Google ได้เผยแพร่
ศึกษา “สุขอนามัยบัญชีขั้นพื้นฐานในการป้องกันการโจรกรรมบัญชีมีประสิทธิภาพเพียงใด” เกี่ยวกับสิ่งที่เจ้าของบัญชีสามารถทำได้เพื่อป้องกันไม่ให้อาชญากรขโมยบัญชี เราขอเสนอคำแปลของการศึกษานี้ให้คุณทราบ
จริงอยู่ที่วิธีการที่มีประสิทธิภาพสูงสุดซึ่ง Google ใช้นั้นไม่ได้รวมอยู่ในรายงาน ฉันต้องเขียนเกี่ยวกับวิธีการนี้ด้วยตัวเองในตอนท้าย
ทุกวันเราปกป้องผู้ใช้จากการพยายามแฮ็คบัญชีนับแสนครั้ง
การโจมตีแบบฟิชชิ่งคือความพยายามที่จะหลอกให้ผู้ใช้ให้ข้อมูลแก่ผู้โจมตีโดยสมัครใจ ซึ่งจะเป็นประโยชน์ในกระบวนการแฮ็ก ตัวอย่างเช่น โดยการคัดลอกอินเทอร์เฟซของใบสมัครทางกฎหมาย
การโจมตีโดยใช้บอทอัตโนมัติเป็นความพยายามในการแฮ็กข้อมูลจำนวนมากที่ไม่ได้มุ่งเป้าไปที่ผู้ใช้บางราย โดยปกติจะดำเนินการโดยใช้ซอฟต์แวร์ที่เปิดเผยต่อสาธารณะและสามารถใช้งานได้แม้กระทั่งกับ "แครกเกอร์" ที่ไม่ได้รับการฝึกอบรม ผู้โจมตีไม่รู้อะไรเลยเกี่ยวกับคุณลักษณะของผู้ใช้บางราย - พวกเขาเพียงแค่เปิดโปรแกรมและ "จับ" บันทึกทางวิทยาศาสตร์ที่มีการป้องกันไม่ดีทั้งหมด
การโจมตีแบบกำหนดเป้าหมายคือการแฮ็กบัญชีเฉพาะ ซึ่งมีการรวบรวมข้อมูลเพิ่มเติมเกี่ยวกับแต่ละบัญชีและเจ้าของบัญชี ความพยายามที่จะสกัดกั้นและวิเคราะห์การรับส่งข้อมูล รวมถึงการใช้เครื่องมือแฮ็กที่ซับซ้อนมากขึ้น
(หมายเหตุของผู้แปล)
เราร่วมมือกับนักวิจัยจากมหาวิทยาลัยนิวยอร์กและมหาวิทยาลัยแคลิฟอร์เนียเพื่อค้นหาว่าการดูแลบัญชีขั้นพื้นฐานมีประสิทธิภาพเพียงใดในการป้องกันการขโมยบัญชี
การศึกษาประจำปีเกี่ยวกับ
การวิจัยของเราแสดงให้เห็นว่าเพียงเพิ่มหมายเลขโทรศัพท์ลงในบัญชี Google ของคุณสามารถบล็อกการโจมตีด้วยบอทอัตโนมัติได้มากถึง 100%, การโจมตีแบบฟิชชิ่งจำนวนมาก 99% และการโจมตีแบบกำหนดเป้าหมาย 66% ในการตรวจสอบของเรา
การป้องกันเชิงรุกของ Google อัตโนมัติจากการขโมยบัญชี
