Google ppubblikat "Kemm hija effettiva l-iġjene bażika tal-kont fil-prevenzjoni tas-serq ta' kont" dwar x'jista' jagħmel sid ta' kont biex jipprevjeni milli jinsteraq minn kriminali. Nippreżentaw għall-attenzjoni tiegħek traduzzjoni ta’ dan l-istudju.
Veru, l-aktar metodu effettiv, li jintuża mill-Google stess, ma kienx inkluż fir-rapport. Fl-aħħar kelli nikteb dwar dan il-metodu jien stess.
Kuljum aħna nipproteġu lill-utenti minn mijiet ta' eluf ta' tentattivi ta' hacking ta' kont. ġej minn bots awtomatizzati b'aċċess għal sistemi ta' qsim tal-password ta' partijiet terzi, iżda hemm preżenti wkoll phishing u attakki mmirati. Preċedentement għidna kif , bħaż-żieda ta 'numru tat-telefon, jistgħu jgħinuk tibqa' sigura, iżda issa rridu nippruvawha fil-prattika.
Attakk ta' phishing huwa tentattiv biex iqarraq utent biex jagħti volontarjament lill-attakkant informazzjoni li tkun utli fil-proċess tal-hacking. Pereżempju, billi tikkopja l-interface ta' applikazzjoni legali.
L-attakki li jużaw bots awtomatizzati huma tentattivi massivi ta' hacking mhux immirati lejn utenti speċifiċi. Normalment jitwettaq bl-użu ta 'softwer disponibbli pubblikament u jista' jintuża anke minn "crackers" mhux imħarrġa. L-attakkanti ma jafu xejn dwar il-karatteristiċi ta 'utenti speċifiċi - huma sempliċiment iniedu l-programm u "jaqbdu" ir-rekords xjentifiċi kollha kemmxejn protetti madwar.
L-attakki mmirati huma hacking ta 'kontijiet speċifiċi, li fihom tinġabar informazzjoni addizzjonali dwar kull kont u s-sid tiegħu, tentattivi biex jinterċettaw u janalizzaw it-traffiku, kif ukoll l-użu ta' għodod ta 'hacking aktar kumplessi huma possibbli.
(Nota tat-traduttur)
Aħna ingħaqadna ma 'riċerkaturi mill-Università ta' New York u l-Università ta 'Kalifornja biex insiru nafu kemm hija effettiva l-iġjene bażika tal-kontijiet fil-prevenzjoni tal-ħtif tal-kontijiet.
Studju annwali dwar и ġiet ippreżentata nhar l-Erbgħa f'laqgħa ta' esperti, dawk li jfasslu l-politika u utenti msejħa .
Ir-riċerka tagħna turi li sempliċiment li żżid numru tat-telefon mal-kont Google tiegħek tista' timblokka sa 100% tal-attakki awtomatizzati tal-bot, 99% tal-attakki ta' phishing bl-ingrossa, u 66% tal-attakki mmirati fl-investigazzjoni tagħna.
Protezzjoni awtomatika proattiva ta' Google kontra l-ħtif ta' kont
Aħna nimplimentaw protezzjoni proattiva awtomatika biex nipproteġu aħjar lill-utenti kollha tagħna mill-hacking tal-kontijiet. Hawn kif taħdem: Jekk niskopru tentattiv ta' login suspettuż (pereżempju, minn post jew apparat ġdid), aħna nitolbu prova addizzjonali li int verament int. Din il-konferma tista' tkun li tivverifika li għandek aċċess għal numru tat-telefon ta' fiduċja, jew li twieġeb mistoqsija li għaliha int biss taf it-tweġiba t-tajba.
Jekk int ffirmat mat-telefon tiegħek jew ipprovda numru tat-telefon fis-settings tal-kont tiegħek, nistgħu nipprovdu l-istess livell ta' sigurtà bħall-verifika f'żewġ passi. Sibna li kodiċi SMS mibgħut lil numru tat-telefon ta 'rkupru għen jimblokka 100% tal-bots awtomatizzati, 96% tal-attakki ta' phishing bl-ingrossa, u 76% tal-attakki mmirati. U l-apparat iħeġġeġ biex jikkonferma tranżazzjoni, sostitut aktar sigur għall-SMS, għen biex jipprevjeni 100% tal-bots awtomatizzati, 99% tal-attakki tal-phishing tal-massa, u 90% tal-attakki mmirati.
Il-protezzjoni bbażata kemm fuq is-sjieda tal-apparat kif ukoll l-għarfien ta’ ċerti fatti tgħin biex tiġġieled il-bots awtomatizzati, filwaqt li l-protezzjoni tas-sjieda tal-apparat tgħin biex tevita phishing u anke attakki mmirati.
Jekk ma jkollokx numru tat-telefon stabbilit fil-kont tiegħek, nistgħu nużaw tekniki ta' sigurtà aktar dgħajfa bbażati fuq dak li nafu dwarek, bħal fejn illoggjat l-aħħar fil-kont tiegħek. Dan jaħdem tajjeb kontra bots, iżda l-livell ta 'protezzjoni kontra l-phishing jista' jinżel għal 10%, u prattikament m'hemm l-ebda protezzjoni kontra attakki mmirati. Dan għaliex il-paġni tal-phishing u l-attakkanti mmirati jistgħu jġiegħlek tiżvela kwalunkwe informazzjoni addizzjonali li Google tista’ titlob għall-verifika.
