谷歌已经发布了
研究 “基本帐户卫生在防止帐户被盗方面有多有效”,说明帐户所有者可以采取哪些措施来防止帐户被犯罪分子窃取。 我们向您展示这项研究的译文。
确实,谷歌自己使用的最有效的方法并未包含在报告中。 最后我不得不自己写一下这个方法。
每天,我们都会保护用户免受数十万次帐户黑客攻击。
网络钓鱼攻击是试图诱骗用户自愿向攻击者提供在黑客攻击过程中有用的信息。 例如,通过复制合法应用程序的界面。
使用自动化机器人的攻击是大规模的黑客攻击,不针对特定用户。 通常使用公开软件进行,甚至未经训练的“破解者”也可以使用。 攻击者对特定用户的特征一无所知——他们只是启动程序并“捕获”周围所有保护不善的科学记录。
有针对性的攻击是对特定帐户的黑客攻击,其中收集有关每个帐户及其所有者的附加信息,尝试拦截和分析流量,以及使用更复杂的黑客工具。
(译者注)
我们与纽约大学和加利福尼亚大学的研究人员合作,研究基本帐户卫生在防止帐户劫持方面的有效性。
年度研究关于
我们的研究表明,在我们的调查中,只需将电话号码添加到您的 Google 帐户即可阻止高达 100% 的自动机器人攻击、99% 的批量网络钓鱼攻击和 66% 的定向攻击。
自动主动的 Google 保护,防止帐户劫持
我们实施自动主动保护,以更好地保护所有用户免受帐户黑客攻击。 它的工作原理如下:如果我们检测到可疑的登录尝试(例如,从新位置或设备),我们将要求提供额外的证据来证明确实是您。 此确认可以验证您是否有权访问受信任的电话号码,或者回答只有您知道正确答案的问题。
如果您已登录手机或在帐户设置中提供了电话号码,我们可以提供与两步验证相同级别的安全性。 我们发现,发送到恢复电话号码的短信代码有助于阻止 100% 的自动机器人、96% 的批量网络钓鱼攻击和 76% 的定向攻击。 设备提示确认交易,这是短信的更安全替代品,有助于防止 100% 的自动化机器人、99% 的大规模网络钓鱼攻击和 90% 的定向攻击。
基于设备所有权和某些事实知识的保护有助于对抗自动化机器人,而设备所有权保护有助于防止网络钓鱼甚至有针对性的攻击。
如果您的帐户中没有设置电话号码,我们可能会根据我们对您的了解(例如您上次登录帐户的位置)使用较弱的安全技术。 这对于对抗机器人程序非常有效,但针对网络钓鱼的防护级别可能会下降至 10%,并且几乎无法针对针对性攻击提供防护。 这是因为网络钓鱼页面和有针对性的攻击者可能会迫使您透露 Google 可能要求验证的任何其他信息。
鉴于这种保护的好处,人们可能会问为什么我们不需要每次登录都使用它。 答案是,这会给用户带来额外的复杂性(特别是对于没有准备的人 - 大约。 翻译.) 并会增加帐户被暂停的风险。 实验发现,38% 的用户在登录帐户时无法使用手机。 另外 34% 的用户记不起他们的辅助电子邮件地址。
如果您无法访问手机或无法登录,您可以随时返回到之前登录的受信任设备来访问您的帐户。
了解雇佣黑客攻击
大多数自动化保护都会阻止大多数机器人和网络钓鱼攻击,而有针对性的攻击会变得更具破坏性。 作为我们持续努力的一部分
实时验证密码正确性的中间人网络钓鱼攻击示例。 然后,网络钓鱼页面会提示受害者输入短信验证码以访问受害者的帐户。
我们估计只有百万分之一的用户面临如此高的风险。 攻击者不会针对随机的人。 虽然研究表明,我们的自动防护措施可以帮助延迟甚至阻止我们研究过的高达 66% 的针对性攻击,但我们仍然建议高风险用户在我们的网站上注册
花一点时间保护您的帐户
乘车旅行时,您使用安全带来保护生命和肢体。 并在我们的帮助下
我们的研究表明,保护您的 Google 帐户最简单的方法之一就是设置电话号码。 对于记者、社区活动家、商界领袖和政治竞选团队等高风险用户,我们的计划
有趣的是,谷歌并没有遵循它向用户提供的建议。
谷歌使用硬件令牌 为超过 85 名员工提供双因素身份验证。 据该公司代表称,自从开始使用硬件令牌以来,没有发生过任何帐户被盗的记录。 与本报告中提供的数字进行比较。 由此可见,硬件的使用 代币 用于双因素身份验证 唯一可靠的保护方法 账户和信息(在某些情况下还有金钱)。为了保护 Google 帐户,使用根据 FIDO U2F 标准创建的令牌,例如
这样 。 对于 Windows、Linux 和 MacOS 操作系统中的双因素身份验证,加密代币 .(译者注)
来源: habr.com