Recomendaciones de seguridad de contraseñas
La lista de contraseñas de “Autorrelleno de contraseñas” en iOS, iPadOS y macOS indica qué contraseñas guardadas del usuario se han reutilizado en otros sitios web, cuáles de esas contraseñas se consideran poco seguras y cuáles se han visto comprometidas debido a una filtración de datos.
Descripción general
Usar la misma contraseña para más de un servicio puede hacer que esas cuentas sean vulnerables a un ataque de relleno de credenciales. Si se vulnera la seguridad de un servicio y hay una fuga de contraseñas, los atacantes pueden probar las mismas credenciales en otros servicios para poner en riesgo la seguridad de más cuentas.
Las contraseñas se marcan como reutilizadas si se detecta que la misma contraseña se ha utilizado para más de una contraseña guardada en diferentes dominios.
Las contraseñas se marcan como poco seguras si un atacante puede adivinarlas fácilmente. iOS, iPadOS y macOS detectan los patrones comunes que se usan para crear contraseñas fáciles de recordar, como usar las palabras de un diccionario, la sustitución de caracteres comunes (como el uso de “c0ntr4señ4” en lugar de “contraseña”), los patrones de un teclado (como “q12we34r” de un teclado QWERTY) o las secuencias repetidas (como “123123”). Estos patrones se suelen usar para crear contraseñas que cumplan los requisitos mínimos de contraseña de los servicios, pero también suelen utilizarlos los atacantes que intentan obtener una contraseña por fuerza bruta.
Dado que muchos servicios solicitan específicamente un código PIN de cuatro o seis dígitos, estos códigos cortos se evalúan con normas diferentes. Los códigos PIN se consideran poco seguros si son uno de los códigos PIN más comunes, si son una secuencia creciente o decreciente (como “1234” o “8765”) o si siguen un patrón de repetición (como “123123” o “123321”).
Las contraseñas se marcan como filtradas si la función de supervisión de contraseñas puede demostrar que han estado presentes en una filtración de datos. Para obtener más información, consulta Supervisión de contraseñas.
Las contraseñas poco seguras, reutilizadas y filtradas se indican en la lista de contraseñas (macOS) o están presentes en la interfaz dedicada de recomendaciones de seguridad (iOS y iPadOS). Si el usuario inicia sesión en un sitio web en Safari con una contraseña guardada anteriormente que es muy poco segura o que ha aparecido en una filtración de datos, se muestra una alerta conminándole a que la actualice a una contraseña segura automática.
Actualizar la seguridad de autenticación de la cuenta en iOS y iPadOS
Las apps que implementan una extensión de modificación de autenticación de cuentas (en la estructura de los servicios de autenticación) pueden ofrecer actualizaciones sencillas con solo pulsar un botón de las cuentas que usan contraseñas; en concreto, pueden cambiar a “Iniciar sesión con Apple” o empezar a utilizar una contraseña segura automática. Este punto de extensión está disponible en iOS y iPadOS.
Si una app ha implementado el punto de extensión y está instalada en el dispositivo, los usuarios verán opciones de actualización de la extensión al visualizar las recomendaciones de seguridad de las credenciales asociadas con la app en el gestor de contraseñas del llavero de iCloud en Ajustes. Las actualizaciones también se ofrecen cuando los usuarios inician sesión en la app con la credencial en riesgo. Las apps tienen la capacidad de indicar al sistema que no muestre a los usuarios opciones de actualización después de iniciar sesión. Con la nueva API AuthenticationServices, las apps también pueden invocar sus extensiones y realizar actualizaciones, idealmente desde los ajustes de la cuenta o la pantalla de gestión de la cuenta de la app.
Las apps pueden elegir si admiten actualizaciones de contraseña segura, actualizaciones de “Iniciar sesión con Apple” o ambas cosas. En una actualización de contraseña segura, el sistema generará una contraseña segura automática para el usuario. Si es necesario, la app puede proporcionar reglas de contraseña personalizadas que se deben seguir al generar la nueva contraseña. Cuando un usuario cambia una cuenta para dejar de usar una contraseña y utilizar “Iniciar sesión con Apple” en su lugar, el sistema proporciona una nueva credencial de “Iniciar sesión con Apple” a la extensión con la que asociar la cuenta. El correo electrónico del ID de Apple del usuario no se proporciona como parte de la credencial. Tras una actualización correcta de “Iniciar sesión con Apple”, el sistema elimina la credencial de contraseña utilizada anteriormente del llavero del usuario si estaba guardada allí.
Las extensiones de modificación de autenticación de cuentas tienen la oportunidad de realizar una autenticación de usuario adicional antes de realizar una actualización. Para las actualizaciones iniciadas en el gestor de contraseñas o después de iniciar sesión en una app, la extensión proporciona el nombre de usuario y la contraseña de la cuenta que actualizar. En el caso de las actualizaciones dentro de la app, solo se proporciona el nombre de usuario. Si la extensión requiere que el usuario se vuelva a autenticar, puede solicitar que se muestre una interfaz de usuario personalizada antes de continuar con la actualización. El caso de uso previsto para mostrar esta interfaz de usuario es solicitar al usuario que introduzca un segundo factor de autenticación para autorizar la actualización.