Minħabba l-benefiċċji ta' protezzjoni bħal din, wieħed jista' jistaqsi għaliex ma neħtieġuhiex għal kull login. It-tweġiba hija li toħloq kumplessità addizzjonali għall-utenti (speċjalment għal dawk mhux ippreparati - madwar. traduzzjoni.) u jżid ir-riskju ta' sospensjoni tal-kont. L-esperiment sab li 38% tal-utenti ma kellhomx aċċess għat-telefon tagħhom meta jidħlu fil-kont tagħhom. 34% oħra tal-utenti ma setgħux jiftakru l-indirizz elettroniku sekondarju tagħhom.
Jekk tlift l-aċċess għat-telefon tiegħek jew ma tistax tidħol, tista' dejjem terġa' lura għall-apparat ta' fiduċja li minnu ffirmajt qabel biex taċċessa l-kont tiegħek.
Nifhmu attakki hack-for-kiri
Fejn il-biċċa l-kbira tal-protezzjonijiet awtomatizzati jimblokkaw il-biċċa l-kbira tal-bots u l-attakki tal-phishing, l-attakki mmirati jsiru aktar ta 'ħsara. Bħala parti mill-isforzi kontinwi tagħna biex , aħna kontinwament nidentifikaw gruppi kriminali ġodda ta 'hacking-for-kiri li jitolbu medja ta' $750 biex hack kont wieħed. Dawn l-attakkanti ħafna drabi jiddependu fuq emails ta’ phishing li jippersonaw membri tal-familja, kollegi, uffiċjali tal-gvern, jew saħansitra Google. Jekk il-mira ma taqtax qalbha mal-ewwel tentattiv ta’ phishing, l-attakki sussegwenti jkomplu għal aktar minn xahar.
Eżempju ta' attakk ta' phishing man-in-the-middle li jivverifika l-korrettezza ta' password f'ħin reali. Il-paġna tal-phishing imbagħad iġġiegħel lill-vittmi biex jidħlu kodiċijiet ta' awtentikazzjoni tal-SMS biex jaċċessaw il-kont tal-vittma.
Aħna nistmaw li wieħed biss minn kull miljun utent huwa f'dan ir-riskju għoli. L-attakkanti ma jimmirawx lejn nies każwali. Filwaqt li r-riċerka turi li l-protezzjonijiet awtomatizzati tagħna jistgħu jgħinu biex idewmu u anke jipprevjenu sa 66% tal-attakki mmirati li studjajna, xorta nirrakkomandaw li l-utenti ta’ riskju għoli jirreġistraw ma’ tagħna . Kif ġie osservat waqt l-investigazzjoni tagħna, utenti li jużaw esklussivament ċwievet tas-sigurtà (jiġifieri, awtentikazzjoni f'żewġ stadji bl-użu ta 'kodiċi mibgħuta lill-utenti - madwar. traduzzjoni), saru vittmi ta' spear phishing.
Ħu ftit ħin biex tipproteġi l-kont tiegħek
Tuża ċinturini tas-sigurtà biex tipproteġi l-ħajja u r-riġlejn waqt li tivvjaġġa fil-karozzi. U bl-għajnuna ta’ tagħna tista' tiżgura s-sigurtà tal-kont tiegħek.
Ir-riċerka tagħna turi li waħda mill-aktar affarijiet faċli li tista' tagħmel biex tipproteġi l-Kont Google tiegħek hija li twaqqaf numru tat-telefon. Għal utenti ta' riskju għoli bħal ġurnalisti, attivisti tal-komunità, mexxejja tan-negozju u timijiet ta' kampanji politiċi, il-programm tagħna se jgħin biex jiġi żgurat l-ogħla livell ta’ sigurtà. Tista 'wkoll tipproteġi l-kontijiet mhux Google tiegħek mill-hacks tal-password billi tinstalla l-estensjoni .
Interessanti li Google ma jsegwix il-pariri li tagħti lill-utenti tagħha. għal awtentikazzjoni b'żewġ fatturi għal aktar minn 85 mill-impjegati tagħha. Skont ir-rappreżentanti tal-korporazzjoni, mill-bidu tal-użu tat-tokens tal-ħardwer, ma ġie rreġistrat ebda serq ta 'kont wieħed. Qabbel maċ-ċifri ppreżentati f'dan ir-rapport. Għalhekk huwa ċar li l-użu tal-ħardwer tokens għal awtentikazzjoni b'żewġ fatturi l-uniku mod affidabbli biex tipproteġi kemm kontijiet kif ukoll informazzjoni (u f’xi każijiet ukoll flus).
Biex tipproteġi l-kontijiet Google, jintużaw tokens maħluqa skont l-istandard FIDO U2F, pereżempju . U għal awtentikazzjoni b'żewġ fatturi fis-sistemi operattivi Windows, Linux u MacOS, .
(Nota tat-traduttur)
Sors: www.habr.com