เราใช้การป้องกันเชิงรุกอัตโนมัติเพื่อปกป้องผู้ใช้ทั้งหมดของเราจากการแฮ็คบัญชีได้ดียิ่งขึ้น วิธีการทำงาน: หากเราตรวจพบความพยายามเข้าสู่ระบบที่น่าสงสัย (เช่น จากตำแหน่งหรืออุปกรณ์ใหม่) เราจะขอหลักฐานเพิ่มเติมว่าเป็นคุณจริงๆ การยืนยันนี้อาจเป็นการตรวจสอบว่าคุณสามารถเข้าถึงหมายเลขโทรศัพท์ที่เชื่อถือได้ หรือตอบคำถามที่มีเพียงคุณเท่านั้นที่รู้คำตอบที่ถูกต้อง
หากคุณลงชื่อเข้าใช้โทรศัพท์หรือระบุหมายเลขโทรศัพท์ในการตั้งค่าบัญชีของคุณ เราสามารถให้การรักษาความปลอดภัยในระดับเดียวกับการยืนยันสองขั้นตอน เราพบว่ารหัส SMS ที่ส่งไปยังหมายเลขโทรศัพท์สำหรับการกู้คืนช่วยบล็อกบอทอัตโนมัติได้ 100%, การโจมตีแบบฟิชชิ่งจำนวนมาก 96% และการโจมตีแบบกำหนดเป้าหมาย 76% และอุปกรณ์แจ้งให้ยืนยันธุรกรรม ซึ่งเป็นการแทนที่ SMS ที่ปลอดภัยยิ่งขึ้น ช่วยป้องกันบอทอัตโนมัติ 100% การโจมตีแบบฟิชชิ่งจำนวนมาก 99% และการโจมตีแบบกำหนดเป้าหมาย 90%
การป้องกันโดยอาศัยการเป็นเจ้าของอุปกรณ์และความรู้เกี่ยวกับข้อเท็จจริงบางอย่างจะช่วยตอบโต้บอทอัตโนมัติ ในขณะที่การป้องกันการเป็นเจ้าของอุปกรณ์จะช่วยป้องกันฟิชชิ่งและแม้แต่การโจมตีแบบกำหนดเป้าหมาย
หากคุณไม่ได้ตั้งค่าหมายเลขโทรศัพท์ในบัญชีของคุณ เราอาจใช้เทคนิคความปลอดภัยที่อ่อนแอกว่าโดยพิจารณาจากสิ่งที่เรารู้เกี่ยวกับคุณ เช่น สถานที่ที่คุณลงชื่อเข้าใช้บัญชีของคุณครั้งล่าสุด สิ่งนี้ทำงานได้ดีกับบอท แต่ระดับการป้องกันฟิชชิ่งสามารถลดลงเหลือ 10% และแทบไม่มีการป้องกันการโจมตีแบบกำหนดเป้าหมายเลย เนื่องจากหน้าฟิชชิ่งและผู้โจมตีที่เป็นเป้าหมายสามารถบังคับให้คุณเปิดเผยข้อมูลเพิ่มเติมใดๆ ที่ Google อาจขอการยืนยันได้
เมื่อพิจารณาถึงประโยชน์ของการป้องกันดังกล่าว อาจมีคนถามว่าทำไมเราไม่ต้องใช้มันในการเข้าสู่ระบบทุกครั้ง คำตอบก็คือ มันจะสร้างความซับซ้อนเพิ่มเติมให้กับผู้ใช้ (โดยเฉพาะสำหรับผู้ที่ไม่ได้เตรียมตัว - ประมาณ การแปล.) และจะเพิ่มความเสี่ยงในการระงับบัญชี การทดสอบพบว่า 38% ของผู้ใช้ไม่สามารถเข้าถึงโทรศัพท์เมื่อลงชื่อเข้าใช้บัญชีของตน ผู้ใช้อีก 34% จำที่อยู่อีเมลสำรองของตนไม่ได้
หากคุณสูญเสียการเข้าถึงโทรศัพท์ของคุณหรือไม่สามารถลงชื่อเข้าใช้ได้ คุณสามารถกลับไปยังอุปกรณ์ที่เชื่อถือได้ซึ่งคุณลงชื่อเข้าใช้ก่อนหน้านี้เพื่อเข้าถึงบัญชีของคุณได้ตลอดเวลา
