Mae Google wedi cyhoeddi “Pa mor effeithiol yw hylendid cyfrifon sylfaenol o ran atal lladrad cyfrif” ynghylch yr hyn y gall perchennog cyfrif ei wneud i’w atal rhag cael ei ddwyn gan droseddwyr. Cyflwynwn gyfieithiad o'r astudiaeth hon i'ch sylw.
Yn wir, nid yw'r dull mwyaf effeithiol, a ddefnyddir gan Google ei hun, wedi'i gynnwys yn yr adroddiad. Roedd yn rhaid i mi ysgrifennu am y dull hwn fy hun o'r diwedd.
Bob dydd rydym yn amddiffyn defnyddwyr rhag cannoedd o filoedd o ymdrechion i hacio cyfrifon. yn dod o bots awtomataidd sydd â mynediad i systemau cracio cyfrinair trydydd parti, ond mae gwe-rwydo ac ymosodiadau wedi'u targedu hefyd yn bresennol. Yn flaenorol dywedasom sut , megis ychwanegu rhif ffôn, yn gallu eich helpu i gadw'n ddiogel, ond nawr rydym am ei brofi'n ymarferol.
Mae ymosodiad gwe-rwydo yn ymgais i dwyllo defnyddiwr i roi gwybodaeth wirfoddol i'r ymosodwr a fydd yn ddefnyddiol yn y broses hacio. Er enghraifft, trwy gopïo rhyngwyneb cais cyfreithiol.
Mae ymosodiadau gan ddefnyddio bots awtomataidd yn ymdrechion hacio enfawr nad ydynt wedi'u hanelu at ddefnyddwyr penodol. Fel arfer yn cael ei wneud gan ddefnyddio meddalwedd sydd ar gael i'r cyhoedd a gellir ei ddefnyddio hyd yn oed gan “crackers” heb eu hyfforddi. Nid yw ymosodwyr yn gwybod dim am nodweddion defnyddwyr penodol - yn syml, maen nhw'n lansio'r rhaglen ac yn “dal” yr holl gofnodion gwyddonol sydd wedi'u diogelu'n wael o gwmpas.
Mae ymosodiadau wedi'u targedu yn cael eu hacio o gyfrifon penodol, lle mae gwybodaeth ychwanegol yn cael ei chasglu am bob cyfrif a'i berchennog, mae ymdrechion i ryng-gipio a dadansoddi traffig, yn ogystal â defnyddio offer hacio mwy cymhleth yn bosibl.
(Nodyn y cyfieithydd)
Fe wnaethom ymuno ag ymchwilwyr o Brifysgol Efrog Newydd a Phrifysgol California i ddarganfod pa mor effeithiol yw hylendid cyfrifon sylfaenol wrth atal herwgipio cyfrifon.
Astudiaeth flynyddol am и ei gyflwyno ddydd Mercher mewn cyfarfod o arbenigwyr, llunwyr polisi a defnyddwyr a alwyd .
Mae ein hymchwil yn dangos y gall ychwanegu rhif ffôn i'ch cyfrif Google rwystro hyd at 100% o ymosodiadau bot awtomataidd, 99% o ymosodiadau gwe-rwydo swmp, a 66% o ymosodiadau wedi'u targedu yn ein hymchwiliad.
Diogelwch Google rhagweithiol awtomatig rhag herwgipio cyfrif
Rydym yn gweithredu amddiffyniad rhagweithiol awtomatig i amddiffyn ein holl ddefnyddwyr yn well rhag hacio cyfrifon. Dyma sut mae'n gweithio: Os byddwn yn canfod ymgais amheus i fewngofnodi (er enghraifft, o leoliad neu ddyfais newydd), byddwn yn gofyn am brawf ychwanegol mai chi sydd yno mewn gwirionedd. Gallai'r cadarnhad hwn fod yn ddilysu bod gennych fynediad at rif ffôn dibynadwy, neu'n ateb cwestiwn nad ydych ond yn gwybod yr ateb cywir iddo.
Os ydych wedi mewngofnodi i'ch ffôn neu wedi darparu rhif ffôn yng ngosodiadau eich cyfrif, gallwn ddarparu'r un lefel o ddiogelwch â dilysu dau gam. Canfuom fod cod SMS a anfonwyd at rif ffôn adfer wedi helpu i rwystro 100% o bots awtomataidd, 96% o ymosodiadau gwe-rwydo swmp, a 76% o ymosodiadau wedi'u targedu. Ac fe wnaeth awgrymiadau dyfais i gadarnhau trafodiad, amnewidiad mwy diogel ar gyfer SMS, helpu i atal 100% o bots awtomataidd, 99% o ymosodiadau gwe-rwydo torfol, a 90% o ymosodiadau wedi'u targedu.
Mae amddiffyniad sy'n seiliedig ar berchnogaeth dyfais a gwybodaeth am rai ffeithiau yn helpu i atal botiau awtomataidd, tra bod amddiffyniad perchnogaeth dyfais yn helpu i atal gwe-rwydo a hyd yn oed ymosodiadau wedi'u targedu.
