โปรโฮสต์ > บล็อก > การบริหาร > สิ่งที่คุณต้องทำเพื่อป้องกันไม่ให้บัญชี Google ของคุณถูกขโมย

สิ่งที่คุณต้องทำเพื่อป้องกันไม่ให้บัญชี Google ของคุณถูกขโมย

สิ่งที่คุณต้องทำเพื่อป้องกันไม่ให้บัญชี Google ของคุณถูกขโมย

Google ได้เผยแพร่ ศึกษา “สุขอนามัยบัญชีขั้นพื้นฐานในการป้องกันการโจรกรรมบัญชีมีประสิทธิภาพเพียงใด” เกี่ยวกับสิ่งที่เจ้าของบัญชีสามารถทำได้เพื่อป้องกันไม่ให้อาชญากรขโมยบัญชี เราขอเสนอคำแปลของการศึกษานี้ให้คุณทราบ
จริงอยู่ที่วิธีการที่มีประสิทธิภาพสูงสุดซึ่ง Google ใช้นั้นไม่ได้รวมอยู่ในรายงาน ฉันต้องเขียนเกี่ยวกับวิธีการนี้ด้วยตัวเองในตอนท้าย

ทุกวันเราปกป้องผู้ใช้จากการพยายามแฮ็คบัญชีนับแสนครั้ง การโจมตีส่วนใหญ่ มาจากบอทอัตโนมัติที่สามารถเข้าถึงระบบถอดรหัสรหัสผ่านของบุคคลที่สาม แต่ก็มีฟิชชิ่งและการโจมตีแบบกำหนดเป้าหมายเช่นกัน ก่อนหน้านี้เราบอกวิธีการ เพียงห้าขั้นตอนง่ายๆเช่นการเพิ่มหมายเลขโทรศัพท์สามารถช่วยให้คุณปลอดภัยได้ แต่ตอนนี้เราต้องการพิสูจน์ในทางปฏิบัติ

การโจมตีแบบฟิชชิ่งคือความพยายามที่จะหลอกให้ผู้ใช้ให้ข้อมูลแก่ผู้โจมตีโดยสมัครใจ ซึ่งจะเป็นประโยชน์ในกระบวนการแฮ็ก ตัวอย่างเช่น โดยการคัดลอกอินเทอร์เฟซของใบสมัครทางกฎหมาย

การโจมตีโดยใช้บอทอัตโนมัติเป็นความพยายามในการแฮ็กข้อมูลจำนวนมากที่ไม่ได้มุ่งเป้าไปที่ผู้ใช้บางราย โดยปกติจะดำเนินการโดยใช้ซอฟต์แวร์ที่เปิดเผยต่อสาธารณะและสามารถใช้งานได้แม้กระทั่งกับ "แครกเกอร์" ที่ไม่ได้รับการฝึกอบรม ผู้โจมตีไม่รู้อะไรเลยเกี่ยวกับคุณลักษณะของผู้ใช้บางราย - พวกเขาเพียงแค่เปิดโปรแกรมและ "จับ" บันทึกทางวิทยาศาสตร์ที่มีการป้องกันไม่ดีทั้งหมด

การโจมตีแบบกำหนดเป้าหมายคือการแฮ็กบัญชีเฉพาะ ซึ่งมีการรวบรวมข้อมูลเพิ่มเติมเกี่ยวกับแต่ละบัญชีและเจ้าของบัญชี ความพยายามที่จะสกัดกั้นและวิเคราะห์การรับส่งข้อมูล รวมถึงการใช้เครื่องมือแฮ็กที่ซับซ้อนมากขึ้น

(หมายเหตุของผู้แปล)

เราร่วมมือกับนักวิจัยจากมหาวิทยาลัยนิวยอร์กและมหาวิทยาลัยแคลิฟอร์เนียเพื่อค้นหาว่าการดูแลบัญชีขั้นพื้นฐานมีประสิทธิภาพเพียงใดในการป้องกันการขโมยบัญชี

การศึกษาประจำปีเกี่ยวกับ ขนาดใหญ่ и การโจมตีแบบกำหนดเป้าหมาย ถูกนำเสนอในวันพุธในที่ประชุมของผู้เชี่ยวชาญ ผู้กำหนดนโยบาย และผู้ใช้ที่เรียกว่า การประชุมทางเว็บ.
การวิจัยของเราแสดงให้เห็นว่าเพียงเพิ่มหมายเลขโทรศัพท์ลงในบัญชี Google ของคุณสามารถบล็อกการโจมตีด้วยบอทอัตโนมัติได้มากถึง 100%, การโจมตีแบบฟิชชิ่งจำนวนมาก 99% และการโจมตีแบบกำหนดเป้าหมาย 66% ในการตรวจสอบของเรา

