Google har publicerat "Hur effektiv är grundläggande kontohygien för att förhindra kontostöld" om vad en kontoägare kan göra för att förhindra att det blir stulet av kriminella. Vi presenterar för din uppmärksamhet en översättning av denna studie.
Det är sant att den mest effektiva metoden, som används av Google själv, inte inkluderades i rapporten. Jag var tvungen att skriva om den här metoden själv i slutet.
Varje dag skyddar vi användare från hundratusentals kontointrångsförsök. kommer från automatiserade bots med tillgång till tredje parts lösenordsknäckningssystem, men nätfiske och riktade attacker förekommer också. Tidigare berättade vi hur , som att lägga till ett telefonnummer, kan hjälpa dig att vara säker, men nu vill vi bevisa det i praktiken.
En nätfiskeattack är ett försök att lura en användare att frivilligt ge angriparen information som kommer att vara användbar i hackningsprocessen. Till exempel genom att kopiera gränssnittet för en juridisk applikation.
Attacker med automatiserade bots är massiva hackningsförsök som inte är riktade mot specifika användare. Utförs vanligtvis med allmänt tillgänglig programvara och kan användas även av outbildade "crackers". Angripare vet ingenting om egenskaperna hos specifika användare - de startar helt enkelt programmet och "fångar" alla dåligt skyddade vetenskapliga dokument runt omkring.
Riktade attacker är hackning av specifika konton, där ytterligare information samlas in om varje konto och dess ägare, försök att fånga upp och analysera trafik, samt användning av mer komplexa hackverktyg är möjliga.
(Översättarens anteckning)
Vi samarbetade med forskare från New York University och University of California för att ta reda på hur effektiv grundläggande kontohygien är för att förhindra kontokapning.
Årlig studie om и presenterades på onsdagen vid ett möte med experter, beslutsfattare och användare som kallades .
Vår forskning visar att om du bara lägger till ett telefonnummer till ditt Google-konto kan det blockera upp till 100 % av automatiserade botattacker, 99 % av bulkattacker med nätfiske och 66 % av riktade attacker i vår undersökning.
Automatiskt proaktivt Google-skydd mot kontokapning
Vi implementerar automatiskt proaktivt skydd för att bättre skydda alla våra användare från kontointrång. Så här fungerar det: Om vi upptäcker ett misstänkt inloggningsförsök (till exempel från en ny plats eller enhet) kommer vi att be om ytterligare bevis på att det verkligen är du. Den här bekräftelsen kan vara att verifiera att du har tillgång till ett tillförlitligt telefonnummer eller att svara på en fråga som bara du vet det korrekta svaret på.
Om du är inloggad på din telefon eller har angett ett telefonnummer i dina kontoinställningar kan vi tillhandahålla samma säkerhetsnivå som tvåstegsverifiering. Vi upptäckte att en SMS-kod som skickades till ett återställningstelefonnummer hjälpte till att blockera 100 % av automatiserade bots, 96 % av nätfiskeattacker i bulk och 76 % av riktade attacker. Och enhetsuppmaningar för att bekräfta en transaktion, en säkrare ersättning för SMS, hjälpte till att förhindra 100 % av automatiserade bots, 99 % av massnätfiskeattacker och 90 % av riktade attacker.
Skydd baserat på både enhetsägande och kunskap om vissa fakta hjälper till att motverka automatiserade bots, medan enhetsägandeskydd hjälper till att förhindra nätfiske och till och med riktade attacker.
Om du inte har ett telefonnummer inställt på ditt konto kan vi använda svagare säkerhetstekniker baserat på vad vi vet om dig, till exempel var du senast loggade in på ditt konto. Detta fungerar bra mot bots, men skyddsnivån mot nätfiske kan sjunka till 10 %, och det finns praktiskt taget inget skydd mot riktade attacker. Detta beror på att nätfiskesidor och riktade angripare kan tvinga dig att avslöja all ytterligare information som Google kan begära verifiering.
Med tanke på fördelarna med ett sådant skydd kan man fråga sig varför vi inte kräver det för varje inloggning. Svaret är att det skulle skapa ytterligare komplexitet för användarna (speciellt för oförberedda - ca. översättning.) och skulle öka risken för kontoavstängning. Experimentet visade att 38 % av användarna inte hade tillgång till sin telefon när de loggade in på sitt konto. Ytterligare 34 % av användarna kunde inte komma ihåg sin sekundära e-postadress.
Om du har förlorat åtkomsten till din telefon eller inte kan logga in kan du alltid gå tillbaka till den betrodda enheten som du tidigare loggat in från för att komma åt ditt konto.
Förstå hack-for-hire-attacker
Där de flesta automatiserade skydd blockerar de flesta bots och nätfiskeattacker, blir riktade attacker mer skadliga. Som en del av vårt pågående arbete med att , identifierar vi ständigt nya kriminella hacking-for-hire-grupper som tar i genomsnitt $750 för att hacka ett konto. Dessa angripare förlitar sig ofta på nätfiske-e-postmeddelanden som utger sig för att vara familjemedlemmar, kollegor, regeringstjänstemän eller till och med Google. Om målet inte ger upp vid det första nätfiskeförsöket fortsätter efterföljande attacker i mer än en månad.
Ett exempel på en man-in-the-middle-nätfiskeattack som verifierar korrektheten av ett lösenord i realtid. Nätfiskesidan uppmanar sedan offren att ange SMS-autentiseringskoder för att komma åt offrets konto.
Vi uppskattar att endast en av en miljon användare löper denna höga risk. Angripare riktar sig inte mot slumpmässiga personer. Även om forskning visar att våra automatiska skydd kan hjälpa till att fördröja och till och med förhindra upp till 66 % av de riktade attacker vi har studerat, rekommenderar vi fortfarande att högriskanvändare registrerar sig hos vår . Som observerades under vår undersökning, användare som uteslutande använder säkerhetsnycklar (det vill säga tvåstegsautentisering med koder som skickas till användare - ca. översättning), har blivit offer för spjutfiske.
Ta lite tid att skydda ditt konto
Du använder säkerhetsbälten för att skydda liv och lem när du färdas i bilar. Och med hjälp av vår du kan garantera säkerheten för ditt konto.
Vår forskning visar att en av de enklaste sakerna du kan göra för att skydda ditt Google-konto är att ställa in ett telefonnummer. För högriskanvändare som journalister, samhällsaktivister, företagsledare och politiska kampanjteam, vårt program kommer att bidra till att säkerställa högsta säkerhetsnivå. Du kan också skydda dina icke-Google-konton från lösenordshack genom att installera tillägget .
Det är intressant att Google inte följer de råd de ger sina användare. för tvåfaktorsautentisering för mer än 85 000 av dess anställda. Enligt företrädare för företaget har inte en enda kontostöld registrerats sedan man började använda hårdvarutokens. Jämför med siffrorna som presenteras i denna rapport. Således är det tydligt att användningen av hårdvara polletter för tvåfaktorsautentisering det enda pålitliga sättet att skydda både konton och information (och i vissa fall även pengar).
För att skydda Google-konton använder vi till exempel tokens skapade enligt FIDO U2F-standarden . Och för tvåfaktorsautentisering i Windows, Linux och MacOS operativsystem, .
(Översättarens anteckning)
Källa: will.com