Карпарацыя Google апублікавала "Наколькі эфектыўная базавая гігіена ўліковага запісу для прадухілення яе крадзяжу" аб тым, што можа зрабіць уладальнік уліковага запісу, каб яе не скралі зламыснікі. Прадстаўляем вашай увазе пераклад гэтага даследавання.
Праўда самы эфектыўны спосаб, які выкарыстоўваецца ў самой Google, у справаздачу не ўлучылі. Прыйшлося мне самому напісаць аб гэтым спосабе ў канцы.
Кожны дзень мы абараняем карыстачоў ад сотняў тысяч спроб узлому акаўнтаў. зыходзіць ад аўтаматычных робатаў з доступам да іншых сістэм узлому пароляў, але таксама прысутнічаюць фішынгавыя і мэтавыя напады. Раней мы расказвалі, як , такіх як даданне нумара тэлефона, могуць дапамагчы вам засцерагчы сябе, але зараз мы хочам даказаць гэта на практыцы.
Фішынгавая атака – спроба падмануць карыстальніка такім чынам, каб ён добраахвотна перадаў зламысніку інфармацыю, якая будзе карысная падчас узлому. Напрыклад, шляхам капіявання інтэрфейсу легальнага прыкладання.
Напады з дапамогай аўтаматычных робатаў - масавыя спробы ўзлому не накіраваныя на канкрэтных карыстальнікаў. Звычайна ажыццяўляюцца з дапамогай агульнадаступнага праграмнага забеспячэння і даступныя для выкарыстання нават непадрыхтаваным "узломшчыкам". Зламыснікі нічога не ведаюць пра асаблівасці канкрэтных карыстальнікаў - яны проста запускаюць праграму і "ловяць" усе дрэнна абароненыя навукоўцы запісы вакол.
Мэтавыя атакі - узломы канкрэтных уліковых запісаў, пры якіх пра кожны ўлік і яе ўладальніка збіраецца дадатковая інфармацыя, магчымыя спробы перахопу і аналізу трафіку, а таксама прымяненне больш складаных інструментаў узлому.
(Заўвага перакладчыка)
Мы аб'ядналіся з даследнікамі з New York University і University of California, каб высветліць, наколькі эфектыўна базавая гігіена уліковых запісаў прадухіляе іх "згоны".
Гадавое даследаванне аб и было прадстаўлена ў сераду на сходзе экспертаў, палітыкаў і карыстальнікаў пад назвай .
Нашы даследаванні паказваюць, што простае даданне нумара тэлефона ў ваш уліковы запіс Google можа блакаваць да 100% нападаў ад аўтаматычных ботаў, 99% масавых фішынгавых нападаў і 66% мэтавых нападаў, якія мелі месца падчас нашага расследавання.
Аўтаматычная проактивная абарона Google ад "угону" уліковага запісу
Мы рэалізуем аўтаматычную проактивную абарону, каб лепш засцерагчы ўсіх нашых карыстачоў ад узлому акаўнта. Вось як гэта працуе: калі мы выявім падазроную спробу ўваходу (напрыклад, з новага месца ці прылады), мы папросім дадатковыя доказы таго, што гэта сапраўды вы. Гэтым пацверджаннем можа быць кантроль таго, што ў вас ёсць доступ да даверанага тэлефона, ці адказ на пытанне, на якое толькі вы ведаеце правільны адказ.
Калі вы ўвайшлі ў свой тэлефон або ўказалі нумар тэлефона ў параметрах уліковага запісу, мы можам забяспечыць такі ж узровень абароны, як і з дапамогай двухэтапнай праверкі. Мы выявілі, што код SMS, адпраўлены на нумар тэлефона для аднаўлення, дапамог заблакаваць 100% аўтаматычных ботаў, 96% масавых фішынгавых нападаў і 76% мэтавых нападаў. А запыты на прыладзе з патрабаваннем пацвердзіць аперацыю, якія з'яўляюцца больш бяспечнай заменай SMS, дапамаглі прадухіліць 100% аўтаматычных ботаў, 99% масавых фішынгавых нападаў і 90% мэтавых нападаў.
Абарона, заснаваная як на валоданні пэўнымі прыладамі, так і на веданні пэўных фактаў, дапамагае супрацьстаяць аўтаматычным робатам, а абарона, заснаваная на валоданні пэўнымі прыладамі – для прадухілення фішынгу і нават мэтавых нападаў.
Калі ў вас уліковы запіс не настроены нумар тэлефона, мы можам звярнуцца да больш слабых метадаў абароны, заснаваных на ведах пра вас, такім як месца вашага апошняга ўваходу ва ўліковы запіс. Гэта добра працуе супраць ботаў, але ўзровень абароны ад фішынгу можа зваліцца да 10%, а ад мэтавых нападаў абарона практычна адсутнічаюць. Гэта адбываецца таму, што фішынгавыя старонкі і зламыснікі пры мэтавых нападах могуць прымусіць вас расчыніць любую дадатковую інфармацыю, якую можа запытаць Google для праверкі.
