imágenes falsas
Google está agregando su función de verificación de contraseña a Android, lo que convierte al sistema operativo móvil en la última oferta de la compañía para brindar a los usuarios una manera fácil de verificar si las contraseñas que están usando se han visto comprometidas.
La verificación de contraseñas funciona al verificar las credenciales ingresadas en las aplicaciones con una lista de miles de millones de credenciales comprometidas en las innumerables violaciones de sitios web que se han producido en los últimos años. En caso de que haya una coincidencia, los usuarios reciben una alerta, junto con un mensaje que puede llevarlos a Google página del administrador de contraseñas, que ofrece una forma de revisar la seguridad de todas las credenciales guardadas.
Las alertas se ven así:
Google introdujo Password Checkup a principios de 2019, en forma de una extensión de Chrome. En octubre de ese año, la función se abrió camino en Google Password Manager, un panel que examina las contraseñas web guardadas en Chrome que se sincronizan con una cuenta de Google. Dos meses después, la compañía lo agregó a Chrome.
El Administrador de contraseñas de Google facilita que los usuarios visiten sitios directamente con contraseñas incorrectas haciendo clic en el botón «Cambiar contraseña» que se muestra junto a cada contraseña comprometida o débil. Se puede acceder al administrador de contraseñas desde cualquier navegador, pero solo funciona cuando los usuarios sincronizan las credenciales con la contraseña de su cuenta de Google, en lugar de una contraseña independiente opcional.
La nueva verificación de contraseña estaba disponible a partir del martes en Android 9 y superior para los usuarios de autocompletar con Android, una función que agrega automáticamente contraseñas, direcciones, detalles de pago y otra información comúnmente ingresada en formularios web y de aplicaciones.
El marco de autocompletado de Android utiliza un cifrado avanzado para garantizar que las contraseñas y otra información estén disponibles solo para los usuarios autorizados. Google tiene acceso a las credenciales de usuario solo cuando los usuarios 1) ya han guardado una credencial en su cuenta de Google y 2) el sistema operativo Android les ofreció guardar una nueva credencial y eligieron guardarla en su cuenta.
Cuando un usuario interactúa con una contraseña, ya sea llenándola en un formulario o guardándola por primera vez, Google utiliza el mismo cifrado que utiliza la verificación de privacidad en Chrome para verificar si la credencial es parte de una lista de contraseñas comprometidas conocidas. La interfaz de la aplicación web envía solo contraseñas que tienen un hash criptográfico mediante la función Argon2 para crear una clave de búsqueda que está encriptada con la criptografía Elliptic Curve.
en un publicación publicada el martes, Google dijo que la implementación asegura que:
- Solo un hash cifrado de la credencial sale del dispositivo (los dos primeros bytes del hash se envían sin cifrar para particionar la base de datos)
- El servidor devuelve una lista de hashes cifrados de credenciales violadas conocidas que comparten el mismo prefijo
- La determinación real de si la credencial ha sido violada ocurre localmente en el dispositivo del usuario.
- El servidor (Google) no tiene acceso al hash no cifrado de la contraseña del usuario y el cliente (Usuario) no tiene acceso a la lista de hashes no cifrados de credenciales potencialmente violadas.
Google ha escrito más sobre cómo funciona la implementación. aquí.
En la mayoría de los dispositivos Android, la función de autocompletar se puede habilitar mediante:
- Configuración de apertura
- Pulsando Sistema> Idiomas y entrada> Avanzado
- Tocando el servicio Autocompletar
- Tocando Google para asegurarse de que la configuración esté habilitada
Por separado, Google recordó el martes a los usuarios sobre otras dos funciones de seguridad agregadas al autocompletado de Android en septiembre pasado. El primero es un generador de contraseñas que elegirá automáticamente una contraseña segura y única y la guardará en las cuentas de Google de los usuarios. Se puede acceder al generador presionando prolongadamente el campo de contraseña y seleccionando Autocompletar en el menú emergente.
Los usuarios también pueden configurar el autocompletado de Android para requerir autenticación biométrica antes de que agregue credenciales o información de pago a una aplicación o campo web. La autenticación biométrica se puede habilitar dentro de Autocompletar con la configuración de Google.
