Recomendaciones de seguridad para las contraseñas
La lista de contraseñas del autorrelleno de contraseñas en iOS, iPadOS y macOS indica cuál de las contraseñas guardadas del usuario se reutiliza también en otros sitios web, cuáles se consideran no seguras, y cuáles se han transgredido en una filtración de datos.
Descripción general
Usar la misma contraseña para más de un servicio puede dejar a esas cuentas vulnerables a un ataque de relleno de datos de inicio de sesión. Si un servicio se ve vulnerado y se filtran las contraseñas, los atacantes pueden intentar usar los mismos datos de inicio de sesión de otros servicios para intentar entrar a otras cuentas.
Las contraseñas se marcan como reutilizadas si una misma contraseña se ha usado en más de una ocasión en diferentes dominios.
Las contraseñas se marcan como no seguras si algún atacante las podría adivinar fácilmente. iOS, iPadOS y macOS detectan patrones comunes para crear contraseñas que se pueden recordar, como las palabras del diccionario, sustituciones comunes de caracteres (como “c0ntr4s3n4” en lugar de “contraseña”), patrones del teclado (como “q12we34r” en un teclado QWERTY), o secuencias repetidas (como “123123”). Estos patrones a menudo se utilizan para crear contraseñas que cumplan con los requisitos mínimos de los servicios, pero también las usan comúnmente los atacantes para intentar obtener una contraseña mediante un ataque forzado.
Debido a que muchos servicios requieren específicamente un código NIP de cuatro o seis dígitos, estas contraseñas cortas se evalúan con reglas distintas. Los códigos NIP se consideran no seguros si son algunos de los más utilizados, si son números consecutivos en aumento o disminución, como “1234” o “8765,” o si siguen un patrón de repetición, como “123123” o “123321”.
Las contraseñas se marcan como filtradas si la función de monitoreo de contraseñas descubre que fue expuesta mediante una filtración de datos. Para obtener más información, consulta Monitoreo de contraseñas.
Las contraseñas no seguras, reutilizadas y filtradas se indican en la lista de contraseñas (macOS) o están presentes en la interfaz de recomendaciones de seguridad (iOS y iPadOS). Si el usuario inicia sesión en un sitio web en Safari usando una contraseña previamente guardada y no segura, o que ha sido transgredida por una filtración de datos, se muestra una alerta que aconseja fuertemente actualizarla a una contraseña segura automática.
Actualizar la seguridad de la autenticación de cuentas en iOS y iPadOS
Las apps que implementan la extensión de modificación de autenticación de la cuenta (en la estructura de servicios de autenticación) pueden brindar actualizaciones fáciles y con sólo tocar un botón para las cuentas basadas en contraseñas; esto significa que pueden usar Iniciar sesión con Apple o una contraseña segura automática. Este punto de extensión está disponible en iOS y iPadOS.
Si la app implementó el punto de extensión y está instalado en el dispositivo, los usuarios ven las opciones de actualización de extensión en las recomendaciones de seguridad para las credenciales asociadas con la app en el administrador de contraseñas del llavero de iCloud (que se encuentra en Configuración). También se ofrecen actualizaciones cuando los usuarios inician sesión en la app con la credencial en riesgo. Las apps pueden solicitar al sistema que no muestre a los usuarios las opciones de actualización después de iniciar sesión. Con la nueva API de AuthenticationServices, las apps también pueden invocar sus extensiones y realizar actualizaciones por sí mismas, idealmente desde la configuración de una cuenta o la pantalla de administración de cuentas en la app.
Las apps pueden permitir actualizar a una contraseña más segura, actualizar a Iniciar sesión con Apple, o ambas. Cuando se actualiza a una contraseña más segura, el sistema generará una de forma automática para el usuario. De ser necesario, la app puede brindar reglas personalizadas para la contraseña que deberán seguirse al generar la nueva contraseña. Cuando un usuario deja de usar una contraseña y cambia a Iniciar sesión con Apple en una cuenta, el sistema le proporciona una credencial nueva de Iniciar sesión con Apple a la extensión para asociarla con la cuenta. El correo electrónico del Apple ID del usuario no se incluye en la credencial. Después de actualizar correctamente a Iniciar sesión con Apple, el sistema borra la credencial de la contraseña anterior del llavero (si estaba guardada ahí).
Las extensiones de modificación de autenticación de la cuenta pueden realizar una autenticación adicional del usuario antes de realizar una actualización. En el caso de las actualizaciones iniciadas desde el administrador de contraseñas o después de iniciar sesión en la app, la extensión proporciona el nombre de usuario y la contraseña para actualizar la cuenta. Para las actualizaciones dentro de la app, sólo se proporciona el nombre de usuario. Si la extensión requiere una autenticación de usuario adicional, se puede solicitar que se muestre una interfaz de usuario personalizada antes de proceder con la actualización. La intención del caso de uso al mostrar esta interfaz es que el usuario ingrese un segundo factor de autenticación para autorizar la actualización.