La semana pasada hablamos de Pwned Passwords, el proyecto que lista más de 500 millones de contraseñas que alguna vez han formado parte de una brecha de seguridad, para que cualquier empresa u organización pueda integrarla en sus servicios y evitar que los usuarios usen passwords demasiado inseguros.
Justamente eso han hecho en Agilebits, los creadores del popular gestor de contraseñas 1Password han integrado la base de datos para que sus usuarios puedan verificar si sus contraseñas han sido hackeadas alguna vez.
1Password ha aprovechado la API de Pwned Passwords para integrar la verificación de contraseñas comparándolas con las 500 millones disponibles hasta ahora. Esa integración permite a los usuarios de 1Password comprobar si su contraseña forma parte de esas base de datos sin necesidad de enviarlas a ningún servidor externo.
Todo de forma segura, pues en ningún momento se envía ni la contraseña completa, ni siquiera el hash completo, solo los primeros cinco caracteres el hash de 40 para compararla con la base de datos de Troy.
Cómo usar 1Password para verificar si tu contraseña ha sido hackeada
Si ya tienes una cuenta de 1Password solo necesitas acceder desde la web e ingresar tus datos para acceder al servicio. Solo los usuarios con una membresía del gestor pueden usar esta función:
- Abre tu “caja fuerte” (vault) con todas las contraseñas y selecciona un item para ver los detalles
- Presiona Shift-Control-Option-C en Mac, o Shift+Ctrl+Alt+C en Windows para desbloquear la opción
- Presiona el botón para verificar contraseña que aparece junto a la contraseña
Si la contraseña aparece en la base de datos de Pwned Passwords, 1Password te lo dirá. Esto no quiere decir exactamente que tu contraseña se haya filtrado, sino que le pasó a alguien con la misma contraseña. De cualquier forma, la recomendación es que la cambies.
1Password hace énfasis en que nunca hubiesen añadido la función si no fuese segura, pero gracias a la forma en la que funciona Pwned Passwords, es posible comprobar la contraseña sin que el usuario jamás envíe suficiente información ni al servicio de Troy Hunt ni al mismo 1Password como para que pueda reconstruirse.