Google publikigis "Kiel efika estas baza konta higieno por malhelpi kontoŝtelon" pri tio, kion kontoposedanto povas fari por eviti ke ĝi estu ŝtelita de krimuloj. Ni prezentas al via atento tradukon de ĉi tiu studo.
Vere, la plej efika metodo, kiu estas uzata de Guglo mem, ne estis inkluzivita en la raporto. Mi devis mem skribi pri ĉi tiu metodo ĉe la fino.
Ĉiutage ni protektas uzantojn kontraŭ centoj da miloj da konto-pirataj provoj. venas de aŭtomatigitaj robotoj kun aliro al triaj pasvortrompaj sistemoj, sed ankaŭ ĉeestas phishing kaj celitaj atakoj. Antaŭe ni rakontis kiel , kiel aldonado de telefonnumero, povas helpi vin resti sekura, sed nun ni volas pruvi ĝin praktike.
Phishing-atako estas provo trompi uzanton por libervole doni al la atakanto informojn, kiuj estos utilaj en la haka procezo. Ekzemple, kopiante la interfacon de jura aplikaĵo.
Atakoj uzantaj aŭtomatigitaj robotoj estas amasaj hakaj provoj ne celitaj al specifaj uzantoj. Kutime efektivigita per publike disponebla programaro kaj povas esti uzata eĉ de netrejnitaj "crackers". Atakantoj scias nenion pri la karakterizaĵoj de specifaj uzantoj - ili simple lanĉas la programon kaj "kaptas" ĉiujn malbone protektitajn sciencajn rekordojn ĉirkaŭe.
Celitaj atakoj estas hakado de specifaj kontoj, en kiuj pliaj informoj estas kolektitaj pri ĉiu konto kaj ĝia posedanto, provoj kapti kaj analizi trafikon, same kiel la uzo de pli kompleksaj hakaj iloj eblas.
(Noto de la tradukinto)
Ni formis teamon kun esploristoj de Novjorka Universitato kaj la Universitato de Kalifornio por ekscii kiom efika baza higieno de konto estas por malhelpi kontkaperon.
Jara studo pri и estis prezentita merkrede en kunveno de fakuloj, politikofarantoj kaj uzantoj vokita .
Nia esplorado montras, ke simple aldoni telefonnumeron al via Google-konto povas bloki ĝis 100% de aŭtomataj robotatakoj, 99% de amasaj phishing-atakoj kaj 66% de celitaj atakoj en nia esploro.
Aŭtomata iniciatema Google-protekto kontraŭ kontokaptado
Ni efektivigas aŭtomatan proaktivan protekton por pli bone protekti ĉiujn niajn uzantojn kontraŭ konta hakado. Jen kiel ĝi funkcias: Se ni detektas suspektindan ensalutprovon (ekzemple, de nova loko aŭ aparato), ni petos plian pruvon, ke ĝi estas vere vi. Ĉi tiu konfirmo povus esti kontroli, ke vi havas aliron al fidinda telefonnumero, aŭ respondi demandon, pri kiu nur vi scias la ĝustan respondon.
Se vi estas ensalutinta en vian telefonon aŭ provizis telefonnumeron en via konta agordo, ni povas provizi la saman nivelon de sekureco kiel dupaŝa konfirmo. Ni trovis, ke SMS-kodo sendita al reakira telefonnumero helpis bloki 100% de aŭtomatigitaj robotoj, 96% de amasaj phishing-atakoj kaj 76% de celitaj atakoj. Kaj aparatoj por konfirmi transakcion, pli sekura anstataŭaĵo por SMS, helpis malhelpi 100% de aŭtomatigitaj robotoj, 99% de amasaj phishing-atakoj kaj 90% de celitaj atakoj.
Protekto bazita sur kaj aparata posedo kaj scio pri certaj faktoj helpas kontraŭstari aŭtomatigitajn robotojn, dum aparato-posedo protekto helpas malhelpi phishing kaj eĉ celitajn atakojn.
Se vi ne havas telefonnumeron agordita en via konto, ni povas uzi pli malfortajn sekurecajn teknikojn bazitajn sur tio, kion ni scias pri vi, kiel kie vi laste ensalutinta en vian konton. Ĉi tio funkcias bone kontraŭ robotoj, sed la nivelo de protekto kontraŭ phishing povas fali ĝis 10%, kaj preskaŭ ne ekzistas protekto kontraŭ celitaj atakoj. Ĉi tio estas ĉar phishing-paĝoj kaj celitaj atakantoj povas devigi vin malkaŝi ajnajn pliajn informojn, kiujn Guglo povas peti konfirmon.