การป้องกันเชิงรุกของ Google อัตโนมัติจากการขโมยบัญชี

เราใช้การป้องกันเชิงรุกอัตโนมัติเพื่อปกป้องผู้ใช้ทั้งหมดของเราจากการแฮ็คบัญชีได้ดียิ่งขึ้น วิธีการทำงาน: หากเราตรวจพบความพยายามเข้าสู่ระบบที่น่าสงสัย (เช่น จากตำแหน่งหรืออุปกรณ์ใหม่) เราจะขอหลักฐานเพิ่มเติมว่าเป็นคุณจริงๆ การยืนยันนี้อาจเป็นการตรวจสอบว่าคุณสามารถเข้าถึงหมายเลขโทรศัพท์ที่เชื่อถือได้ หรือตอบคำถามที่มีเพียงคุณเท่านั้นที่รู้คำตอบที่ถูกต้อง

หากคุณลงชื่อเข้าใช้โทรศัพท์หรือระบุหมายเลขโทรศัพท์ในการตั้งค่าบัญชีของคุณ เราสามารถให้การรักษาความปลอดภัยในระดับเดียวกับการยืนยันสองขั้นตอน เราพบว่ารหัส SMS ที่ส่งไปยังหมายเลขโทรศัพท์สำหรับการกู้คืนช่วยบล็อกบอทอัตโนมัติได้ 100%, การโจมตีแบบฟิชชิ่งจำนวนมาก 96% และการโจมตีแบบกำหนดเป้าหมาย 76% และอุปกรณ์แจ้งให้ยืนยันธุรกรรม ซึ่งเป็นการแทนที่ SMS ที่ปลอดภัยยิ่งขึ้น ช่วยป้องกันบอทอัตโนมัติ 100% การโจมตีแบบฟิชชิ่งจำนวนมาก 99% และการโจมตีแบบกำหนดเป้าหมาย 90%

สิ่งที่คุณต้องทำเพื่อป้องกันไม่ให้บัญชี Google ของคุณถูกขโมย

การป้องกันโดยอาศัยการเป็นเจ้าของอุปกรณ์และความรู้เกี่ยวกับข้อเท็จจริงบางอย่างจะช่วยตอบโต้บอทอัตโนมัติ ในขณะที่การป้องกันการเป็นเจ้าของอุปกรณ์จะช่วยป้องกันฟิชชิ่งและแม้แต่การโจมตีแบบกำหนดเป้าหมาย

หากคุณไม่ได้ตั้งค่าหมายเลขโทรศัพท์ในบัญชีของคุณ เราอาจใช้เทคนิคความปลอดภัยที่อ่อนแอกว่าโดยพิจารณาจากสิ่งที่เรารู้เกี่ยวกับคุณ เช่น สถานที่ที่คุณลงชื่อเข้าใช้บัญชีของคุณครั้งล่าสุด สิ่งนี้ทำงานได้ดีกับบอท แต่ระดับการป้องกันฟิชชิ่งสามารถลดลงเหลือ 10% และแทบไม่มีการป้องกันการโจมตีแบบกำหนดเป้าหมายเลย เนื่องจากหน้าฟิชชิ่งและผู้โจมตีที่เป็นเป้าหมายสามารถบังคับให้คุณเปิดเผยข้อมูลเพิ่มเติมใดๆ ที่ Google อาจขอการยืนยันได้

เมื่อพิจารณาถึงประโยชน์ของการป้องกันดังกล่าว อาจมีคนถามว่าทำไมเราไม่ต้องใช้มันในการเข้าสู่ระบบทุกครั้ง คำตอบก็คือ มันจะสร้างความซับซ้อนเพิ่มเติมให้กับผู้ใช้ (โดยเฉพาะสำหรับผู้ที่ไม่ได้เตรียมตัว - ประมาณ การแปล.) และจะเพิ่มความเสี่ยงในการระงับบัญชี การทดสอบพบว่า 38% ของผู้ใช้ไม่สามารถเข้าถึงโทรศัพท์เมื่อลงชื่อเข้าใช้บัญชีของตน ผู้ใช้อีก 34% จำที่อยู่อีเมลสำรองของตนไม่ได้

หากคุณสูญเสียการเข้าถึงโทรศัพท์ของคุณหรือไม่สามารถลงชื่อเข้าใช้ได้ คุณสามารถกลับไปยังอุปกรณ์ที่เชื่อถือได้ซึ่งคุณลงชื่อเข้าใช้ก่อนหน้านี้เพื่อเข้าถึงบัญชีของคุณได้ตลอดเวลา

ทำความเข้าใจกับการโจมตีแบบแฮ็กเพื่อจ้าง

ในกรณีที่การป้องกันอัตโนมัติส่วนใหญ่บล็อกบอทและการโจมตีแบบฟิชชิ่งส่วนใหญ่ การโจมตีแบบกำหนดเป้าหมายจะสร้างความเสียหายได้มากกว่า ซึ่งเป็นส่วนหนึ่งของความพยายามอย่างต่อเนื่องของเราในการ การตรวจสอบภัยคุกคามจากการแฮ็กเรากำลังระบุกลุ่มอาชญากรรับจ้างแฮ็กเพื่อจ้างใหม่อย่างต่อเนื่อง ซึ่งเรียกเก็บเงินโดยเฉลี่ย 750 ดอลลาร์สหรัฐฯ สำหรับแฮ็กหนึ่งบัญชี ผู้โจมตีเหล่านี้มักอาศัยอีเมลฟิชชิ่งที่แอบอ้างเป็นสมาชิกในครอบครัว เพื่อนร่วมงาน เจ้าหน้าที่ของรัฐ หรือแม้แต่ Google หากเป้าหมายไม่ยอมแพ้ในการพยายามฟิชชิ่งครั้งแรก การโจมตีครั้งต่อไปจะดำเนินต่อไปนานกว่าหนึ่งเดือน

