Ya es prácticamente de público conocimiento que, a menudo, largas listas de usuarios y contraseñas son publicadas en sitios como 4chan, Pastebin o incluso la Deep Web. De esta forma, dueños de credenciales de acceso débiles se convierten en víctimas del robo de identidad o ven comprometida su información personal.
Por eso, Facebook ha decidido tomar cartas en el asunto y anunció el lanzamiento de un sistema mediante el cual revisará periódicamente la web en busca de contraseñas que hayan sido robadas, para alertar a sus dueños de que las cambien antes de que los cibercriminales las utilicen con fines delictivos o maliciosos.
Construimos un sistema dedicado a mejorar la seguridad de las cuentas de Facebook de la gente, buscando activamente publicaciones abiertas, analizándolas y notificando a las personas cuando descubrimos que sus credenciales han aparecido en Internet. Para esto, monitoreamos una selección de diferentes sitios buscando credenciales robadas y reportes de brechas a gran escala.
Ahora bien, ¿cómo funcionará exactamente este proceso?
Al recopilar una lista de correos y contraseñas robadas, tal como explica alt1040, Facebook las pasa por sus servidores. Aquellas que funcionen y les permitan acceder a cuentas de usuarios, son reseteadas automáticamente y sus dueños serán notificados para que cambien inmediatamente su contraseña la próxima vez que accedan a la red social.
Recolectamos las credenciales robadas que han sido publicadas y chequeamos que la combinación de email y contraseña sea la misma utilizada en Facebook. Este es un proceso completamente automático que no requiere que sepamos o almacenemos tu contraseña real sin calcularle el hash. En otras palabras, nadie aquí tiene tu contraseña en texto plano. Para buscar coincidencias, tomamos la dirección de correo electrónico y la contraseña y las pasamos por el mismo código que usamos para verificar durante el login. Si encontramos una coincidencia, te notificaremos la próxima vez que accedas y te guiaremos en el proceso de cambiar tu clave.
Si bien es cierto que muchas veces esos listados publicados son antiguos o corresponden a cuentas en desuso e incluyen claves que ya fueron cambiadas, es igualmente destacable la implementación de este control por parte de Facebook.
Recordemos que hace poco, 7 millones de credenciales robadas de Dropbox habían sido publicadas en Pastebin, y algo similar (aunque se trataba de claves en desuso) sucedió cuando se publicaron 5 millones de credenciales de Gmail.
Por supuesto, sigue siendo necesario que las contraseñas de acceso sean fuertes y seguras, difícilmente adivinables, y que se complemente la seguridad habilitando la doble autenticación.