主持人 > 博客 > 管理 > 您需要采取哪些措施来防止您的 Google 帐户被盗

您需要采取哪些措施来防止您的 Google 帐户被盗

您需要采取哪些措施来防止您的 Google 帐户被盗

谷歌已经发布了 研究 “基本帐户卫生在防止帐户被盗方面有多有效”,说明帐户所有者可以采取哪些措施来防止帐户被犯罪分子窃取。 我们向您展示这项研究的译文。
确实,谷歌自己使用的最有效的方法并未包含在报告中。 最后我不得不自己写一下这个方法。

每天,我们都会保护用户免受数十万次帐户黑客攻击。 大多数攻击 来自可以访问第三方密码破解系统的自动化机器人,但网络钓鱼和针对性攻击也存在。 之前我们讲过如何 只需五个简单步骤,例如添加电话号码,可以帮助您保持安全,但现在我们想在实践中证明这一点。

网络钓鱼攻击是试图诱骗用户自愿向攻击者提供在黑客攻击过程中有用的信息。 例如,通过复制合法应用程序的界面。

使用自动化机器人的攻击是大规模的黑客攻击,不针对特定用户。 通常使用公开软件进行,甚至未经训练的“破解者”也可以使用。 攻击者对特定用户的特征一无所知——他们只是启动程序并“捕获”周围所有保护不善的科学记录。

有针对性的攻击是对特定帐户的黑客攻击,其中收集有关每个帐户及其所有者的附加信息,尝试拦截和分析流量,以及使用更复杂的黑客工具。

(译者注)

我们与纽约大学和加利福尼亚大学的研究人员合作,研究基本帐户卫生在防止帐户劫持方面的有效性。

年度研究关于 大规模 и 有针对性的攻击 周三在一次由专家、政策制定者和用户组成的会议上提出 网络会议.
我们的研究表明,在我们的调查中,只需将电话号码添加到您的 Google 帐户即可阻止高达 100% 的自动机器人攻击、99% 的批量网络钓鱼攻击和 66% 的定向攻击。

自动主动的 Google 保护,防止帐户劫持

我们实施自动主动保护,以更好地保护所有用户免受帐户黑客攻击。 它的工作原理如下:如果我们检测到可疑的登录尝试(例如,从新位置或设备),我们将要求提供额外的证据来证明确实是您。 此确认可以验证您是否有权访问受信任的电话号码,或者回答只有您知道正确答案的问题。

如果您已登录手机或在帐户设置中提供了电话号码,我们可以提供与两步验证相同级别的安全性。 我们发现,发送到恢复电话号码的短信代码有助于阻止 100% 的自动机器人、96% 的批量网络钓鱼攻击和 76% 的定向攻击。 设备提示确认交易,这是短信的更安全替代品,有助于防止 100% 的自动化机器人、99% 的大规模网络钓鱼攻击和 90% 的定向攻击。

您需要采取哪些措施来防止您的 Google 帐户被盗

基于设备所有权和某些事实知识的保护有助于对抗自动化机器人,而设备所有权保护有助于防止网络钓鱼甚至有针对性的攻击。

如果您的帐户中没有设置电话号码,我们可能会根据我们对您的了解(例如您上次登录帐户的位置)使用较弱的安全技术。 这对于对抗机器人程序非常有效,但针对网络钓鱼的防护级别可能会下降至 10%,并且几乎无法针对针对性攻击提供防护。 这是因为网络钓鱼页面和有针对性的攻击者可能会迫使您透露 Google 可能要求验证的任何其他信息。

鉴于这种保护的好处,人们可能会问为什么我们不需要每次登录都使用它。 答案是,这会给用户带来额外的复杂性(特别是对于没有准备的人 - 大约。 翻译.) 并会增加帐户被暂停的风险。 实验发现,38% 的用户在登录帐户时无法使用手机。 另外 34% 的用户记不起他们的辅助电子邮件地址。

如果您无法访问手机或无法登录,您可以随时返回到之前登录的受信任设备来访问您的帐户。

了解雇佣黑客攻击

大多数自动化保护都会阻止大多数机器人和网络钓鱼攻击,而有针对性的攻击会变得更具破坏性。 作为我们持续努力的一部分 监控黑客威胁,我们不断发现新的雇佣黑客犯罪团伙,他们平均收取 750 美元的费用来入侵一个账户。 这些攻击者通常依靠冒充家庭成员、同事、政府官员甚至谷歌的网络钓鱼电子邮件。 如果目标不放弃第一次网络钓鱼尝试,后续攻击将持续一个多月。

您需要采取哪些措施来防止您的 Google 帐户被盗
实时验证密码正确性的中间人网络钓鱼攻击示例。 然后,网络钓鱼页面会提示受害者输入短信验证码以访问受害者的帐户。

我们估计只有百万分之一的用户面临如此高的风险。 攻击者不会针对随机的人。 虽然研究表明,我们的自动防护措施可以帮助延迟甚至阻止我们研究过的高达 66% 的针对性攻击,但我们仍然建议高风险用户在我们的网站上注册 补充保护计划。 正如我们在调查期间观察到的,专门使用安全密钥的用户 (也就是说,使用发送给用户的代码进行两步身份验证 - 大约。 翻译),成为鱼叉式网络钓鱼的受害者。

花一点时间保护您的帐户

乘车旅行时,您使用安全带来保护生命和肢体。 并在我们的帮助下 五个秘诀 您可以确保您的帐户安全。

我们的研究表明,保护您的 Google 帐户最简单的方法之一就是设置电话号码。 对于记者、社区活动家、商界领袖和政治竞选团队等高风险用户,我们的计划 进阶保护 将有助于确保最高级别的安全。 您还可以通过安装扩展程序来保护您的非 Google 帐户免受密码黑客攻击 Chrome 密码检查.

有趣的是,谷歌并没有遵循它向用户提供的建议。 谷歌使用硬件令牌 为超过 85 名员工提供双因素身份验证。 据该公司代表称,自从开始使用硬件令牌以来,没有发生过任何帐户被盗的记录。 与本报告中提供的数字进行比较。 由此可见,硬件的使用 代币 用于双因素身份验证 唯一可靠的保护方法 账户和信息(在某些情况下还有金钱)。

为了保护 Google 帐户,使用根据 FIDO U2F 标准创建的令牌,例如 这样。 对于 Windows、Linux 和 MacOS 操作系统中的双因素身份验证, 加密代币.

(译者注)

来源: habr.com

添加评论