گوگل شايع ڪيو ”اڪاؤنٽ جي چوري کي روڪڻ ۾ بنيادي اڪائونٽ جي صفائي ڪيتري اثرائتو آهي“ بابت اڪائونٽ جو مالڪ ڇا ڪري سگهي ٿو ان کي ڏوهارين طرفان چوري ٿيڻ کان روڪڻ لاءِ. اسان توهان جي ڌيان لاء هن مطالعي جو ترجمو پيش ڪندا آهيون.
سچ پچ، سڀ کان وڌيڪ مؤثر طريقو، جيڪو گوگل طرفان استعمال ڪيو ويو آهي، رپورٽ ۾ شامل نه ڪيو ويو. ان طريقي جي باري ۾ مون کي آخر ۾ لکڻو پيو.
هر روز اسان صارفين کي سوين هزارين اڪائونٽ هيڪنگ جي ڪوششن کان بچائيندا آهيون. خودڪار بوٽن مان اچي ٿو ٽئين پارٽي جي پاسورڊ ڪريڪنگ سسٽم تائين رسائي سان، پر فشنگ ۽ ٽارگيٽ حملا پڻ موجود آهن. اڳ ۾ اسان ٻڌايو ته ڪيئن ، جيئن هڪ فون نمبر شامل ڪرڻ، توهان کي محفوظ رهڻ ۾ مدد ڪري سگهي ٿو، پر هاڻي اسان ان کي عملي طور ثابت ڪرڻ چاهيون ٿا.
هڪ فشنگ حملو هڪ صارف کي چالاڪ ڪرڻ جي ڪوشش آهي رضاڪارانه طور تي حملي ڪندڙ کي معلومات جيڪا هيڪنگ جي عمل ۾ ڪارآمد ثابت ٿيندي. مثال طور، قانوني درخواست جي انٽرفيس کي نقل ڪندي.
خودڪار بوٽس استعمال ڪندي حملا وڏي هيڪنگ ڪوششون آهن جن جو مقصد مخصوص استعمال ڪندڙن لاءِ ناهي. عام طور تي عام طور تي عام طور تي دستياب سافٽ ويئر استعمال ڪندي ڪيو ويندو آهي ۽ استعمال ڪري سگهجي ٿو جيتوڻيڪ غير تربيت يافته "ڪرڪرز" طرفان. حملو ڪندڙ مخصوص استعمال ڪندڙن جي خاصيتن جي باري ۾ ڪجھ به نه ڄاڻندا آهن - اهي صرف پروگرام شروع ڪن ٿا ۽ "پڪڙ" سڀني ناقص محفوظ سائنسي رڪارڊ جي چوڌاري.
ٽارگيٽ ڪيل حملا مخصوص اڪائونٽس جي هيڪنگ آهن، جن ۾ هر اڪائونٽ ۽ ان جي مالڪ بابت اضافي معلومات گڏ ڪئي ويندي آهي، ٽرئفڪ کي روڪڻ ۽ تجزيو ڪرڻ جي ڪوشش ڪئي ويندي آهي، انهي سان گڏ وڌيڪ پيچيده هيڪنگ اوزار جو استعمال ممڪن آهي.
(مترجم جو نوٽ)
اسان نيو يارڪ يونيورسٽي ۽ ڪيليفورنيا يونيورسٽي جي محققن سان گڏجي اهو معلوم ڪيو ته اڪائونٽ جي هائيجيڪنگ کي روڪڻ لاءِ بنيادي اڪائونٽ جي صفائي ڪيتري اثرائتي آهي.
جي باري ۾ سالياني اڀياس и اربع تي ماهرن، پاليسي سازن ۽ صارفين جي اجلاس ۾ پيش ڪيو ويو .
اسان جي تحقيق ڏيکاري ٿي ته توهان جي گوگل اڪائونٽ ۾ صرف هڪ فون نمبر شامل ڪرڻ 100٪ خودڪار بوٽ حملن، 99٪ بلڪ فشنگ حملن، ۽ 66٪ ٽارگيٽ حملن کي بلاڪ ڪري سگھي ٿو اسان جي تحقيق ۾.
اڪائونٽ هائيجيڪنگ جي خلاف خودڪار فعال گوگل تحفظ
اسان پنهنجي سڀني صارفين کي اڪائونٽ هيڪنگ کان بهتر بچائڻ لاءِ پاڻمرادو فعال تحفظ لاڳو ڪريون ٿا. ھتي آھي اھو ڪيئن ڪم ڪري ٿو: جيڪڏھن اسان ھڪڙي مشڪوڪ لاگ ان ڪوشش کي ڳوليندا آھيون (مثال طور، ھڪڙي نئين جڳھ يا ڊوائيس تان)، اسان اضافي ثبوت لاء پڇنداسين ته اھو واقعي توھان آھي. اها تصديق ٿي سگهي ٿي ته توهان وٽ هڪ قابل اعتماد فون نمبر تائين رسائي آهي، يا هڪ سوال جو جواب ڏيڻ جنهن جو صرف توهان کي صحيح جواب ڄاڻو.