Konsiderante la avantaĝojn de tia protekto, oni povus demandi kial ni ne postulas ĝin por ĉiu ensaluto. La respondo estas, ke ĝi kreus plian kompleksecon por uzantoj (precipe por nepreparitaj - ĉ. traduko.) kaj pliigus la riskon de konto-pendado. La eksperimento trovis, ke 38% de uzantoj ne havis aliron al sia telefono kiam ensalutinta en sian konton. Alia 34% de uzantoj ne povis memori sian sekundaran retadreson.
Se vi perdis la aliron al via telefono aŭ ne povas ensaluti, vi ĉiam povas reveni al la fidinda aparato de kiu vi antaŭe ensalutis por aliri vian konton.
Kompreni atakojn de hako por dungi
Kie la plej multaj aŭtomatigitaj protektoj blokas la plej multajn robotojn kaj phishing-atakojn, celitaj atakoj fariĝas pli damaĝaj. Kadre de niaj daŭraj klopodoj al , ni konstante identigas novajn krimajn hakantajn grupojn, kiuj ŝargas averaĝe $750 por haki unu konton. Ĉi tiuj atakantoj ofte fidas je phishing-retpoŝtoj, kiuj parodias familianojn, kolegojn, registarajn oficialulojn aŭ eĉ Guglon. Se la celo ne rezignas pri la unua phishing provo, postaj atakoj daŭras dum pli ol monato.
Ekzemplo de man-en-la-meza phishing-atako kiu kontrolas la ĝustecon de pasvorto en reala tempo. La phishing-paĝo tiam instigas viktimojn enigi SMS-konfirmkodojn por aliri la konton de la viktimo.
Ni taksas, ke nur unu el miliono da uzantoj havas ĉi tiun altan riskon. Atakantoj ne celas hazardajn homojn. Dum esplorado montras, ke niaj aŭtomatigitaj protektoj povas helpi prokrasti kaj eĉ malhelpi ĝis 66% de la celitaj atakoj, kiujn ni studis, ni ankoraŭ rekomendas, ke altriskaj uzantoj registriĝu ĉe nia. . Kiel estis observita dum nia enketo, uzantoj kiuj uzas ekskluzive sekurecŝlosilojn (tio estas, dupaŝa aŭtentigo per kodoj senditaj al uzantoj - ĉ. traduko), fariĝis viktimoj de lanco-phishing.
Prenu iom da tempo por protekti vian konton
Vi uzas sekurzonojn por protekti vivon kaj membrojn dum vojaĝado en aŭtoj. Kaj kun la helpo de nia vi povas certigi la sekurecon de via konto.
Nia esplorado montras, ke unu el la plej facilaj aferoj, kiujn vi povas fari por protekti vian Google-konton, estas agordi telefonnumeron. Por altriskaj uzantoj kiel ĵurnalistoj, komunumaj aktivuloj, komercaj gvidantoj kaj politikaj kampanjteamoj, nia programo helpos certigi la plej altan nivelon de sekureco. Vi ankaŭ povas protekti viajn ne-Google-kontojn kontraŭ pasvortaj hakoj instalante la etendon .
Estas interese, ke Guglo ne sekvas la konsilojn, kiujn ĝi donas al siaj uzantoj. por dufaktora aŭtentigo por pli ol 85 el ĝiaj dungitoj. Laŭ reprezentantoj de la korporacio, ekde la komenco de uzado de aparataro-ĵetonoj, eĉ ne unu konta ŝtelo estis registrita. Komparu kun la ciferoj prezentitaj en ĉi tiu raporto. Tiel estas certe ke la uzo de aparataro ĵetonoj por dufaktora aŭtentigo la sola fidinda maniero protekti kaj kontoj kaj informoj (kaj en kelkaj kazoj ankaŭ mono).
Por protekti Google-kontojn, ni uzas ekzemplerojn kreitajn laŭ la normo FIDO U2F . Kaj por dufaktora aŭtentigo en operaciumoj Vindozo, Linukso kaj MacOS, .
(Noto de la tradukinto)
fonto: www.habr.com