Cómo averiguar si tu contraseña ha sido robada

Cómo averiguar si tu contraseña ha sido robada

Recordar contraseñas es una tarea tediosa, pero peor es que tu intimidad esté expuesta.

muyinteresante.es

No es nada raro decir que memorizar  contraseñas es una lata. Son difíciles de recordar y todos tenemos unas cuantas para mejorar la seguridad de nuestras cuentas. Tener una sola contraseña para todo ya sabemos que no es buena idea.

Pero, ¿qué ocurre cuando se producen violaciones masivas de datos a las grandes compañías a las que confiamos nuestras credenciales en la red? Ante un hackeo colectivo e intensivo, nuestros nombres de usuario y contraseñas pueden quedar totalmente expuestas, pero afortunadamente hay una forma sencilla de averiguar si nuestras credenciales han sido comprometidas.

La web Have I Been Pwned (HIBP), desarrollada por Troy Hunt, investigador de seguridad australiano, nos permite comprobar si nuestras direcciones de correo electrónico y nombres de usuario han estado involucrados en alguna de las muchas brechas de datos que hemos vivido últimamente (Adobe, Dropbox...).

De la misma forma, Hunt creó otra herramienta para abordar este problema desde la perspectiva opuesta: desde la de las contraseñas. La nueva herramienta, llamada Pwned Passwords, hace lo mismo pero con la diferencia que al introducir nuestras contraseñas, nos expone si estas son seguras o han sido expuestas en algún tipo de acción de hacking.

Existen más de 320 millones de contraseñas almacenadas en esta base de datos (previamente filtradas o víctimas de un hackeo masivo). Pero, ¿es seguro aglomerar todas las contraseñas en una web como esta?

Podemos estar tranquilos, pues ninguna de las contraseñas se almacena junto a su respectivo email o nombre de usuario, únicamente se exponen las contraseñas vulnerables, por lo que no hay peligro de que esta  web les haga el trabajo más fácil a los hackers. Además, el acierto de Pwned Passwords es llamar la atención sobre el problema de cuántas de nuestras contraseñas han sido identificadas hasta ahora.

Así, si al comprobar tu contraseña con la aplicación, ves que todo se vuelve rojo, aprovecha y renueva tu abanico de contraseñas. No te arrepentirás. Eso sí, Hunt aclara que el método más seguro de comprobar la fiabilidad de una contraseña es descargarse toda la lista de contraseñas filtradas, almacenados en tres archivos de texto separados (más de 5 GB en total) y revisarla. Es algo fastidioso, pero merece la pena.

Para mayor seguridad y para proteger a todos los que aún usan estas contraseñas filtradas, las contraseñas de los archivos de la lista se han cifrado con hash SHA-1, por lo que deberás generar el hash de tu contraseña antes de buscarla en la lista.

Si alguna de tus contraseñas se ha visto comprometidas, quizá también quieras considerar el uso de un administrador de contraseñas para almacenarlas y generarlas.

"Una advertencia rápida sobre la característica de búsqueda: la ausencia de evidencia no es evidencia de ausencia; o en otras palabras, sólo porque una contraseña no devuelve un golpe no significa que no haya sido previamente expuesta ", comenta Hunt. Esto quiere decir que si al buscar nuestra contraseña descubrimos que no ha sido vulnerada, no quiere decir necesariamente que esta contraseña no se haya filtrado en algún momento, solo que no está incluida como parte de esta base de datos desarrollada por Hunt.