ทำความเข้าใจกับการโจมตีแบบแฮ็กเพื่อจ้าง
ในกรณีที่การป้องกันอัตโนมัติส่วนใหญ่บล็อกบอทและการโจมตีแบบฟิชชิ่งส่วนใหญ่ การโจมตีแบบกำหนดเป้าหมายจะสร้างความเสียหายได้มากกว่า ซึ่งเป็นส่วนหนึ่งของความพยายามอย่างต่อเนื่องของเราในการ
ตัวอย่างการโจมตีแบบฟิชชิ่งแบบแทรกกลางที่ตรวจสอบความถูกต้องของรหัสผ่านแบบเรียลไทม์ หน้าฟิชชิ่งจะแจ้งให้เหยื่อป้อนรหัสยืนยันตัวตนทาง SMS เพื่อเข้าถึงบัญชีของเหยื่อ
เราประเมินว่ามีผู้ใช้เพียงหนึ่งในล้านเท่านั้นที่มีความเสี่ยงสูงเช่นนี้ ผู้โจมตีไม่ได้กำหนดเป้าหมายไปที่ผู้คนแบบสุ่ม แม้ว่าการวิจัยจะแสดงให้เห็นว่าการป้องกันแบบอัตโนมัติของเราสามารถช่วยชะลอและป้องกันการโจมตีแบบกำหนดเป้าหมายได้มากถึง 66% ที่เราศึกษา แต่เรายังคงแนะนำให้ผู้ใช้ที่มีความเสี่ยงสูงลงทะเบียนกับ
ใช้เวลาเล็กน้อยเพื่อปกป้องบัญชีของคุณ
คุณใช้เข็มขัดนิรภัยเพื่อปกป้องชีวิตและแขนขาขณะเดินทางในรถยนต์ และด้วยความช่วยเหลือของเรา
การวิจัยของเราแสดงให้เห็นว่าสิ่งที่ง่ายที่สุดอย่างหนึ่งที่คุณสามารถทำได้เพื่อปกป้องบัญชี Google ของคุณคือการตั้งค่าหมายเลขโทรศัพท์ สำหรับผู้ใช้ที่มีความเสี่ยงสูง เช่น นักข่าว นักเคลื่อนไหวในชุมชน ผู้นำธุรกิจ และทีมรณรงค์ทางการเมือง โปรแกรมของเรา
เป็นเรื่องน่าสนใจที่ Google ไม่ปฏิบัติตามคำแนะนำที่ให้ผู้ใช้
Google ใช้โทเค็นฮาร์ดแวร์ สำหรับการตรวจสอบสิทธิ์แบบสองปัจจัยสำหรับพนักงานมากกว่า 85 คน ตามที่ตัวแทนของบริษัท นับตั้งแต่เริ่มใช้โทเค็นฮาร์ดแวร์ ไม่มีการโจรกรรมบัญชีแม้แต่ครั้งเดียว เปรียบเทียบกับตัวเลขที่นำเสนอในรายงานฉบับนี้ ดังนั้นจึงเห็นได้ชัดเจนว่าการใช้ฮาร์ดแวร์ โทเค็น สำหรับการตรวจสอบสิทธิ์แบบสองปัจจัย วิธีเดียวที่เชื่อถือได้ในการปกป้อง ทั้งบัญชีและข้อมูล (และในบางกรณีก็รวมถึงเงินด้วย)เพื่อปกป้องบัญชี Google มีการใช้โทเค็นที่สร้างขึ้นตามมาตรฐาน FIDO U2F เป็นต้น
เช่น . และสำหรับการตรวจสอบสิทธิ์แบบสองปัจจัยในระบบปฏิบัติการ Windows, Linux และ MacOSโทเค็นการเข้ารหัส .(หมายเหตุของผู้แปล)
ที่มา: will.com