El portal ‘Have I Been Pwned‘ lleva un tiempo siendo la web de referencia para saber si nos han hackeado una contraseña o, más recientemente, nuestro número de teléfono móvil.
Cuenta con una base de datos de miles de millones de direcciones de email y números de teléfono que seguirá creciendo. Ahora, se anuncian novedades. La primera es que van a colaborar con el FBI, con el objetivo que las bases de datos de contraseñas hackeadas a las que tenga acceso el FBI sean facilitadas a la página web para que las añada y que los usuarios puedan comprobar si se han visto involucrados en un hackeo.
El FBI subirá contraseñas a ‘Pwned Passwords‘
Con ello, el FBI tendrá vía directa para subir contenido directamente a la base de datos de la web para que esta la indexe y la haga accesible a los usuarios. El FBI ofrecerá las contraseñas como hashes SHA-1 y NTLM y no en texto plano. No proveerá ningún otro dato personal, y esas contraseñas irán incorporándose a la base de datos de ‘Pwned Passwords’, que ya cuenta con más de 600 millones de contraseñas filtradas.
Que una contraseña aparezca ahí ya es suficiente para tener claro que no tenemos que utilizarla en ningún servicio, ya que alguien puede coger esa base de datos y probar esas contraseñas hasta que una coincida con nuestra cuenta. También hay que tener en cuenta que el hecho de que una contraseña no aparezca ahí no implica que sea segura, ya que hay que buscar la manera de tener contraseñas complejas y seguras con las que ponérselo más difícil a los piratas informáticos.
‘Pwned Passwords’ ahora será open source
También hay otra interesante novedad, y es que ahora su creador y encargado, el investigador de seguridad Troy Hunt, ha decidido que se convierta en un proyecto open source, de manera que otros puedan contribuir al proyecto y sea más fácil encontrar credenciales que hayan sido hackeadas.
https://twitter.com/troyhunt/status/1397990619985838081?ref_src=twsrc%5Etfw%7Ctwcamp%5Etweetembed%7Ctwterm%5E1397990619985838081%7Ctwgr%5E%7Ctwcon%5Es1_&ref_url=https%3A%2F%2Fdiarioinforme.com%2Fel-programa-de-contrasenas-de-have-i-been-pwned-ahora-es-de-codigo-abierto-y-acepta-datos-del-fbi%2F
Al convertirse en open source, otras empresas pueden integrar la comprobación directamente en sus servicios. Por ejemplo, Microsoft no deja a los usuarios poner como contraseña una que haya estado en un hackeo, y otros gestores de contraseñas podrían hacer lo mismo con esta nueva herramienta de implementación gratuita.
Puedes encontrar el código de Contraseñas Pwned en GitHub.
Troy Hunt también ha comentado que el portal se acerca ya a la cifra de 1.000 millones de comprobaciones al mes. Este dato nos da una idea aproximada de que 1 de cada 8 personas del mundo comprueba cada mes si su correo o contraseña está presente en un hackeo. Así que, se hace evidente que cada día hay más gente preocupada por su seguridad, aunque se siguen utilizando en la mayoría de los casos contraseñas poco seguras.
Existen algunos consejos sencillos para manejar las cuentas en línea de la forma más segura posible y elegir contraseñas seguras. Aquí resumimos los más importantes:
- Las contraseñas deben ser lo más largas posible.
- Deben utilizar combinaciones de caracteres únicas en lugar de palabras del diccionario.
- Las contraseñas nunca deben utilizarse más de una vez para diferentes servicios.
- La autenticación de dos factores debe utilizarse en todos los servicios que la ofrezcan.
Fuente | The record