Улічваючы перавагі падобнай абароны, можна было б спытаць, чаму мы не патрабуем выкарыстоўваць яе для кожнага ўваходу ў сістэму. Адказ заключаецца ў тым, што гэта стварыла б дадатковыя складанасці для карыстальнікаў (асабліва для непадрыхтаваных - заўв. пяры.) і павысіла б рызыку блакіроўкі ўліковага запісу. У ходзе эксперыменту высветлілася, што 38% карыстальнікаў не мелі доступу да свайго тэлефона пры ўваходзе ва ўліковы запіс. Яшчэ 34% карыстачоў не змаглі ўспомніць свой дадатковы адрас электроннай пошты.
Калі вы страцілі доступ да свайго тэлефона ці не можаце выканаць уваход, вы заўсёды можаце вярнуцца да даверанай прылады, з якога вы раней уваходзілі, каб атрымаць доступ да свайго ўліковага запісу.
Разбіраемся ў нападах «узламаць па найму»
Там, дзе большасць аўтаматычных сродкаў абароны блакуюць большасць ботаў і фішынгавых нападаў, больш згубнымі становяцца мэтавыя напады. У рамках нашых пастаянных намаганняў па , мы ўвесь час выяўляем новыя крымінальныя групы «узлому па найму», якія просяць за ўзлом аднаго акаўнта за ў сярэднім 750 даляраў ЗША. Гэтыя зламыснікі часта належаць на фішынгавыя электронныя лісты, якія выдаюць сябе за чальцоў сям'і, калег, урадавых службоўцаў ці нават за Google. Калі мэта не здаецца пры першай спробе фішынгу, наступныя напады працягваюцца больш за месяц.
Прыклад фішынг-напады "чалавек пасярэдзіне", якая правярае правільнасць пароля ў рэжыме рэальнага часу. Пасля гэтага на фішынгавай старонцы прапануецца ахвярам увесці коды аўтэнтыфікацыі SMS для доступу да ўліковага запісу ахвяры.
Па нашых ацэнках, толькі адзін з мільёна карыстальнікаў падвяргаецца такой высокай рызыцы. Зламыснікі не нацэлены на выпадковых людзей. Хоць даследаванні паказваюць, што наша аўтаматычная абарона можа дапамагчы затрымаць і нават прадухіліць да 66% мэтавых нападаў, якія мы вывучалі, мы па-ранейшаму рэкамендуем, каб карыстачы з высокім узроўнем рызыкі рэгістраваліся ў нашай . Як было заўважана падчас нашага расследавання, карыстачы, якія выкарыстоўваюць выключна ключы бяспекі (гэта значыць – двухэтапную аўтэнтыфікацыю з дапамогай дасыланых карыстальнікам кодаў – заўв. перав.), сталі ахвярамі мэтавага фішынгу.
Выдаткуйце крыху часу, каб абараніць свой рахунак
Вы карыстаецеся рамянямі бяспекі для абароны жыцця і здароўя падчас паездак у аўтамабілі. І з дапамогай нашых вы зможаце забяспечыць бяспеку свайго акаўнта.
Як паказваюць нашы даследаванні, адна з самых простых рэчаў, якія вы можаце зрабіць для абароны свайго ўліковага запісу Google - гэта задаць нумар тэлефона. Для карыстальнікаў з высокім узроўнем рызыкі, такіх як журналісты, грамадскія актывісты, лідэры бізнесу і каманды палітычных кампаній, наша праграма дапаможа забяспечыць найвышэйшы ўзровень бяспекі. Вы таксама можаце абараніць свае ўліковыя запісы іншых сэрвісаў (не Google) ад узломаў пароляў, усталяваўшы пашырэнне .
Цікава, што Google не варта тым радам, якія сам жа дае сваім карыстачам. для двухфактарнай аўтэнтыфікацыі больш за 85 000 сваіх супрацоўнікаў. Па паведамленнях прадстаўнікоў карпарацыі з моманту пачатку выкарыстання апаратных токенаў не было зафіксавана ніводнага крадзяжу ўліковага запісу. Параўнайце з лічбамі, прадстаўленымі ў гэтай справаздачы. Такім чынам бачна, што выкарыстанне апаратных токенаў для двухфактарнай аўтэнтыфікацыі адзіны надзейны спосаб абароны як уліковых запісаў, так і інфармацыі (а ў шэрагу выпадкаў яшчэ і грошай).
Для абароны ўліковых запісаў Google выкарыстоўваюцца токены, створаныя па стандарце FIDO U2F, напрыклад . А для двухфактарнай аўтэнтыфікацыі ў аперацыйных сістэмах Windows, Linux і MacOS выкарыстоўваюцца .
(Заўвага перакладчыка)
Крыніца: habr.com