Google ayuda a mantener su cuenta a salvo de secuestro con una estrategia de defensa en profundidad que abarca la prevención, la detección y la mitigación . Como parte de esto, regularmente restablecemos las contraseñas de las cuentas de Google afectadas por violaciones de datos de terceros en el caso de que se reutilice la contraseña. Esta estrategia nos ha ayudado a proteger a más de 110 millones de usuarios solo en los últimos dos años. Sin estas medidas de seguridad, los usuarios correrían un riesgo diez veces mayor de secuestro de cuenta.

Queremos ayudarlo a mantenerse seguro no solo en Google, sino también en otros sitios en la web. Aquí es donde la nueva extensión de Password Checkup Chrome puede ayudar. Cada vez que inicie sesión en un sitio, Password Checkup activará una advertencia si el nombre de usuario y la contraseña que usa son una de las más de 4 mil millones de credenciales que Google sabe que no son seguras.

Password Checkup fue diseñado conjuntamente con expertos en criptografía en la Universidad de Stanford para garantizar que Google nunca aprenda su nombre de usuario o contraseña, y que cualquier dato de incumplimiento esté a salvo de una exposición más amplia. Dado que Password Checkup es un experimento inicial, estamos compartiendo los detalles técnicos detrás de nuestro protocolo de preservación de la privacidad para ser transparentes acerca de cómo mantener sus datos seguros.

Diseñamos el: Chequeo de contraseña con tres principios clave en mente

-Las alertas son procesables, no informativas: creemos que una alerta debe proporcionar consejos de seguridad precisos y precisos. Para una cuenta insegura, eso significa restablecer su contraseña. Si bien es posible que las violaciones de datos expongan otros datos personales, como un número de teléfono o una dirección de correo, no hay un paso sencillo para volver a proteger esos datos. Por eso nos enfocamos solo en advertirle sobre nombres de usuario y contraseñas no seguros.

-La privacidad está en el corazón de nuestro diseño: sus nombres de usuario y contraseñas son increíblemente sensibles. Diseñamos el Chequeo de contraseña con tecnologías que preservan la privacidad para nunca revelar esta información personal a Google. También diseñamos la Comprobación de contraseñas para evitar que un atacante maltrate la Comprobación de contraseñas para revelar nombres de usuario y contraseñas no seguros. Finalmente, todas las estadísticas reportadas por la extensión son anónimas. Estas métricas incluyen la cantidad de búsquedas que surgen de una credencial no segura, si una alerta provoca un cambio de contraseña y el dominio web involucrado para mejorar la compatibilidad del sitio.

-Consejos que evitan la fatiga: diseñamos la comprobación de contraseña para que solo le avise cuando toda la información necesaria para acceder a su cuenta haya caído en manos de un atacante. No le molestaremos con las contraseñas obsoletas que ya ha restablecido o simplemente con contraseñas débiles como "123456". Solo generamos una alerta cuando su nombre de usuario y contraseña actuales aparecen en una infracción, ya que esto representa un gran riesgo.

Establecerse en un enfoque

En un nivel alto, Password Checkup debe consultar a Google sobre el estado de violación de un nombre de usuario y contraseña sin revelar la información consultada. Al mismo tiempo, debemos asegurarnos de que no se filtre ninguna información sobre otros nombres de usuario o contraseñas no seguros en el proceso, y que la adivinación de fuerza bruta no sea una opción. La Comprobación de la contraseña aborda todos estos requisitos mediante el uso de varias rondas de hashing, k-anonimato e intersección de conjuntos privados con cegamiento.

Nuestro enfoque logra un equilibrio entre la privacidad, la sobrecarga de cómputo y la latencia de la red. Mientras que un solo partido de recuperación de información privada (PIR) y la transferencia ajeno 1-fuera-de-N resolver algunos de nuestros requerimientos, la sobrecarga que implica la comunicación de una base de datos de más de 4 mil millones de registros es actualmente intratables. Alternativamente, los enclaves de hardware y PIR de k-party presentan alternativas eficientes, pero requieren la confianza del usuario en esquemas que aún no se implementan ampliamente en la práctica. Para K-party PIR, existe un riesgo de colusión; Para los enclaves, existe un riesgo de vulnerabilidades de hardware y canales laterales.

Protegiendo tus cuentas

La comprobación de contraseña está disponible actualmente como una extensión para Chrome. Como esta es una primera versión, continuaremos refinándola en los próximos meses, incluida la mejora de la compatibilidad del sitio y la detección de campos de nombre de usuario y contraseña.

Fuente: https://security.googleblog.com/2019/02/protect-your-accounts-from-data.html