Google wis nerbitake "Sepira efektife kebersihan akun dhasar kanggo nyegah nyolong akun" babagan apa sing bisa ditindakake pemilik akun kanggo nyegah dicolong para penjahat. Kita ngaturake terjemahan saka panliten iki.
Bener, cara sing paling efektif, sing digunakake dening Google dhewe, ora kalebu ing laporan kasebut. Aku kudu nulis babagan cara iki dhewe ing pungkasan.
Saben dina kita nglindhungi pangguna saka atusan ewu upaya hacking akun. asale saka bot otomatis kanthi akses menyang sistem cracking sandi pihak katelu, nanging serangan phishing lan diangkah uga ana. Sadurunge kita marang carane , kayata nambahake nomer telpon, bisa mbantu sampeyan tetep aman, nanging saiki kita pengin mbuktekake ing praktik.
Serangan phishing minangka upaya kanggo ngapusi pangguna supaya kanthi sukarela menehi informasi panyerang sing bakal migunani ing proses peretasan. Contone, kanthi nyalin antarmuka aplikasi legal.
Serangan nggunakake bot otomatis minangka upaya peretasan sing ora ditujokake kanggo pangguna tartamtu. Biasane ditindakake nggunakake piranti lunak sing kasedhiya kanggo umum lan bisa digunakake sanajan "kerupuk" sing ora dilatih. Penyerang ora ngerti apa-apa babagan karakteristik pangguna tartamtu - mung mbukak program kasebut lan "nyekel" kabeh cathetan ilmiah sing ora dilindhungi.
Serangan sing ditargetake yaiku peretasan akun tartamtu, ing ngendi informasi tambahan diklumpukake babagan saben akun lan pemilike, nyoba nyegat lan nganalisa lalu lintas, uga nggunakake alat peretasan sing luwih rumit.
(Cathetan penerjemah)
Kita kerja sama karo peneliti saka Universitas New York lan Universitas California kanggo ngerteni kepiye efektifitas kebersihan akun dhasar kanggo nyegah pambajakan akun.
Sinau taunan babagan ΠΈ diwenehi dina Rebo ing rapat ahli, pembuat kebijakan lan pangguna sing diarani .
Riset kita nuduhake yen mung nambahake nomer telpon menyang akun Google sampeyan bisa ngalangi nganti 100% serangan bot otomatis, 99% serangan phishing akeh, lan 66% serangan sing ditargetake ing penyelidikan kita.
Perlindhungan Google proaktif otomatis marang pambajakan akun
Kita ngleksanakake pangayoman proaktif otomatis kanggo luwih nglindhungi kabeh kedhaftar saka hacking akun. Mangkene cara kerjane: Yen kita ndeteksi nyoba mlebu sing curiga (contone, saka lokasi utawa piranti anyar), kita bakal njaluk bukti tambahan yen sampeyan pancen sampeyan. Konfirmasi iki bisa uga verifikasi manawa sampeyan duwe akses menyang nomer telpon sing dipercaya, utawa mangsuli pitakon sing mung sampeyan ngerti jawaban sing bener.
Yen sampeyan mlebu menyang telpon utawa menehi nomer telpon ing setelan akun, kita bisa nyedhiyakake tingkat keamanan sing padha karo verifikasi rong langkah. Kita nemokake manawa kode SMS sing dikirim menyang nomer telpon pemulihan mbantu mblokir 100% bot otomatis, 96% serangan phishing akeh, lan 76% serangan sing ditarget. Lan piranti njaluk konfirmasi transaksi, panggantos SMS sing luwih aman, mbantu nyegah 100% bot otomatis, 99% serangan phishing massal, lan 90% serangan sing diangkah.
Perlindhungan adhedhasar kepemilikan piranti lan kawruh babagan fakta tartamtu mbantu nglawan bot otomatis, dene proteksi kepemilikan piranti mbantu nyegah phishing lan malah serangan sing ditargetake.