Os nad oes gennych rif ffôn wedi'i osod yn eich cyfrif, mae'n bosibl y byddwn yn defnyddio technegau diogelwch gwannach yn seiliedig ar yr hyn rydym yn ei wybod amdanoch chi, megis ble wnaethoch fewngofnodi ddiwethaf i'ch cyfrif. Mae hyn yn gweithio'n dda yn erbyn bots, ond gall lefel yr amddiffyniad rhag gwe-rwydo ostwng i 10%, ac nid oes fawr ddim amddiffyniad yn erbyn ymosodiadau wedi'u targedu. Mae hyn oherwydd y gall tudalennau gwe-rwydo ac ymosodwyr wedi'u targedu eich gorfodi i ddatgelu unrhyw wybodaeth ychwanegol y gall Google ofyn am ddilysu.
O ystyried manteision amddiffyniad o'r fath, efallai y bydd rhywun yn gofyn pam nad oes ei angen arnom ar gyfer pob mewngofnodi. Yr ateb yw y byddai'n creu cymhlethdod ychwanegol i ddefnyddwyr (yn enwedig ar gyfer y rhai heb eu paratoi - tua. cyfieithiad.) a byddai'n cynyddu'r risg o atal cyfrif. Canfu'r arbrawf nad oedd gan 38% o ddefnyddwyr fynediad i'w ffôn wrth fewngofnodi i'w cyfrif. Ni allai 34% arall o ddefnyddwyr gofio eu cyfeiriad e-bost eilaidd.
Os ydych wedi colli mynediad i'ch ffôn neu os na allwch fewngofnodi, gallwch bob amser ddychwelyd i'r ddyfais ddibynadwy y gwnaethoch fewngofnodi ohoni o'r blaen i gael mynediad i'ch cyfrif.
Deall ymosodiadau darnia-i-llogi
Lle mae'r rhan fwyaf o amddiffyniadau awtomataidd yn rhwystro'r rhan fwyaf o bots ac ymosodiadau gwe-rwydo, mae ymosodiadau wedi'u targedu yn dod yn fwy niweidiol. Fel rhan o'n hymdrechion parhaus i , Rydym yn gyson yn nodi grwpiau hacio-i-hurio troseddol newydd sy'n codi tâl ar gyfartaledd o $750 i hacio un cyfrif. Mae'r ymosodwyr hyn yn aml yn dibynnu ar e-byst gwe-rwydo sy'n dynwared aelodau o'r teulu, cydweithwyr, swyddogion y llywodraeth, neu hyd yn oed Google. Os na fydd y targed yn ildio ar yr ymgais gwe-rwydo gyntaf, mae ymosodiadau dilynol yn parhau am fwy na mis.
Enghraifft o ymosodiad gwe-rwydo dyn-yn-y-canol sy'n gwirio cywirdeb cyfrinair mewn amser real. Yna mae'r dudalen gwe-rwydo yn annog dioddefwyr i nodi codau dilysu SMS i gael mynediad i gyfrif y dioddefwr.
Rydym yn amcangyfrif mai dim ond un o bob miliwn o ddefnyddwyr sydd â'r risg uchel hon. Nid yw ymosodwyr yn targedu pobl ar hap. Er bod ymchwil yn dangos y gall ein hamddiffyniadau awtomataidd helpu i oedi a hyd yn oed atal hyd at 66% o'r ymosodiadau targedig yr ydym wedi'u hastudio, rydym yn dal i argymell bod defnyddwyr risg uchel yn cofrestru gyda'n . Fel y sylwyd yn ystod ein hymchwiliad, defnyddwyr sy'n defnyddio allweddi diogelwch yn unig (hynny yw, dilysu dau gam gan ddefnyddio codau a anfonwyd at ddefnyddwyr - tua. cyfieithiad), wedi dod yn ddioddefwyr gwe-rwydo gwaywffon.
Cymerwch ychydig o amser i amddiffyn eich cyfrif
Rydych chi'n defnyddio gwregysau diogelwch i amddiffyn bywyd ac aelod wrth deithio mewn ceir. A chyda chymorth ein gallwch sicrhau diogelwch eich cyfrif.
Mae ein hymchwil yn dangos mai un o'r pethau hawsaf y gallwch chi ei wneud i amddiffyn eich Cyfrif Google yw sefydlu rhif ffôn. Ar gyfer defnyddwyr risg uchel fel newyddiadurwyr, gweithredwyr cymunedol, arweinwyr busnes a thimau ymgyrchu gwleidyddol, ein rhaglen yn helpu i sicrhau'r lefel uchaf o ddiogelwch. Gallwch hefyd amddiffyn eich cyfrifon nad ydynt yn Google rhag haciau cyfrinair trwy osod yr estyniad .
Mae'n ddiddorol nad yw Google yn dilyn y cyngor y mae'n ei roi i'w ddefnyddwyr. ar gyfer dilysu dau ffactor ar gyfer mwy na 85 o'i weithwyr. Yn ôl cynrychiolwyr y gorfforaeth, ers dechrau defnyddio tocynnau caledwedd, nid oes un lladrad cyfrif wedi'i gofnodi. Cymharwch â'r ffigurau a gyflwynir yn yr adroddiad hwn. Felly mae'n amlwg bod y defnydd o galedwedd tocynnau ar gyfer dilysu dau ffactor yr unig ffordd ddibynadwy i amddiffyn cyfrifon a gwybodaeth (ac mewn rhai achosion arian hefyd).
Er mwyn diogelu cyfrifon Google, rydym yn defnyddio tocynnau a grëwyd yn unol â safon FIDO U2F, er enghraifft . Ac ar gyfer dilysu dau ffactor mewn systemau gweithredu Windows, Linux a MacOS, .
(Nodyn y cyfieithydd)
Ffynhonnell: hab.com