谷歌已經發布了
研究 “基本帳戶衛生在防止帳戶被盜方面有多有效”,講述帳戶所有者可以採取哪些措施來防止帳戶被犯罪分子竊取。 我們向您展示這項研究的譯本。
確實,谷歌自己使用的最有效的方法並未包含在報告中。 最後我得自己寫這個方法。
每天,我們都會保護用戶免受數十萬次帳戶駭客攻擊。
網路釣魚攻擊是試圖誘騙用戶自願向攻擊者提供在駭客攻擊過程中有用的資訊。 例如,透過複製合法應用程式的介面。
使用自動化機器人的攻擊是大規模的駭客攻擊,不是針對特定使用者。 通常使用公開軟體進行,甚至未經訓練的「破解者」也可以使用。 攻擊者對特定用戶的特徵一無所知——他們只是啟動程式並「捕獲」周圍所有保護不善的科學記錄。
有針對性的攻擊是對特定帳戶的駭客攻擊,其中收集有關每個帳戶及其所有者的附加信息,嘗試攔截和分析流量,以及使用更複雜的駭客工具。
(譯者註)
我們與紐約大學和加州大學的研究人員合作,研究基本帳戶衛生在防止帳戶劫持方面的有效性。
年度研究關於
我們的研究表明,在我們的調查中,只需將電話號碼添加到您的 Google 帳戶即可阻止高達 100% 的自動機器人攻擊、99% 的批量網路釣魚攻擊和 66% 的定向攻擊。
自動主動的 Google 保護,防止帳號劫持
我們實施自動主動保護,以更好地保護所有使用者免受帳戶駭客攻擊。 它的工作原理如下:如果我們檢測到可疑的登入嘗試(例如,從新位置或設備),我們將要求額外的證據來證明確實是您。 此確認可以驗證您是否有權存取受信任的電話號碼,或回答只有您知道正確答案的問題。
如果您已登入手機或在帳戶設定中提供了電話號碼,我們可以提供與兩步驟驗證相同等級的安全性。 我們發現,發送到恢復電話號碼的簡訊代碼有助於阻止 100% 的自動機器人、96% 的批量網路釣魚攻擊和 76% 的定向攻擊。 設備提示確認交易,這是簡訊的更安全替代品,有助於防止 100% 的自動化機器人、99% 的大規模網路釣魚攻擊和 90% 的定向攻擊。
基於設備所有權和某些事實知識的保護有助於對抗自動化機器人,而設備所有權保護有助於防止網路釣魚甚至有針對性的攻擊。
如果您的帳戶中沒有設定電話號碼,我們可能會根據我們對您的了解(例如您上次登入帳戶的位置)使用較弱的安全性技術。 這對於對抗機器人程式非常有效,但針對網路釣魚的防護等級可能會下降至 10%,幾乎無法針對針對性攻擊提供防護。 這是因為網路釣魚頁面和有針對性的攻擊者可能會迫使您透露 Google 可能要求驗證的任何其他資訊。
鑑於這種保護的好處,人們可能會問為什麼我們不需要每次登入都使用它。 答案是,這會為用戶帶來額外的複雜性(特別是對於沒有準備的人 - 大約。 翻譯.) 並會增加帳戶被暫停的風險。 實驗發現,38% 的用戶在登入帳號時無法使用手機。 另外 34% 的使用者記不起他們的輔助電子郵件地址。
如果您無法存取手機或無法登錄,您可以隨時返回到先前登入的受信任裝置以存取您的帳戶。
了解僱用駭客攻擊
大多數自動化保護會阻止大多數機器人和網路釣魚攻擊,而有針對性的攻擊會變得更具破壞性。 作為我們持續努力的一部分
即時驗證密碼正確性的中間人網路釣魚攻擊範例。 然後,網路釣魚頁面會提示受害者輸入簡訊驗證碼以存取受害者的帳戶。
我們估計只有百萬分之一的用戶面臨如此高的風險。 攻擊者不會針對隨機的人。 雖然研究表明,我們的自動防護措施可以幫助延遲甚至阻止我們研究過的高達 66% 的針對性攻擊,但我們仍然建議高風險用戶在我們的網站上註冊
花一點時間保護您的帳戶
乘車旅行時,您使用安全帶來保護生命和肢體。 並在我們的幫助下
我們的研究表明,保護您的 Google 帳戶最簡單的方法之一就是設定電話號碼。 對於記者、社區活動家、商界領袖和政治競選團隊等高風險用戶,我們的計劃
有趣的是,谷歌並沒有遵循它向用戶提供的建議。
谷歌使用硬體令牌 為超過 85 名員工提供雙重認證。 據該公司代表稱,自從開始使用硬體令牌以來,沒有發生任何帳戶被盜的記錄。 與本報告中提供的數字進行比較。 由此可見,硬體的使用 令牌 用於雙重認證 唯一可靠的保護方法 帳戶和資訊(在某些情況下還有金錢)。為了保護 Google 帳戶,我們使用根據 FIDO U2F 標準建立的令牌,例如
這樣 。 對於 Windows、Linux 和 MacOS 作業系統中的雙重認證,加密代幣 .(譯者註)
來源: www.habr.com