Yen sampeyan ora duwe nomer telpon sing disetel ing akun sampeyan, kita bisa nggunakake teknik keamanan sing luwih lemah adhedhasar apa sing kita ngerti babagan sampeyan, kayata ing ngendi pungkasan sampeyan mlebu ing akun sampeyan. Iki bisa digunakake kanggo bot, nanging tingkat pangayoman marang phishing bisa mudhun nganti 10%, lan meh ora ana pangayoman marang serangan sing diangkah. Iki amarga kaca phishing lan panyerang sing ditargetake bisa meksa sampeyan mbukak informasi tambahan sing bisa dijaluk Google kanggo verifikasi.
Amarga keuntungan saka proteksi kasebut, bisa uga ana sing takon kenapa kita ora mbutuhake kanggo saben login. Jawaban iki bakal nggawe kerumitan tambahan kanggo pangguna (utamanΓ© kanggo unprepared - approx. ngartekne.) lan bakal nambah risiko penundaan akun. Eksperimen kasebut nemokake manawa 38% pangguna ora duwe akses menyang telpon nalika mlebu akun. Liyane 34% pangguna ora bisa ngelingi alamat email sekunder.
Yen sampeyan ilang akses menyang telpon utawa ora bisa mlebu, sampeyan bisa bali menyang piranti kapercaya sing sadurunge sampeyan mlebu kanggo ngakses akun.
Ngerteni serangan hack-for-hire
Ing ngendi umume proteksi otomatis ngalangi umume serangan bot lan phishing, serangan sing ditarget dadi luwih ngrusak. Minangka bagΓ©an saka kita aktif efforts kanggo , kita terus-terusan ngenali kelompok hacking-kanggo-hire pidana anyar sing ngisi rata-rata $750 kanggo hack siji akun. Penyerang iki asring ngandelake email phishing sing nyamar dadi anggota kulawarga, kolega, pejabat pemerintah, utawa malah Google. Yen target ora nyerah ing upaya phishing pisanan, serangan sabanjure terus luwih saka sasi.
Conto serangan phishing man-in-the-middle sing verifikasi bener sandhi ing wektu nyata. Kaca phishing banjur njaluk korban ngetik kode otentikasi SMS kanggo ngakses akun korban.
Kita ngira mung siji saka yuta pangguna sing duwe risiko dhuwur iki. Penyerang ora target wong acak. Nalika riset nuduhake manawa pangreksan otomatis bisa mbantu wektu tundha lan malah nyegah nganti 66% saka serangan sing ditargetake sing wis kita sinau, kita isih nyaranake pangguna sing berisiko dhuwur ndhaptar karo kita. . Kaya sing diamati nalika diselidiki, pangguna sing nggunakake kunci keamanan khusus (yaiku, otentikasi rong langkah nggunakake kode sing dikirim menyang pangguna - kira-kira. ngartekne), wis dadi korban phishing tumbak.
Njupuk wektu sethithik kanggo nglindhungi akun sampeyan
Sampeyan nggunakake sabuk pengaman kanggo nglindhungi urip lan awak nalika lelungan ing mobil. Lan kanthi bantuan kita sampeyan bisa njamin keamanan akun sampeyan.
Riset kita nuduhake manawa salah sawijining perkara sing paling gampang kanggo nglindhungi Akun Google yaiku nyetel nomer telpon. Kanggo pangguna berisiko tinggi kayata wartawan, aktivis komunitas, pimpinan bisnis lan tim kampanye politik, program kita bakal mbantu njamin keamanan tingkat paling dhuwur. Sampeyan uga bisa nglindhungi akun non-Google saka peretasan sandhi kanthi nginstal ekstensi kasebut .
Iku menarik yen Google ora nuruti saran sing diwenehake marang pangguna. kanggo otentikasi loro-faktor kanggo luwih saka 85 karyawan. Miturut perwakilan saka perusahaan, wiwit wiwitan nggunakake token hardware, ora ana siji akun nyolong wis direkam. Dibandhingake karo tokoh sing ditampilake ing laporan iki. Mangkono iku cetha sing nggunakake hardware token kanggo otentikasi rong faktor mung cara dipercaya kanggo nglindhungi loro akun lan informasi (lan ing sawetara kasus uga dhuwit).
Kanggo nglindhungi akun Google, token sing digawe miturut standar FIDO U2F digunakake, contone . Lan kanggo otentikasi rong faktor ing sistem operasi Windows, Linux lan MacOS, .
(Cathetan penerjemah)
Source: www.habr.com