Nueva investigación: lecciones de Password Checkup en acción

En febrero, anunciamos la extensión Password Checkup para Chrome para ayudar a mantener todas tus cuentas en línea a salvo de los secuestros de cuenta. La extensión muestra una advertencia cada vez que inicias sesión en un sitio utilizando uno de los más de 4 mil millones de nombres de usuario y contraseñas que Google sabe que no son seguros debido a una filtración de datos por parte de terceros. Desde nuestro lanzamiento, más de 650.000 personas han participado en nuestro experimento inicial. Sólo en el primer mes, escaneamos 21 millones de nombres de usuario y contraseñas y marcamos más de 316.000 como inseguros – el 1,5% de todos los inicios de sesión escaneados por la extensión.

Hoy, compartimos nuestras lecciones más recientes desde el lanzamiento y anunciamos un nuevo conjunto de funcionalidades para la extensión Password Checkup. Nuestro estudio de investigación completo, disponible aquí, se presentará esta semana como parte del Simposio de Seguridad USENIX.

¿Qué cuentas están en mayor riesgo?

Los secuestradores de cuentas intentan de manera rutinaria iniciar sesión en diferentes sitios a lo largo de la web con cada credencial expuesta por una filtración de datos por parte de terceros. Si usas contraseñas seguras y únicas para todas tus cuentas, este riesgo desaparece. Según la telemetría anónima reportada por la extensión Password Checkup, descubrimos que los usuarios reutilizan credenciales filtradas o poco seguras para algunas de las cuentas más sensibles en sitios financieros, gubernamentales y de correo electrónico. Este riesgo fue aún más prevalente en sitios de compras (donde los usuarios pudieran almacenar detalles de su tarjeta de crédito), noticias y entretenimiento.

De hecho, fuera de los sitios web más populares, los usuarios tienen 2,5 veces más probabilidades de reutilizar contraseñas vulnerables, poniendo su cuenta en riesgo de secuestro.

La telemetría anónima reportada por la extensión Password Checkup muestra que los usuarios suelen reutilizar contraseñas vulnerables en sitios de compras, noticias y entretenimiento.

Ayudando a los usuarios a rectificar sus contraseñas inseguras
Nuestra investigación muestra que los usuarios optan por restablecer el 26% de las contraseñas inseguras marcadas por la extensión Password Checkup. Aún mejor, el 60% de las nuevas contraseñas son seguras contra ataques de adivinación, lo que significa que un atacante necesitaría hacer cientos de millones de intentos antes de adivinar la nueva contraseña.

Mejorando de la extensión de Password Checkup
Hoy, también estamos lanzando dos nuevas funciones para la extensión Password Checkup. La primera es un mecanismo de retroalimentación directa donde los usuarios pueden compartir las dificultades que enfrentan a través de un cuadro de comentarios rápido. La segunda ofrece a los usuarios aún más control sobre sus datos. Permite a los usuarios optar por no formar parte de la telemetría anónima que reporta la extensión, incluida la cantidad de búsquedas que muestran una credencial insegura, si una alerta conduce a un cambio de contraseña y el dominio involucrado para mejorar la cobertura del sitio. Por diseño, la extensión Password Checkup se asegura de que Google nunca conozca tu nombre de usuario o contraseña, independientemente de si habilitas la telemetría, pero aun así queremos proporcionar esta opción por si los usuarios prefieren no compartir esta información.

Continuaremos mejorando la extensión de Password Checkup y explorando formas de implementar esta tecnología en los productos de Google. Para obtener ayuda para mantener todas tus contraseñas a salvo de los secuestros de cuenta, puedes instalar hoy la extensión Password Checkup aquí.

Publicado por Jennifer Pullman, Kurt Thomas y Elie Bursztein, Investigación sobre spam y abuso


Source: Google Productos