جيڪڏهن توهان پنهنجي فون ۾ سائن ان ٿيل آهيو يا توهان جي اڪائونٽ سيٽنگن ۾ هڪ فون نمبر مهيا ڪيو آهي، اسان کي ٻه قدم جي تصديق جي برابر سيڪيورٽي فراهم ڪري سگهون ٿا. اسان ڏٺو ته هڪ وصولي فون نمبر تي موڪليو ويو هڪ ايس ايم ايس ڪوڊ 100٪ خودڪار بوٽس، 96٪ بلڪ فشنگ حملن، ۽ 76٪ ٽارگيٽ حملن کي بلاڪ ڪرڻ ۾ مدد ڪئي. ۽ ڊوائيس هڪ ٽرانزيڪشن جي تصديق ڪرڻ جو اشارو ڏئي ٿو، ايس ايم ايس لاء وڌيڪ محفوظ متبادل، 100٪ خودڪار بوٽس، 99٪ ماس فشنگ حملن، ۽ 90٪ ٽارگيٽ حملن کي روڪڻ ۾ مدد ڪئي.
تحفظ ٻنهي ڊوائيس جي ملڪيت جي بنياد تي ۽ ڪجهه حقيقتن جي ڄاڻ جي مدد ڪري ٿي پاڻمرادو بوٽس کي منهن ڏيڻ ۾، جڏهن ته ڊوائيس جي ملڪيت جي حفاظت کي روڪڻ ۾ مدد ڪري ٿي فشنگ ۽ حتي ٽارگيٽ حملن کي.
جيڪڏهن توهان وٽ توهان جي اڪائونٽ ۾ ڪو فون نمبر سيٽ اپ نه آهي، ته اسان توهان جي باري ۾ ڄاڻون ٿا، جيئن توهان پنهنجي اڪائونٽ ۾ آخري ڀيرو ڪٿي لاگ ان ٿيو، جي بنياد تي اسان ڪمزور حفاظتي ٽيڪنڪ استعمال ڪري سگهون ٿا. هي بوٽن جي خلاف سٺو ڪم ڪري ٿو، پر فشنگ جي خلاف تحفظ جي سطح 10٪ تائين گهٽجي سگهي ٿي، ۽ ٽارگيٽ حملن جي خلاف عملي طور تي ڪوبه تحفظ ناهي. اهو ئي سبب آهي ته فشنگ صفحا ۽ ٽارگيٽ حملن وارا توهان کي ڪنهن به اضافي معلومات کي ظاهر ڪرڻ لاء مجبور ڪري سگهن ٿا جيڪو گوگل تصديق لاء پڇي سگهي ٿو.
اهڙي تحفظ جي فائدن کي نظر ۾ رکندي، ڪو ماڻهو پڇي سگهي ٿو ته اسان کي هر لاگ ان لاءِ ان جي ضرورت ڇو نه آهي. جواب اهو آهي ته اهو صارفين لاءِ اضافي پيچيدگي پيدا ڪندو (خاص طور تي غير تيار ٿيل لاءِ - تقريبن. ترجمو.) ۽ اڪائونٽ معطل ٿيڻ جو خطرو وڌائيندو. تجربن مان معلوم ٿيو ته 38 سيڪڙو صارفين کي پنهنجي فون تائين رسائي نه هئي جڏهن انهن جي اڪائونٽ ۾ لاگ ان ٿيو. ٻيا 34٪ استعمال ڪندڙ پنھنجي ثانوي اي ميل پتي کي ياد نه ڪري سگھيا.
جيڪڏهن توهان پنهنجي فون تائين رسائي وڃائي ڇڏيو آهي يا سائن ان نه ٿا ڪري سگهو، توهان هميشه ان قابل اعتماد ڊوائيس ڏانهن واپس ڪري سگهو ٿا جنهن کان توهان پهريان سائن ان ڪيو هو پنهنجي اڪائونٽ تائين رسائي حاصل ڪرڻ لاءِ.
هيڪ-فارئر حملن کي سمجهڻ
جتي گھڻا خودڪار تحفظات گھڻن بوٽن ۽ فشنگ حملن کي بلاڪ ڪن ٿا، ھدف ٿيل حملا وڌيڪ نقصانڪار ٿي ويندا آھن. اسان جي جاري ڪوششن جي حصي طور ، اسان مسلسل نشاندهي ڪري رهيا آهيون نئين مجرمانه هيڪنگ لاءِ- ڪرائي تي ڏيڻ وارا گروپ جيڪي هڪ اڪائونٽ کي هيڪ ڪرڻ لاءِ سراسري طور $750 چارج ڪندا آهن. اهي حملي آور اڪثر ڀوڳيندڙ اي ميلن تي ڀاڙيندا آهن جيڪي گهرن جي ميمبرن، ساٿين، سرڪاري اهلڪارن، يا گوگل کي به نقل ڪندا آهن. جيڪڏھن ھدف فشنگ جي پھرين ڪوشش تي ھٿ نه ٿو ڏئي، ان کان پوءِ حملا ھڪ مھيني کان وڌيڪ جاري رھندا.
