ProHoster > وبلاگ > اداره > برای جلوگیری از سرقت اکانت گوگل خود چه کاری باید انجام دهید
برای جلوگیری از سرقت اکانت گوگل خود چه کاری باید انجام دهید
گوگل منتشر کرده است مطالعه درباره اینکه مالک حساب چه کاری می تواند انجام دهد تا از سرقت آن توسط مجرمان جلوگیری کند، «بهداشت اولیه حساب چقدر در جلوگیری از سرقت حساب مؤثر است». ترجمه ای از این تحقیق را به شما تقدیم می کنیم.
درست است، مؤثرترین روشی که خود گوگل از آن استفاده می کند، در گزارش گنجانده نشده است. در پایان مجبور شدم خودم در مورد این روش بنویسم.
ما هر روز از کاربران در برابر صدها هزار تلاش برای هک حساب محافظت می کنیم. اکثر حملات از ربات های خودکار با دسترسی به سیستم های شکستن رمز عبور شخص ثالث می آید، اما حملات فیشینگ و هدفمند نیز وجود دارد. قبلاً گفتیم چگونه فقط پنج مرحله ساده، مانند افزودن شماره تلفن، می تواند به شما کمک کند ایمن بمانید، اما اکنون می خواهیم آن را در عمل ثابت کنیم.
حمله فیشینگ تلاشی برای فریب کاربر برای دادن داوطلبانه اطلاعاتی است که در فرآیند هک مفید خواهد بود. به عنوان مثال، با کپی کردن رابط یک برنامه قانونی.
حملات با استفاده از رباتهای خودکار، تلاشهای هک گستردهای هستند که کاربران خاصی را هدف قرار نمیدهند. معمولاً با استفاده از نرمافزارهای در دسترس عموم انجام میشود و میتوان آن را حتی توسط "کرکرهای" آموزشدیده نیز استفاده کرد. مهاجمان هیچ چیز در مورد ویژگی های کاربران خاص نمی دانند - آنها به سادگی برنامه را راه اندازی می کنند و تمام سوابق علمی ضعیف محافظت شده در اطراف را "گرفتن" می کنند.
حملات هدفمند هک کردن حسابهای خاص است که در آن اطلاعات اضافی درباره هر حساب و صاحب آن جمعآوری میشود، تلاش برای رهگیری و تجزیه و تحلیل ترافیک و همچنین استفاده از ابزارهای هک پیچیدهتر امکانپذیر است.
(یادداشت مترجم)
ما با محققانی از دانشگاه نیویورک و دانشگاه کالیفرنیا همکاری کردیم تا بفهمیم رعایت بهداشت اولیه حساب چقدر در جلوگیری از سرقت حساب موثر است.
مطالعه سالانه در مورد در مقیاس بزرگ и حملات هدفمند روز چهارشنبه در نشست کارشناسان، سیاستگذاران و کاربران به نام ارائه شد کنفرانس وب.
تحقیقات ما نشان میدهد که افزودن یک شماره تلفن به حساب Google شما میتواند تا 100 درصد از حملات خودکار ربات، 99 درصد از حملات فیشینگ انبوه و 66 درصد از حملات هدفمند را در تحقیقات ما مسدود کند.
حفاظت پیشگیرانه خودکار گوگل در برابر سرقت حساب
ما حفاظت پیشگیرانه خودکار را برای محافظت بهتر از همه کاربران خود در برابر هک حساب پیاده سازی می کنیم. نحوه کار به این صورت است: اگر تلاش مشکوکی برای ورود به سیستم شناسایی کنیم (مثلاً از یک مکان یا دستگاه جدید)، مدرک دیگری مبنی بر اینکه واقعاً شما هستید درخواست خواهیم کرد. این تأیید میتواند تأیید دسترسی شما به یک شماره تلفن قابل اعتماد یا پاسخ به سؤالی باشد که فقط شما پاسخ صحیح را میدانید.
اگر به سیستم تلفن خود وارد شده اید یا شماره تلفنی را در تنظیمات حساب خود ارائه کرده اید، ما می توانیم همان سطح امنیتی را که تأیید صحت دو مرحله ای ارائه می دهد، ارائه دهیم. ما دریافتیم که یک کد پیامکی ارسال شده به شماره تلفن بازیابی به مسدود کردن 100٪ ربات های خودکار، 96٪ از حملات فیشینگ انبوه و 76٪ از حملات هدفمند کمک می کند. و درخواست دستگاه برای تأیید تراکنش، جایگزینی امن تر برای پیامک، به جلوگیری از 100٪ ربات های خودکار، 99٪ از حملات فیشینگ انبوه و 90٪ از حملات هدفمند کمک کرد.
حفاظت مبتنی بر مالکیت دستگاه و آگاهی از حقایق خاص به مقابله با رباتهای خودکار کمک میکند، در حالی که حفاظت از مالکیت دستگاه به جلوگیری از فیشینگ و حتی حملات هدفمند کمک میکند.
