Si eres como mucha gente, es probable que alguien te haya regañado para que uses un administrador de contraseñas y aún no has prestado atención al consejo. Ahora, Chrome y Edge vienen al rescate con una gestión de contraseñas mejorada integrada directamente en los navegadores.

Microsoft el jueves anunció un nuevo generador de contraseñas para el Edge 88 lanzado recientemente. Las personas pueden usar el generador al registrarse para obtener una nueva cuenta o al cambiar una contraseña existente. El generador proporciona un menú desplegable en el campo de contraseña. Al hacer clic en el candidato, se selecciona como contraseña y se guarda en un administrador de contraseñas integrado en el navegador. Las personas pue den enviar la contraseña a sus otros dispositivos utilizando la función de sincronización de contraseña de Edge.

Como he explicado durante años, las mismas cosas que hacen que las contraseñas sean memorables y fáciles de usar son las mismas cosas que las hacen fáciles de adivinar para otros. Los generadores de contraseñas se encuentran entre las fuentes más seguras de contraseñas seguras. En lugar de tener que pensar en una contraseña que sea realmente única y difícil de adivinar, los usuarios pueden hacer que un generador lo haga correctamente.

“Microsoft Edge ofrece un generador de contraseñas seguras integrado que puede utilizar al registrarse para obtener una nueva cuenta o al cambiar una contraseña existente”, escribieron los miembros del equipo de Microsoft Edge. “Simplemente busque el menú desplegable de contraseña sugerido por el navegador en el campo de contraseña y, cuando se seleccione, se guardará automáticamente en el navegador y se sincronizará en todos los dispositivos para facilitar su uso futuro”.

Edge 88 también está implementando una función llamada “monitor de contraseña”. Como sugiere el nombre, monitorea las contraseñas guardadas para asegurarse de que ninguna de ellas esté incluida en listas compiladas a partir de ataques de phishing o sitios web comprometidos. Cuando está encendido, el monitor de contraseñas alertará a los usuarios cuando una contraseña coincida con las listas publicadas en línea.

Comprobar las contraseñas de forma segura es una tarea difícil. El navegador debe poder comparar una contraseña con una lista grande y siempre cambiante sin enviar información confidencial a Microsoft o información que pueda ser detectada por alguien que supervise la conexión entre el usuario y Microsoft.

En un publicación de acompañamiento

También publicado el jueves, Microsoft explicó cómo se hace:

El cifrado homomórfico es una primitiva criptográfica relativamente nueva que permite la computación en datos cifrados sin descifrarlos primero. Por ejemplo, supongamos que se nos dan dos textos cifrados, uno cifrando 5 y el otro cifrando 7. Normalmente, no tiene sentido “sumar” estos textos cifrados juntos. Sin embargo, si estos textos cifrados se cifran mediante cifrado homomórfico, entonces hay una operación pública que “agrega” estos textos cifrados y devuelve un cifrado de 12, la suma de 5 y 7.

Primero, el cliente se comunica con el servidor para obtener un hash H de la credencial, donde H denota una función hash que solo el servidor conoce. Esto es posible utilizando una primitiva criptográfica conocida como función pseudoaleatoria ajena (OPRF). Dado que solo el servidor conoce la función hash H, el cliente no puede realizar un ataque de diccionario eficiente en el servidor, un tipo de ataque de fuerza bruta que utiliza una gran combinación de posibilidades para determinar una contraseña. Luego, el cliente usa encriptación homomórfica para encriptar H (k) y enviar el texto cifrado resultante Enc (H (k)) al servidor. Luego, el servidor evalúa una función de coincidencia en la credencial encriptada, obteniendo un resultado (Verdadero o Falso) encriptado bajo la misma clave de cliente. La operación de la función de coincidencia se ve así: computeMatch (Enc (k), D). El servidor reenvía el resultado cifrado al cliente, quien lo descifra y obtiene el resultado.

En el marco anterior, el principal desafío es minimizar la complejidad de la función computeMatch para obtener un buen rendimiento cuando esta función se evalúa en datos cifrados. Utilizamos muchas optimizaciones para lograr un rendimiento que se adapta a las necesidades de los usuarios.

Para no quedarse atrás, los miembros del equipo de Google Chrome esta semana protecciones de contraseña reveladas por su cuenta. El principal de ellos es un administrador de contraseñas con más funciones que está integrado en el navegador.

“Chrome ya puede solicitarle que actualice sus contraseñas guardadas cuando inicia sesión en sitios web”, escribieron los miembros del equipo de Chrome. “Sin embargo, es posible que desee actualizar varios nombres de usuario y contraseñas fácilmente, en un lugar conveniente. Es por eso que, a partir de Chrome 88, puede administrar todas sus contraseñas de forma más rápida y sencilla en la configuración de Chrome en el escritorio y en iOS (la aplicación de Chrome para Android también tendrá esta función pronto) “.

Chrome 88 también hace que sea más fácil verificar si alguna de las contraseñas guardadas ha terminado en volcados de contraseñas. Mientras que la auditoría de contraseñas llegó a Chrome el año pasado, ahora se puede acceder a la función mediante un control de seguridad similar al que se muestra a continuación:

Muchas personas se sienten más cómodas usando un administrador de contraseñas dedicado porque ofrecen más capacidades que las integradas en su navegador. La mayoría de los gerentes dedicados, por ejemplo, facilitan el uso de palabras de dados de forma segura. Con la línea entre los navegadores y los administradores de contraseñas comenzando a difuminarse, es probable que solo sea cuestión de tiempo hasta que los navegadores ofrezcan capacidades de administración más avanzadas.

