Google විසින් ප්රකාශයට පත් කර ඇත "ගිණුම් සොරකම වැළැක්වීමේ මූලික ගිණුම් සනීපාරක්ෂාව කෙතරම් ඵලදායීද" අපරාධකරුවන් විසින් එය සොරකම් කිරීම වැළැක්වීම සඳහා ගිණුම් හිමියෙකුට කළ හැකි දේ ගැන. මෙම අධ්යයනයේ පරිවර්තනයක් අපි ඔබේ අවධානයට ඉදිරිපත් කරන්නෙමු.
ගූගල් විසින්ම භාවිතා කරන වඩාත් ඵලදායී ක්රමය වාර්තාවට ඇතුළත් නොවූ බව ඇත්තකි. මේ ක්රමය ගැන මටම අන්තිමට ලියන්න වුණා.
සෑම දිනකම අපි සිය දහස් ගණනක ගිණුම් අනවසරයෙන් ඇතුළුවීමේ උත්සාහයන්ගෙන් පරිශීලකයින් ආරක්ෂා කරමු. තෙවන පාර්ශවීය මුරපද ක්රැකිං පද්ධති වෙත ප්රවේශය සහිත ස්වයංක්රීය බොට් වලින් පැමිණේ, නමුත් තතුබෑම් සහ ඉලක්කගත ප්රහාර ද පවතී. කොහොමද කියලා අපි කලින් කිව්වා , දුරකථන අංකයක් එකතු කිරීම වැනි, ඔබට ආරක්ෂිතව සිටීමට උදවු කළ හැක, නමුත් දැන් අපට එය ප්රායෝගිකව ඔප්පු කිරීමට අවශ්යයි.
තතුබෑම් ප්රහාරයක් යනු අනවසරයෙන් ඇතුළුවීමේ ක්රියාවලියේදී ප්රයෝජනවත් වන තොරතුරු ප්රහාරකයාට ස්වේච්ඡාවෙන් ලබා දීමට පරිශීලකයෙකු රවටා ගැනීමේ උත්සාහයකි. උදාහරණයක් ලෙස, නීතිමය යෙදුමක අතුරු මුහුණත පිටපත් කිරීමෙන්.
ස්වයංක්රීය බොට් භාවිතා කරන ප්රහාර විශේෂිත පරිශීලකයින් ඉලක්ක කර නොගත් දැවැන්ත අනවසරයෙන් ඇතුළුවීමේ උත්සාහයන් වේ. සාමාන්යයෙන් ප්රසිද්ධියේ ලබා ගත හැකි මෘදුකාංග භාවිතයෙන් සිදු කරන අතර නුපුහුණු "ක්රැකර්" මගින් පවා භාවිතා කළ හැක. ප්රහාරකයින් නිශ්චිත පරිශීලකයින්ගේ ලක්ෂණ ගැන කිසිවක් නොදනී - ඔවුන් සරලව වැඩසටහන දියත් කර අවට ඇති දුර්වලව ආරක්ෂා කර ඇති සියලුම විද්යාත්මක වාර්තා “අල්ලා” ගනී.
ඉලක්කගත ප්රහාර යනු නිශ්චිත ගිණුම් අනවසරයෙන් ඇතුළුවීම, එක් එක් ගිණුම සහ එහි හිමිකරු පිළිබඳ අමතර තොරතුරු රැස් කිරීම, ගමනාගමනයට බාධා කිරීමට සහ විශ්ලේෂණය කිරීමට උත්සාහ කිරීම මෙන්ම වඩාත් සංකීර්ණ අනවසරයෙන් ඇතුළුවීමේ මෙවලම් භාවිතා කළ හැකිය.
(පරිවර්තක සටහන)
ගිණුම් කොල්ලකෑම වැලැක්වීමේදී මූලික ගිණුම් සනීපාරක්ෂාව කෙතරම් ඵලදායීද යන්න සොයා බැලීමට අපි නිව් යෝර්ක් විශ්ව විද්යාලයේ සහ කැලිෆෝනියා විශ්ව විද්යාලයේ පර්යේෂකයන් සමඟ එකතු විය.
