Extensión de Chrome para verificar contraseñas comprometidas

Chrome lanza una extensión similar a Firefox Monitor pero con una filosofía completamente distinta. Si la función de Firefox está integrada y se basa fundamentalmente en la consulta a la base de datos de haveIbeenPowned.com, "Password Checkup" resulta completamente diferente y totalmente centrada en la privacidad de los datos del usuario.

Se trata de una extensión opcional, y se basa en datos de usuario y contraseñas comprometidos de una base de datos de 4 mil millones de credenciales que Google reconoce como inseguros.

Password Checkup

Password Checkup fue diseñado conjuntamente con expertos en criptografía en la Universidad de Stanford para garantizar que Google nunca conozca su nombre de usuario y contraseña, y que cualquier dato de incumplimiento esté a salvo de una exposición más amplia. Dado que Password Checkup es un experimento inicial, estamos compartiendo los detalles técnicos de preservación de la privacidad para ser transparentes acerca de cómo mantener sus datos seguros.

 El chequeo de contraseña cumple con tres principios clave:

• Las alertas son procesables, no informativas: creemos que una alerta debe proporcionar consejos de seguridad precisos. La extensión se centra solo en advertir sobre nombres de usuario y contraseñas no seguros.
• Privacidad: el chequeo de contraseña preservan la privacidad para nunca revelar esta información personal a Google. Todas las estadísticas reportadas por la extensión son anónimas. Estas métricas incluyen la cantidad de búsquedas que surgen de una credencial no segura, si una alerta provoca un cambio de contraseña y el dominio web involucrado para mejorar la compatibilidad del sitio.
• Consejos que evitan la fatiga: solo se avisa al usuario cuando la información necesaria para acceder a su cuenta haya caído en manos de un atacante. Solo se genera una alerta cuando el nombre de usuario y contraseña actuales aparecen en una filtración confirmada, ya que esto representa un gran riesgo.

La comprobación de la contraseña aborda todos estos requisitos mediante el uso de múltiples rondas de hashing, k-anonymity, recuperación de información privada y una técnica llamada blinding.Este enfoque busca un equilibrio entre la privacidad, la sobrecarga de cómputo y la latencia de la red. Si bien la Recuperación de Información Privada (PIR) y 1-out-of-N oblivious transfer resuelve algunos requisitos, la sobrecarga de comunicación involucrada para una base de datos de más de 4 mil millones de registros es actualmente intratable.

Como funciona la comprobación de contraseña

Para cumplir los requerimientos anteriores, se realiza el siguiente proceso.

Para poder realizar comprobaciones rápidas para todos sobre tal cantidad de información y a la vez mantener la privacidad, Google mantiene cifrados los datos en la nube con una clave maestra, e indexa los dos primeros bytes del hash de la credencial. Hashea los datos del usuario cuando los introduce en el navegador y con ello es capaz de buscar por el índice rápidamente. El resto de la comprobación se  realiza en local con los datos recuperados que coincidan con el índice, pero siempre con las contraseñas cifradas bien con una clave local única para la extensión, bien con la clave del servidor.

Fuente: Google