สิ่งที่คุณต้องทำเพื่อป้องกันไม่ให้บัญชี Google ของคุณถูกขโมย
ตัวอย่างการโจมตีแบบฟิชชิ่งแบบแทรกกลางที่ตรวจสอบความถูกต้องของรหัสผ่านแบบเรียลไทม์ หน้าฟิชชิ่งจะแจ้งให้เหยื่อป้อนรหัสยืนยันตัวตนทาง SMS เพื่อเข้าถึงบัญชีของเหยื่อ

เราประเมินว่ามีผู้ใช้เพียงหนึ่งในล้านเท่านั้นที่มีความเสี่ยงสูงเช่นนี้ ผู้โจมตีไม่ได้กำหนดเป้าหมายไปที่ผู้คนแบบสุ่ม แม้ว่าการวิจัยจะแสดงให้เห็นว่าการป้องกันแบบอัตโนมัติของเราสามารถช่วยชะลอและป้องกันการโจมตีแบบกำหนดเป้าหมายได้มากถึง 66% ที่เราศึกษา แต่เรายังคงแนะนำให้ผู้ใช้ที่มีความเสี่ยงสูงลงทะเบียนกับ โปรแกรมการป้องกันเพิ่มเติม. ตามที่สังเกตในระหว่างการตรวจสอบของเรา ผู้ใช้ที่ใช้คีย์ความปลอดภัยโดยเฉพาะ (นั่นคือการรับรองความถูกต้องสองขั้นตอนโดยใช้รหัสที่ส่งถึงผู้ใช้ - ประมาณ การแปล) ตกเป็นเหยื่อของฟิชชิ่งแบบหอก

ใช้เวลาเล็กน้อยเพื่อปกป้องบัญชีของคุณ

คุณใช้เข็มขัดนิรภัยเพื่อปกป้องชีวิตและแขนขาขณะเดินทางในรถยนต์ และด้วยความช่วยเหลือของเรา ห้าเคล็ดลับ คุณสามารถมั่นใจได้ถึงความปลอดภัยของบัญชีของคุณ

การวิจัยของเราแสดงให้เห็นว่าสิ่งที่ง่ายที่สุดอย่างหนึ่งที่คุณสามารถทำได้เพื่อปกป้องบัญชี Google ของคุณคือการตั้งค่าหมายเลขโทรศัพท์ สำหรับผู้ใช้ที่มีความเสี่ยงสูง เช่น นักข่าว นักเคลื่อนไหวในชุมชน ผู้นำธุรกิจ และทีมรณรงค์ทางการเมือง โปรแกรมของเรา การป้องกันขั้นสูง จะช่วยรับรองความปลอดภัยระดับสูงสุด คุณยังสามารถปกป้องบัญชีที่ไม่ใช่ Google ของคุณจากการแฮ็กรหัสผ่านได้ด้วยการติดตั้งส่วนขยาย การตรวจสอบรหัสผ่าน Chrome.

เป็นเรื่องน่าสนใจที่ Google ไม่ปฏิบัติตามคำแนะนำที่ให้ผู้ใช้ Google ใช้โทเค็นฮาร์ดแวร์ สำหรับการตรวจสอบสิทธิ์แบบสองปัจจัยสำหรับพนักงานมากกว่า 85 คน ตามที่ตัวแทนของบริษัท นับตั้งแต่เริ่มใช้โทเค็นฮาร์ดแวร์ ไม่มีการโจรกรรมบัญชีแม้แต่ครั้งเดียว เปรียบเทียบกับตัวเลขที่นำเสนอในรายงานฉบับนี้ ดังนั้นจึงเห็นได้ชัดเจนว่าการใช้ฮาร์ดแวร์ โทเค็น สำหรับการตรวจสอบสิทธิ์แบบสองปัจจัย วิธีเดียวที่เชื่อถือได้ในการปกป้อง ทั้งบัญชีและข้อมูล (และในบางกรณีก็รวมถึงเงินด้วย)

เพื่อปกป้องบัญชี Google มีการใช้โทเค็นที่สร้างขึ้นตามมาตรฐาน FIDO U2F เป็นต้น เช่น. และสำหรับการตรวจสอบสิทธิ์แบบสองปัจจัยในระบบปฏิบัติการ Windows, Linux และ MacOS โทเค็นการเข้ารหัส.

(หมายเหตุของผู้แปล)

ที่มา: will.com

เพิ่มความคิดเห็น