اگر شماره تلفنی در حساب خود تنظیم نکردهاید، ممکن است از تکنیکهای امنیتی ضعیفتری بر اساس اطلاعاتی که در مورد شما میدانیم استفاده کنیم، مانند آخرین جایی که به حساب خود وارد شدهاید. این به خوبی در برابر ربات ها عمل می کند، اما سطح محافظت در برابر فیشینگ می تواند تا 10٪ کاهش یابد و عملاً هیچ محافظتی در برابر حملات هدفمند وجود ندارد. این به این دلیل است که صفحات فیشینگ و مهاجمان هدفمند میتوانند شما را مجبور کنند اطلاعات بیشتری را که ممکن است Google برای تأیید درخواست کند، فاش کنید.
با توجه به مزایای چنین محافظتی، ممکن است بپرسید که چرا برای هر ورود به سیستم نیازی به آن نداریم. پاسخ این است که پیچیدگی بیشتری برای کاربران ایجاد می کند (مخصوصاً برای افراد ناآماده - تقریباً ترجمه.) و خطر تعلیق حساب را افزایش می دهد. این آزمایش نشان داد که 38 درصد از کاربران هنگام ورود به حساب کاربری خود به تلفن خود دسترسی ندارند. 34 درصد دیگر از کاربران نمی توانند آدرس ایمیل ثانویه خود را به خاطر بسپارند.
اگر دسترسی به تلفن خود را از دست داده اید یا نمی توانید به سیستم وارد شوید، همیشه می توانید برای دسترسی به حساب خود به دستگاه مطمئنی که قبلاً از آن وارد شده اید بازگردید.
آشنایی با حملات هک برای استخدام
در جایی که اکثر حفاظت های خودکار بیشتر ربات ها و حملات فیشینگ را مسدود می کنند، حملات هدفمند آسیب رسان تر می شوند. به عنوان بخشی از تلاش های مداوم ما برای نظارت بر تهدیدات هک، ما به طور مداوم در حال شناسایی گروه های جدید مجرمانه هک برای استخدام هستیم که برای هک یک حساب کاربری به طور متوسط 750 دلار دریافت می کنند. این مهاجمان اغلب به ایمیلهای فیشینگ متکی هستند که جعل هویت اعضای خانواده، همکاران، مقامات دولتی یا حتی گوگل هستند. اگر هدف در اولین تلاش فیشینگ تسلیم نشود، حملات بعدی برای بیش از یک ماه ادامه خواهد داشت.
نمونه ای از حمله فیشینگ Man-in-the-Middle که صحت یک رمز عبور را در زمان واقعی تأیید می کند. سپس صفحه فیشینگ از قربانیان می خواهد تا کدهای احراز هویت پیامکی را برای دسترسی به حساب قربانی وارد کنند.
ما تخمین می زنیم که از هر یک میلیون کاربر فقط یک نفر در این خطر بالا قرار دارد. مهاجمان افراد تصادفی را هدف قرار نمی دهند. در حالی که تحقیقات نشان میدهد که حفاظتهای خودکار ما میتوانند تا ۶۶ درصد از حملات هدفمندی را که مطالعه کردهایم به تأخیر انداخته و حتی از آن جلوگیری کنند، ما همچنان توصیه میکنیم که کاربران پرخطر با ما ثبت نام کنند. برنامه حفاظت تکمیلی. همانطور که در طول بررسی ما مشاهده شد، کاربرانی که منحصراً از کلیدهای امنیتی استفاده می کنند (یعنی احراز هویت دو مرحله ای با استفاده از کدهای ارسال شده به کاربران - تقریبا. ترجمه)، قربانی spear phishing شده اند.
کمی برای محافظت از حساب خود وقت بگذارید
هنگام مسافرت با اتومبیل از کمربند ایمنی برای محافظت از جان و اندام استفاده می کنید. و با کمک ما پنج نکته می توانید امنیت حساب خود را تضمین کنید.
تحقیقات ما نشان میدهد که یکی از سادهترین کارهایی که میتوانید برای محافظت از حساب Google خود انجام دهید، تنظیم یک شماره تلفن است. برای کاربران پرخطر مانند روزنامهنگاران، فعالان اجتماعی، رهبران تجاری و تیمهای مبارزات سیاسی، برنامه ما است حفاظت پیشرفته به تضمین بالاترین سطح امنیت کمک خواهد کرد. همچنین میتوانید با نصب افزونه از حسابهای غیر Google خود در برابر هک رمز عبور محافظت کنید بررسی گذرواژه کروم.
جالب است که گوگل به توصیه هایی که به کاربرانش می دهد عمل نمی کند. گوگل از توکن های سخت افزاری استفاده می کند برای احراز هویت دو مرحله ای برای بیش از 85 کارمند خود. به گفته نمایندگان این شرکت، از زمان شروع استفاده از توکن های سخت افزاری، حتی یک سرقت حساب ثبت نشده است. با ارقام ارائه شده در این گزارش مقایسه کنید. بنابراین واضح است که استفاده از سخت افزار نشانه ها برای احراز هویت دو مرحله ای تنها راه مطمئن برای محافظت هم حساب ها و هم اطلاعات (و در برخی موارد نیز پول).
برای محافظت از حسابهای Google، برای مثال، از توکنهایی استفاده میکنیم که طبق استاندارد FIDO U2F ایجاد شدهاند چنین. و برای احراز هویت دو مرحله ای در سیستم عامل های Windows، Linux و MacOS، توکن های رمزنگاری.