Nextcloud comprobará si la contraseña introducida está en la base de datos de Have I Been Pwned

Escrito por Sergio De Luz

Los usuarios en la mayoría de ocasiones utilizan la misma contraseña para todos los servicios, una política que de cara a la seguridad no es nada recomendable, y que habría que evitar a toda costa. Esto supone un riesgo bastante importante si por casualidad una de las identidades digitales se ve comprometida, ya que el resto de servicios también se verían afectados. Nextcloud, con el objetivo de proteger aún más a sus usuarios, va a permitir comprobar las credenciales que demos de alta en la popular web Have I Been Pwned.

La semana pasada el investigador de seguridad Troy Hunt, el creador de la web Have I Been Pwned, aumentó la base de datos de contraseñas expuestas en 200 millones más, por lo que en total tenemos 500 millones de contraseñas en la plataforma. Las organizaciones, pueden usar este gran listado de contraseñas para verificar que una clave no existe en dicha base de datos, asegurándonos de que la clave elegida no sea conocida.

En la base de datos de contraseñas Have I Been Pwned tenemos todas las claves hasheadas con SHA1, ideal para comprobar rápidamente si se encuentra en su listado. Además, al introducir una determinada contraseña va a comprobar no solo si está, sino también cuantas veces se repite de las diferentes filtraciones de contraseñas recopiladas a lo largo de los años.

Una opción muy interesante de este portal es que nos va a permitir descargar la base de datos de contraseñas, ideal para comprobar offline si una determinada contraseña está en dicho listado. No solo proporciona este listado de claves en un fichero torrent, sino que ofrece una API para que aplicaciones de terceros comprueben en su web si una determinada contraseña existe, y aquí es donde entra la nueva función de Nextcloud.

Actualmente Nextcloud permite a los administradores aplicar una contraseña robusta siguiendo las instrucciones del NIST en cuanto a claves se refiere, esto incluye una verificación de claves de uso común como “test”, “abcabc” y muchas otras. Gracias a la API de Have I been Pwned, ahora el propio software de Nextcloud comprobará si la clave que hemos introducido a un usuario está en dicho listado. Para proteger al máximo la privacidad del usuario, el software realizará el hash SHA1 de la contraseña, y con los 5 primeros caracteres comprobará en el servicio si existe alguna coincidencia, de esta forma, no enviamos el hash completo para que, si alguien lo captura, no intente crackearlo.

Esta función no está habilitada de manera predeterminada, y según Nextcloud seguramente no lo harán nunca, pero sí darán opción a que el administrador la habilite cuando él quiera. Esta mejora ayudará a poner contraseñas seguras, las cuales no sean “claves conocidas”, ni estén en listado de claves como las de Have I been Pwned. Además, no debemos olvidar que Nextcloud también proporciona una protección contra ataques de fuerza bruta, autenticación en dos factores, y comprobaciones de calidad de claves del NIST. Esta función es simplemente un añadido más para mejorar la seguridad de las cuentas.

Esta función estará disponible en el próximo Nextcloud 14, no obstante, lo intentarán incorporar en Nextcloud 13 en una actualización de seguridad.

Os recomendamos leer nuestro análisis de Nextcloud Box, un dispositivo hardware con Ubuntu y Nextcloud para crear nuestra propia nube privada de forma fácil y rápida.

Fuente > Nextcloud