Comprueba si tus contraseñas han sido filtradas en Have I Been Pwned con KeePass y HIPB Offline Check

Escrito por Rubén Velasco

En enero de 2019 se dio a conocer Collection #1, una base de datos de 87 GB con 22 millones de contraseñas únicas filtradas en la red, la primera de un total de 5 bases de datos similares que estaban circulando por la red. Es muy probable que, ya sea por usar contraseñas comunes, por la reutilización de contraseñas e incluso porque nuestra cuenta haya sido víctima de alguno de los incontables robos de datos a servicios web, estemos utilizando una contraseña insegura y peligrosa, permitiendo a cualquier pirata informático acceder a nuestras cuentas y suplantar nuestra identidad.

A través del portal Have I Been Pwned es posible comprobar si alguna de nuestras contraseñas se encuentra en Collection #1, así como, a través de la web Hasso Plattner, comprobar si nuestra contraseña se encuentra filtrada en Collection #2. De momento, no hay ninguna web fiable que nos permita comprobar si nuestras contraseñas se encuentran dentro de las bases de datos #3, #4 y #5 que también circulan por la red.

Por desgracia, el proceso para comprobar si nuestras contraseñas se han filtrado en la red es bastante manual y poco práctico, teniendo que comprobar una a una nuestras contraseñas, o comprobar todas las filtraciones que coincidan con nuestro correo.

KeePass, uno de los mejores gestores de contraseñas gratuito y de código abierto, cuenta con una extensión diseñada precisamente para comprobar, sin enviar datos a un servidor, todas las contraseñas que tengamos guardadas en el programa de manera que podamos saber individualmente si alguna de ellas se ha visto comprometida, y forma parte de alguna base de datos robada, o estamos utilizando contraseñas seguras y robustas.

Cómo comprobar si nuestras contraseñas están en Have I Been Pwned desde KeePass

HIPB Offline Check es una extensión de código abierto diseñada para permitir al gestor de contraseñas comparar las contraseñas con las publicadas en Have I been pwned de manera que podamos saber si nuestras claves son realmente seguras o podemos estar en peligro.

Lo primero que debemos hacer es instalar HIPB Offline Check en KeePass. Esta extensión podemos descargarla de forma gratuita desde el siguiente enlace y, en el siguiente manual, os explicamos cómo instalar extensiones en KeePass en unos sencillos pasos para dotar al gestor de contraseñas de nuevas funciones y características.

Una vez instalado el plugin HIPB Offline Check en KeePass, lo siguiente que vamos a hacer es una configuración rápida del mismo. Abrimos el menú “Tools” y elegimos “HIPB Offline Check” para abrir una ventana como la siguiente.

HIPB Offline Check en KeePass

Si tenemos una base de datos de contraseñas descargada en el ordenador, seleccionando el “check mode offline” podremos elegirla para comparar nuestras contraseñas sin necesidad de conectarnos a Internet. Eso sí, debemos tener en cuenta que las bases de datos pueden ocupar hasta 26 GB, por lo que igual no es la mejor opción para todos los usuarios.

Si queremos lo fácil y rápido, tendremos que usar el “check mode online” para comprobar nuestras contraseñas directamente en Have I been pwned a través de su API.

También podemos dar un nombre a la columna que mostrará este plugin y el mensaje personalizado tanto para si la contraseña es segura como si es insegura.

El siguiente paso será mostrar la columna de HIPB Offline Check en la lista de contraseñas. Para ello seleccionaremos el menú “View > Configure Columns” y habilitamos esta columna de Have I Been Pwned.

Habilitar columna HIPB Offline Check KeePass

Como podemos ver, la extensión comprobará las contraseñas automáticamente y nos mostrará si es segura o está filtrada dentro de alguna base de datos robada. Además, también vamos a poder ver el número de veces que esa contraseña se repite en todas las bases de datos, pudiendo saber si es un caso aislado o estamos usando contraseñas muy repetidas.

KeePass - Contraseñas seguras e inseguras

Sin duda, KeePass junto con su extensión HIPB Offline Check son una de las mejores formas que tenemos para comprobar de una sola vez si nuestras contraseñas son seguras o están circulando en alguna de las muchas bases de datos filtradas en la red.

¿Qué debo hacer si mis contraseñas aparecen en Have I Been pwned?

Si el anterior plugin nos devuelve un mensaje de “Secure” significa que estamos utilizando una contraseña segura y que esta no se encuentra filtrada en ninguna de las bases de datos registradas por Have I Been Pwned (aunque no se garantiza que nuestra contraseña no esté en alguna otra base de datos no registrada).

Si nuestra contraseña aparece como insegura, o “pwned”, entonces es necesario cambiar cuanto antes la contraseña vulnerada por otra que sea más segura y robusta. El propio KeePass cuenta con un generador de contraseñas seguras que nos va a permitir generar claves pseudo-aleatorias de diferentes niveles de seguridad que vamos a poder utilizar para proteger nuestras cuentas online.

Si no queremos usar el generador incluido en KeePass, podemos utilizar cualquier otro generador de contraseñas online, como Qey, el generador cuántico de contraseñas que nos brinda la máxima aleatoriedad posible.

¿Qué te parece esta extensión? ¿Recomiendas alguna otra extensión imprescindible para KeePass?