Microsoft realizó un análisis de reutilización de contraseñas en más de 3 mil millones de cuentas de la compañía en 2019 para saber cuántas de las contraseñas utilizadas estaban en uso por los clientes de Microsoft.
La compañía recopiló información de hash de contraseña de fuentes públicas y recibió datos adicionales de las agencias de aplicación de la ley, y utilizó los datos como base para la comparación.
Un análisis del uso de contraseñas en 2016 reveló que aproximadamente el 20% de los usuarios de Internet estaban reutilizando contraseñas, y que un 27% adicional usaba contraseñas que eran «casi idénticas» a las contraseñas de otras cuentas. En 2018, se reveló que una gran parte de los usuarios de Internet seguían favoreciendo las contraseñas débiles sobre las seguras.
Compañías como Mozilla o Google introdujeron funcionalidades para mejorar el uso de contraseñas. Google por ejemplo, publicó una extensión llamada Password Checkup, en febrero de 2019, y comenzó a integrarla en agosto del mismo año de forma nativa en el navegador. La compañía lanzó una nueva función de verificación de contraseña para cuentas de Google en su sitio.
Por otro lado, Mozilla integró Firefox Monitor en su navegador web, diseñado para buscar contraseñas débiles y monitorear las contraseñas en busca de fugas.
Los usuarios de computadoras que usan administradores de contraseñas independientes, también pueden verificar las contraseñas en las bases de datos de fugas.
Microsoft ha querido utilizar una función de inicios de sesión sin contraseña por algún tiempo, y explica la razón acerca del estudio de reutilización de contraseña.
Según la compañía, 44 millones de cuentas de Azure AD y Microsoft Services, usan contraseñas que también se encuentran en bases de datos de contraseñas cifradas. Esto es aproximadamente el 1.5% de todas las credenciales que la compañía verificó en su estudio.
Microsoft citó un estudio en el que se analizó el uso de contraseñas de casi 30 millones de usuarios. La conclusión fue que la reutilización y las modificaciones de contraseñas eran comunes para el 52% de los usuarios, y que «el 30% de las contraseñas modificadas y todas las contraseñas reutilizadas se pueden descifrar en solo 10 conjeturas».
La compañía aplicará restablecimientos de contraseñas a los usuarios que sufrieron filtraciones, por lo que Microsoft pedirá que se cambie la contraseña de la cuenta. No está claro aún cómo se comunicará con los usuarios afectados.
«En el lado empresarial, Microsoft elevará el riesgo del usuario y alertará al administrador para que pueda aplicar un restablecimiento de credenciales», dijo la compañía.
También recomienda que los clientes habiliten una forma de autenticación multifactor para proteger mejor sus cuentas contra ataques y fugas. Microsoft asegura que el 99.9% de los ataques de identidad no tienen éxito si se utiliza la autenticación multifactor.