ගැන වාර්ෂික අධ්යයනය и කැඳවා ඇති විශේෂඥයින්, ප්රතිපත්ති සම්පාදකයින් සහ පරිශීලකයින්ගේ රැස්වීමක දී බදාදා ඉදිරිපත් කරන ලදී .
ඔබගේ Google ගිණුමට දුරකථන අංකයක් එක් කිරීමෙන් ස්වයංක්රීය බොට් ප්රහාරවලින් 100%ක්, තොග තතුබෑම් ප්රහාරවලින් 99%ක් සහ ඉලක්කගත ප්රහාරවලින් 66%ක් අපගේ විමර්ශනයේදී අවහිර කළ හැකි බව අපගේ පර්යේෂණ පෙන්වා දෙයි.
ගිණුම් කොල්ලකෑමට එරෙහිව ස්වයංක්රීය ක්රියාකාරී Google ආරක්ෂාව
අපගේ සියලුම පරිශීලකයින් ගිණුම් අනවසරයෙන් ආරක්ෂා කිරීම සඳහා අපි ස්වයංක්රීය ක්රියාකාරී ආරක්ෂාව ක්රියාත්මක කරමු. එය ක්රියා කරන ආකාරය මෙන්න: අපි සැක සහිත පුරනය වීමේ උත්සාහයක් (උදාහරණයක් ලෙස, නව ස්ථානයකින් හෝ උපාංගයකින්) අනාවරණය කර ගන්නේ නම්, අපි ඒ ඇත්ත වශයෙන්ම ඔබ බවට අමතර සාක්ෂි ඉල්ලා සිටිමු. මෙම තහවුරු කිරීම ඔබට විශ්වාසදායී දුරකථන අංකයකට ප්රවේශය ඇති බව තහවුරු කිරීම හෝ නිවැරදි පිළිතුර ඔබ පමණක් දන්නා ප්රශ්නයකට පිළිතුරු දීම විය හැකිය.
ඔබ ඔබගේ දුරකථනයට පුරනය වී ඇත්නම් හෝ ඔබගේ ගිණුම් සැකසීම් තුළ දුරකථන අංකයක් සපයා ඇත්නම්, අපට දෙපියවර සත්යාපනයට සමාන මට්ටමේ ආරක්ෂාවක් සැපයිය හැක. ප්රතිසාධන දුරකථන අංකයකට යවන ලද SMS කේතයක් ස්වයංක්රීය බොට් 100%ක්, තොග තතුබෑම් ප්රහාරවලින් 96%ක් සහ ඉලක්කගත ප්රහාරවලින් 76%ක් අවහිර කිරීමට උදවු වූ බව අපට පෙනී ගියේය. සහ SMS සඳහා වඩාත් ආරක්ෂිත ආදේශකයක් වන ගනුදෙනුවක් තහවුරු කිරීමට උපාංගය විමසයි, ස්වයංක්රීය බොට් 100%ක්, මහා තතුබෑම් ප්රහාරවලින් 99%ක් සහ ඉලක්කගත ප්රහාරවලින් 90%ක් වැළැක්වීමට උපකාරී විය.
උපාංග හිමිකාරිත්වය සහ ඇතැම් කරුණු පිළිබඳ දැනුම මත පදනම් වූ ආරක්ෂාව ස්වයංක්රීය බොට්වලට එරෙහි වීමට උපකාරී වන අතර උපාංග හිමිකාරිත්වය ආරක්ෂාව තතුබෑම් සහ ඉලක්කගත ප්රහාර පවා වළක්වා ගැනීමට උපකාරී වේ.
