueda.
Ali ha escrito sobre la tecnología con más detalle sobre el Blog de Cloudflare, porque aplica k-Anonymity a la contraseña hashes “en forma de consultas de rango … la API de contraseñas Pwned el servicio nunca obtiene suficiente información sobre un no violado hash de contraseña para poder violarlo más tarde “, escribió Ali.
La publicación también describe cómo los desarrolladores de software pueden integrarse El nuevo sistema de comprobación de contraseña en sus aplicaciones.
Como se señaló anteriormente, la implementación de 1Password actualmente limita comprobación de contraseña a una contraseña a la vez. No está claro cuándo el servicio podría agregar soporte para verificar todas las contraseñas en una vez. La compañía quiere asegurarse de presentar la información como con la mayor precisión posible antes de aplicar la herramienta de búsqueda a un usuario contraseña completa llavero.
“Tenemos la intención de llevar esto a nuestra herramienta de Auditoría de Seguridad, pero nosotros También necesitamos más información sobre cómo presentar esto “, Goldberg dijo. “Hay margen para que las personas malinterpreten lo que significa cuando algo se encuentra en la lista [contraseñas violadas], dado que el la lista es muy grande “.
En un comentario en el blog AgileBits, Goldberg ofreció más explicación de cómo los usuarios deben interpretar su verificación de contraseña resultados. Por ejemplo, solo porque su contraseña está en la lista no significa que su cuenta se haya visto comprometida “, pero debería cambiar [su contraseña] junto con otras contraseñas débiles porque son debiles.”
Si tiene una contraseña muy segura que está en la lista de contraseñas violadas, debe “cambiar la contraseña de inmediato” porque “es probable que las credenciales de su cuenta hayan sido comprometido “, escribió Goldberg.