انسان جي وچ ۾ فشنگ حملي جو هڪ مثال جيڪو حقيقي وقت ۾ پاسورڊ جي درستي جي تصديق ڪري ٿو. فشنگ صفحو پوءِ متاثرين کي متاثرن جي اڪائونٽ تائين رسائي حاصل ڪرڻ لاءِ ايس ايم ايس تصديقي ڪوڊ داخل ڪرڻ لاءِ اشارو ڪري ٿو.
اسان جو اندازو آهي ته هڪ ملين صارفين مان صرف هڪ هن وڏي خطري ۾ آهي. حملو ڪندڙ بي ترتيب ماڻهن کي نشانو نه بڻائيندا آهن. جڏهن ته تحقيق ڏيکاري ٿي ته اسان جي خودڪار تحفظات دير ڪرڻ ۾ مدد ڪري سگھن ٿيون ۽ اڃا تائين 66 سيڪڙو تائين ٽارگيٽ حملن کي روڪڻ ۾ مدد ڪري سگهون ٿا جن جو اسان مطالعو ڪيو آهي، اسان اڃا تائين سفارش ڪريون ٿا ته اعلي خطرن وارا صارف اسان سان رجسٽرڊ ڪن. . جيئن اسان جي تحقيق دوران ڏٺو ويو، صارف جيڪي خاص طور تي حفاظتي چابيون استعمال ڪندا آهن (اهو آهي، ٻه قدم جي تصديق استعمال ڪندڙ ڪوڊس استعمال ڪندي استعمال ڪندڙن ڏانهن موڪليا ويا - تقريبن. ترجمو)، اسپيئر فشنگ جو شڪار ٿي ويا آهن.
توهان جي اڪائونٽ کي بچائڻ لاء ٿورو وقت وٺو
توهان ڪارن ۾ سفر ڪرڻ دوران زندگي ۽ عضون جي حفاظت لاءِ سيٽ بيلٽ استعمال ڪندا آهيو. ۽ اسان جي مدد سان توهان پنهنجي اڪائونٽ جي حفاظت کي يقيني بڻائي سگهو ٿا.
اسان جي تحقيق ڏيکاري ٿي ته توهان جي گوگل کاتي جي حفاظت لاءِ توهان سڀ کان آسان شيون ڪري سگهو ٿا هڪ فون نمبر سيٽ ڪرڻ آهي. اعلي خطرن جي استعمال ڪندڙن جهڙوڪ صحافين، ڪميونٽي جي ڪارڪنن، ڪاروباري اڳواڻن ۽ سياسي مهم ٽيمن لاء، اسان جو پروگرام سيڪيورٽي جي اعلي سطح کي يقيني بڻائڻ ۾ مدد ڪندو. توهان ايڪسٽينشن کي انسٽال ڪري پنهنجي غير گوگل اڪائونٽس کي پاسورڊ هيڪ کان بچائي سگهو ٿا .
اها دلچسپ ڳالهه آهي ته گوگل پنهنجي صارفين کي ڏنل مشوري جي پيروي نٿو ڪري. ان جي ملازمن جي 85 کان وڌيڪ لاء ٻه عنصر جي تصديق لاء. ڪارپوريشن جي نمائندن موجب، هارڊويئر ٽوڪن استعمال ڪرڻ جي شروعات کان وٺي، هڪ به اڪائونٽ چوري رڪارڊ نه ڪيو ويو آهي. هن رپورٽ ۾ پيش ڪيل انگن اکرن سان مقابلو ڪريو. اهڙيء طرح اهو واضح آهي ته هارڊويئر جو استعمال ٽوڪن ٻن عنصر جي تصديق لاء حفاظت جو واحد قابل اعتماد طريقو آهي ٻئي اڪائونٽ ۽ معلومات (۽ ڪجهه ڪيسن ۾ پڻ پئسا).
گوگل اڪائونٽس کي بچائڻ لاءِ، FIDO U2F معيار مطابق ٺاهيل ٽوڪن استعمال ڪيا وڃن ٿا، مثال طور . ۽ ونڊوز، لينڪس ۽ MacOS آپريٽنگ سسٽم ۾ ٻه عنصر جي تصديق لاء، .
(مترجم جو نوٽ)
جو ذريعو: www.habr.com