ඔබට ඔබගේ ගිණුමේ දුරකථන අංකයක් සකසා නොමැති නම්, ඔබ අවසන් වරට ඔබගේ ගිණුමට ලොග් වූ ස්ථානය වැනි ඔබ ගැන අප දන්නා දේ මත පදනම්ව අපි දුර්වල ආරක්ෂක ක්රම භාවිතා කළ හැක. මෙය බොට් වලට එරෙහිව හොඳින් ක්රියා කරයි, නමුත් තතුබෑම් වලට එරෙහි ආරක්ෂණ මට්ටම 10% දක්වා පහත වැටිය හැකි අතර ඉලක්කගත ප්රහාර වලින් ප්රායෝගිකව ආරක්ෂාවක් නොමැත. මෙයට හේතුව තතුබෑම් පිටු සහ ඉලක්කගත ප්රහාරකයන් විසින් Google විසින් සත්යාපනය සඳහා ඉල්ලා සිටින ඕනෑම අමතර තොරතුරු හෙළි කිරීමට ඔබට බල කළ හැකි බැවිනි.
එවැනි ආරක්ෂාවේ ප්රතිලාභ ලබා දීමෙන්, සෑම පිවිසුමකටම අපට එය අවශ්ය නොවන්නේ මන්දැයි යමෙකු අසනු ඇත. පිළිතුර නම් එය පරිශීලකයින් සඳහා අමතර සංකීර්ණතාවයක් ඇති කරයි (විශේෂයෙන් සූදානම් නැති අය සඳහා - දළ වශයෙන්. පරිවර්තනය.) සහ ගිණුම අත්හිටුවීමේ අවදානම වැඩි කරයි. අත්හදා බැලීමෙන් පෙනී ගියේ පරිශීලකයින්ගෙන් 38% කට ඔවුන්ගේ ගිණුමට ලොග් වීමේදී ඔවුන්ගේ දුරකථනයට ප්රවේශය නොමැති බවයි. තවත් පරිශීලකයින්ගෙන් 34% කට ඔවුන්ගේ ද්විතියික විද්යුත් තැපැල් ලිපිනය මතක තබා ගැනීමට නොහැකි විය.
ඔබට ඔබගේ දුරකථනයට ප්රවේශය අහිමි වී ඇත්නම් හෝ පුරනය වීමට නොහැකි නම්, ඔබට සැමවිටම ඔබගේ ගිණුමට ප්රවේශ වීමට පෙර ඔබ පුරනය වූ විශ්වාසදායී උපාංගය වෙත ආපසු යා හැක.
Hack-for-hire ප්රහාර තේරුම් ගැනීම
බොහෝ ස්වයංක්රීය ආරක්ෂණ බොහෝ බොට් සහ තතුබෑම් ප්රහාර අවහිර කරන විට, ඉලක්කගත ප්රහාර වඩාත් හානිකර වේ. අපගේ අඛණ්ඩ උත්සාහයේ කොටසක් ලෙස , අපි එක් ගිණුමක් හැක් කිරීම සඳහා සාමාන්යයෙන් ඩොලර් 750ක් අය කරන නව අපරාධ අනවසරයෙන් ඇතුළුවීම සඳහා කුලියට ගැනීමේ කණ්ඩායම් නිරන්තරයෙන් හඳුනා ගනිමු. මෙම ප්රහාරකයන් බොහෝ විට පවුලේ සාමාජිකයන්, සගයන්, රාජ්ය නිලධාරීන්, හෝ Google ලෙස පෙනී සිටින තතුබෑම් ඊමේල් මත රඳා පවතී. ඉලක්කය පළමු තතුබෑම් උත්සාහය අත් නොහරින්නේ නම්, පසුව ප්රහාර මාසයකට වඩා වැඩි කාලයක් පවතී.
තථ්ය කාලය තුළ මුරපදයක නිවැරදි බව තහවුරු කරන මිනිසා-මැද තතුබෑම් ප්රහාරයක උදාහරණයක්. තතුබෑම් පිටුව වින්දිතයන්ගේ ගිණුමට ප්රවේශ වීම සඳහා SMS සත්යාපන කේත ඇතුළත් කිරීමට වින්දිතයන් පොළඹවයි.
