Es probable que alguna de tus contraseñas ya no sea segura. Y es más probable aún que no te hayas enterado. Precisamente para evitarlo nace Firefox Monitor, un servicio gratuito de Mozilla que te avisará si tus contraseñas se han visto comprometidas.
Para hacerlo en Mozilla han colaborado con el famoso servicio 'Have I Been Pwned' (HIBP), una base de datos desarrollada por el experto en ciberseguridad Troy Hunt que permite conocer si nuestras direcciones de correo electrónico se han visto expuestas en alguno de esos robos de datos masivos.
Será más fácil que te enteres de si te han robado tus credenciales
Ahora Mozilla quiere tratar de minimizar los efectos colaterales de estos desastres avisando a los usuarios activamente en lugar de obligarlos a ellos a rebuscar información para comprobar si sus cuentas han sido robadas por los cibercriminales que efectúan estos ataques.
Esa ha sido la motivación de la aparición de Firefox Monitor, un sitio web que aprovecha la potencia de HIBP pero no comparte información sobre ella en el sentido de que cuando introducimos una dirección de correo para saber si se ha visto comprometida, esta no está completamente visible a la base de datos.
Así, la información con la que se comprueban las correspondencias está "hasheada" por partes y esa dirección completa nunca llega a ser compartida por ambos servicios (ni por terceras partes).
Si son usuarios de Firefox, esta colaboración permitirá que reciban notificaciones cuando visitan sitios web en los que ha habido robos de credenciales, algo a lo que se suman nuevas características 'anti-tracking' que de momento están en las versiones preliminares del navegador (en este caso, las versiones 'Nightly') pero acabarán llegando a la versión final.
La medida es desde luego bienvenida y se suma a otras iniciativas en este ámbito: Chrome estrenó nuevas funciones para su gestor de contraseñas recientemente, y gestores de contraseñas como LastPass o 1Password ya colaboran con HIBP en este sentido.
Verificación en dos pasos y tokens como alternativa
Ante esas prácticas lo ideal es tratar de aprovechar alguno de los sistemas que últimamente añaden una capa de seguridad notable. Se trata de los sistemas de verificación en dos pasos, que hacen que por ejemplo al acceder a Gmail con nuestro usuario y contraseña se nos envíe un código SMS al teléfono que también tendremos que introducir en el navegador antes del acceso completo.
Esos sistemas son una buena ayuda en este ámbito, pero los SMS no son la mejor opción por las vulnerabilidades de la tecnología de mensajes, y desde hace tiempo las aplicaciones móviles de autenticación (Authy, Google Authenticator, Microsoft Authenticator entre otras) permiten hacer lo mismo pero de una forma aún más segura.
Ante esas prácticas lo ideal es tratar de aprovechar alguno de los sistemas que últimamente añaden una capa de seguridad notable. Se trata de los sistemas de verificación en dos pasos, que hacen que por ejemplo al acceder a Gmail con nuestro usuario y contraseña se nos envíe un código SMS al teléfono que también tendremos que introducir en el navegador antes del acceso completo.
Esos sistemas son una buena ayuda en este ámbito, pero los SMS no son la mejor opción por las vulnerabilidades de la tecnología de mensajes, y desde hace tiempo las aplicaciones móviles de autenticación (Authy, Google Authenticator, Microsoft Authenticator entre otras) permiten hacer lo mismo pero de una forma aún más segura.
A esas opciones se les suma una más: la verificación en dos pasos "física" que implica el uso de dispositivos como las llaves Yubikey que permiten verificar que somos quien decimos ser de forma unívoca. Google lanzó al mercado su propia propuesta hace poco, y los desarrolladores de Yubikey han respondido con Yubikey 5, una versión aún más potente que la anterior con soporte NFC y FIDO2.
Una vez las conectas al portátil, navegadores como Firefox o Chrome, que la soportan, ya no te pedirán contraseñas porque el software que las acompaña permite autenticarnos con un grado de seguridad especialmente destacable. Si queréis estar más tranquilos en estos escenarios, esta es una excelente opción.
Vía | Engadget
Publicado bajo licencia Creative Commons.
No hay comentarios.:
Publicar un comentario