Si eres como mucha gente, es probable que alguien te haya regañado para que uses un administrador de contraseñas y aún no has prestado atención al consejo. Ahora, Chrome y Edge vienen al rescate con una gestión de contraseñas mejorada integrada directamente en los navegadores.

Microsoft el jueves anunció un nuevo generador de contraseñas para el Edge 88 lanzado recientemente. Las personas pueden usar el generador al registrarse para obtener una nueva cuenta o al cambiar una contraseña existente. El generador proporciona un menú desplegable en el campo de contraseña. Al hacer clic en el candidato, se selecciona como contraseña y se guarda en un administrador de contraseñas integrado en el navegador. Las personas pue den enviar la contraseña a sus otros dispositivos utilizando la función de sincronización de contraseña de Edge.

Como he explicado durante años, las mismas cosas que hacen que las contraseñas sean memorables y fáciles de usar son las mismas cosas que las hacen fáciles de adivinar para otros. Los generadores de contraseñas se encuentran entre las fuentes más seguras de contraseñas seguras. En lugar de tener que pensar en una contraseña que sea realmente única y difícil de adivinar, los usuarios pueden hacer que un generador lo haga correctamente.

“Microsoft Edge ofrece un generador de contraseñas seguras integrado que puede utilizar al registrarse para obtener una nueva cuenta o al cambiar una contraseña existente”, escribieron los miembros del equipo de Microsoft Edge. “Simplemente busque el menú desplegable de contraseña sugerido por el navegador en el campo de contraseña y, cuando se seleccione, se guardará automáticamente en el navegador y se sincronizará en todos los dispositivos para facilitar su uso futuro”.

Edge 88 también está implementando una función llamada “monitor de contraseña”. Como sugiere el nombre, monitorea las contraseñas guardadas para asegurarse de que ninguna de ellas esté incluida en listas compiladas a partir de ataques de phishing o sitios web comprometidos. Cuando está encendido, el monitor de contraseñas alertará a los usuarios cuando una contraseña coincida con las listas publicadas en línea.

Comprobar las contraseñas de forma segura es una tarea difícil. El navegador debe poder comparar una contraseña con una lista grande y siempre cambiante sin enviar información confidencial a Microsoft o información que pueda ser detectada por alguien que supervise la conexión entre el usuario y Microsoft.

En un publicación de acompañamiento

También publicado el jueves, Microsoft explicó cómo se hace:

El cifrado homomórfico es una primitiva criptográfica relativamente nueva que permite la computación en datos cifrados sin descifrarlos primero. Por ejemplo, supongamos que se nos dan dos textos cifrados, uno cifrando 5 y el otro cifrando 7. Normalmente, no tiene sentido “sumar” estos textos cifrados juntos. Sin embargo, si estos textos cifrados se cifran mediante cifrado homomórfico, entonces hay una operación pública que “agrega” estos textos cifrados y devuelve un cifrado de 12, la suma de 5 y 7.

Primero, el cliente se comunica con el servidor para obtener un hash H de la credencial, donde H denota una función hash que solo el servidor conoce. Esto es posible utilizando una primitiva criptográfica conocida como función pseudoaleatoria ajena (OPRF). Dado que solo el servidor conoce la función hash H, el cliente no puede realizar un ataque de diccionario eficiente en el servidor, un tipo de ataque de fuerza bruta que utiliza una gran combinación de posibilidades para determinar una contraseña. Luego, el cliente usa encriptación homomórfica para encriptar H (k) y enviar el texto cifrado resultante Enc (H (k)) al servidor. Luego, el servidor evalúa una función de coincidencia en la credencial encriptada, obteniendo un resultado (Verdadero o Falso) encriptado bajo la misma clave de cliente. La operación de la función de coincidencia se ve así: computeMatch (Enc (k), D). El servidor reenvía el resultado cifrado al cliente, quien lo descifra y obtiene el resultado.

En el marco anterior, el principal desafío es minimizar la complejidad de la función computeMatch para obtener un buen rendimiento cuando esta función se evalúa en datos cifrados. Utilizamos muchas optimizaciones para lograr un rendimiento que se adapta a las necesidades de los usuarios.

Para no quedarse atrás, los miembros del equipo de Google Chrome esta semana protecciones de contraseña reveladas por su cuenta. El principal de ellos es un administrador de contraseñas con más funciones que está integrado en el navegador.

“Chrome ya puede solicitarle que actualice sus contraseñas guardadas cuando inicia sesión en sitios web”, escribieron los miembros del equipo de Chrome. “Sin embargo, es posible que desee actualizar varios nombres de usuario y contraseñas fácilmente, en un lugar conveniente. Es por eso que, a partir de Chrome 88, puede administrar todas sus contraseñas de forma más rápida y sencilla en la configuración de Chrome en el escritorio y en iOS (la aplicación de Chrome para Android también tendrá esta función pronto) “.

Chrome 88 también hace que sea más fácil verificar si alguna de las contraseñas guardadas ha terminado en volcados de contraseñas. Mientras que la auditoría de contraseñas llegó a Chrome el año pasado, ahora se puede acceder a la función mediante un control de seguridad similar al que se muestra a continuación:

Muchas personas se sienten más cómodas usando un administrador de contraseñas dedicado porque ofrecen más capacidades que las integradas en su navegador. La mayoría de los gerentes dedicados, por ejemplo, facilitan el uso de palabras de dados de forma segura. Con la línea entre los navegadores y los administradores de contraseñas comenzando a difuminarse, es probable que solo sea cuestión de tiempo hasta que los navegadores ofrezcan capacidades de administración más avanzadas.