අපි ඇස්තමේන්තු කරන්නේ මිලියනයකින් එක් පරිශීලකයෙකු පමණක් මෙම ඉහළ අවදානමට ලක්ව ඇති බවයි. ප්රහාරකයන් අහඹු පුද්ගලයන් ඉලක්ක කරන්නේ නැත. අපගේ ස්වයංක්රීය ආරක්ෂණයන් අප අධ්යයනය කර ඇති ඉලක්කගත ප්රහාරවලින් 66%ක් දක්වා ප්රමාද කිරීමට සහ වළක්වා ගැනීමට පවා උපකාර කළ හැකි බව පර්යේෂණ පෙන්නුම් කරන අතර, අධි අවදානම් සහිත පරිශීලකයින් අපගේ ලියාපදිංචි වන ලෙස අපි තවමත් නිර්දේශ කරමු. . අපගේ විමර්ශනයේදී නිරීක්ෂණය වූ පරිදි, ආරක්ෂක යතුරු පමණක් භාවිතා කරන පරිශීලකයින් (එනම්, පරිශීලකයන් වෙත යවන ලද කේත භාවිතා කරමින් පියවර දෙකක සත්යාපනය - දළ වශයෙන්. පරිවර්තනය), හෙල්ල තතුබෑම් වලට ගොදුරු වී ඇත.
ඔබගේ ගිණුම ආරක්ෂා කිරීමට සුළු කාලයක් ගත කරන්න
ඔබ මෝටර් රථවල ගමන් කරන විට ජීවිතය සහ අත් පා ආරක්ෂා කිරීමට ආසන පටි භාවිතා කරයි. ඒ වගේම අපේ උදව්වෙන් ඔබට ඔබගේ ගිණුමේ ආරක්ෂාව සහතික කළ හැක.
ඔබගේ Google ගිණුම ආරක්ෂා කර ගැනීමට ඔබට කළ හැකි පහසුම දේ දුරකථන අංකයක් පිහිටුවීම බව අපගේ පර්යේෂණවලින් පෙන්නුම් කෙරේ. මාධ්යවේදීන්, ප්රජා ක්රියාකාරීන්, ව්යාපාරික නායකයින් සහ දේශපාලන ප්රචාරක කණ්ඩායම් වැනි අධි අවදානම් පරිශීලකයින් සඳහා, අපගේ වැඩසටහන ඉහළම මට්ටමේ ආරක්ෂාව සහතික කිරීමට උපකාරී වනු ඇත. දිගුව ස්ථාපනය කිරීමෙන් ඔබට ඔබගේ Google නොවන ගිණුම් මුරපද හැක් වලින් ආරක්ෂා කර ගත හැක .
ගූගල් සිය පරිශීලකයින්ට ලබා දෙන උපදෙස් අනුගමනය නොකිරීම සිත්ගන්නා කරුණකි. එහි සේවකයින් 85 කට වැඩි සංඛ්යාවක් සඳහා ද්වි-සාධක සත්යාපනය සඳහා. සංස්ථාවේ නියෝජිතයින්ට අනුව, දෘඩාංග ටෝකන භාවිතා කිරීම ආරම්භයේ සිටම, එක ගිණුමක් සොරකම් කිරීමක් වාර්තා වී නොමැත. මෙම වාර්තාවේ ඉදිරිපත් කර ඇති සංඛ්යා සමඟ සසඳන්න. මේ අනුව දෘඪාංග භාවිතය බව පැහැදිලිය සංකේත ද්වි-සාධක සත්යාපනය සඳහා ආරක්ෂා කිරීමට ඇති එකම විශ්වසනීය මාර්ගය ගිණුම් සහ තොරතුරු යන දෙකම (සහ සමහර අවස්ථාවල මුදල් ද).
Google ගිණුම් ආරක්ෂා කිරීම සඳහා, FIDO U2F ප්රමිතියට අනුව සාදන ලද ටෝකන භාවිතා කරනු ලැබේ, උදාහරණයක් ලෙස . Windows, Linux සහ MacOS මෙහෙයුම් පද්ධතිවල ද්වි-සාධක සත්යාපනය සඳහා, .
(පරිවර්තක සටහන)
මූලාශ්රය: www.habr.com