Google发布了一项有关 “基本帐户卫生如何有效地防止被盗的研究”,内容涉及帐户所有者可以采取哪些措施来防止攻击者盗窃该帐户。 我们提请您注意本研究的译文。
没错,该报告未包含Google本身使用的最有效方法。 最后,我必须自己写这个方法。
每天,我们都会保护用户免受成千上万的黑客攻击。
大多数攻击来自可访问第三方密码破解系统的自动化机器人,但同时也存在网络钓鱼和针对性攻击。 之前我们讨论了
仅五个简单的步骤 (例如添加电话号码)如何可以帮助您保护自己,但是现在我们想在实践中证明这一点。
网络钓鱼攻击是一种欺骗用户的尝试,目的是使用户自愿将信息传递给攻击者,这在黑客攻击过程中将非常有用。 例如,通过复制法律申请的界面。
使用自动漫游器进行攻击-大规模的黑客攻击不针对特定用户。 它们通常使用可公开获得的软件进行,甚至可以由未经培训的“爆竹”使用。 攻击者对特定用户的功能一无所知-他们只是运行程序并“捕获”周围所有受保护不良的科学记录。
针对性攻击是对特定帐户的黑客攻击,其中可能收集有关每个帐户及其所有者的其他信息,可能会尝试拦截和分析流量,并可能使用更复杂的黑客工具。
(译者注)
我们与来自纽约大学和加利福尼亚大学的研究人员合作,研究了基本帐户卫生如何有效地防止他们被劫持。
在星期三的专家会议,政治人物和用户
会议(网络会议)上,提出了
针对 大规模和
针对性攻击的为期一年的研究。
我们的研究表明,只需在您的Google帐户中添加电话号码,就可以阻止高达100%的自动漫游器攻击,99%的大规模网络钓鱼攻击以及66%的调查中发生的针对性攻击。
Google自动主动防御帐户劫持
我们实施自动主动保护,以更好地保护所有用户免遭黑客入侵。 它是这样工作的:如果我们发现可疑的登录尝试(例如,从新的位置或设备登录),我们将要求其他证据证明它确实是您。 该确认可能是您可以访问受信任电话的控制权,也可能是仅知道正确答案的问题的答案。
如果您登录了手机或在帐户设置中输入了电话号码,我们可以提供与两步验证相同的保护级别。 我们发现,发送到辅助电话号码的SMS代码有助于阻止100%的自动漫游器,96%的大规模网络钓鱼攻击和76%的定向攻击。 设备上的请求以及确认操作的请求是SMS的更安全替代,有助于防止100%自动漫游器,99%的大规模网络钓鱼攻击和90%的定向攻击。
基于拥有某些设备以及对某些事实的了解进行的保护有助于抵御自动漫游器,而基于拥有某些设备的保护有助于防止网络钓鱼甚至目标攻击。
如果您的帐户中未配置您的电话号码,我们可以根据有关您的知识(例如您上次登录帐户的位置)采用较弱的保护方法。 这对机器人很有效,但是针对网络钓鱼的防护级别可以下降到10%,并且实际上没有针对目标攻击的防护。 这是因为网络钓鱼页面和有针对性的攻击者可能会迫使您披露Google可能要求验证的任何其他信息。
鉴于这种保护的优势,人们可能会问为什么我们不需要每次登录都使用它。 答案是,这将给用户(
特别是对于没有准备的用户
-大约Transl )带来额外的困难,并且会增加帐户被封锁的风险。 在实验过程中,事实证明,有38%的用户登录自己的帐户后无法使用手机。 另外34%的用户无法记住他们的备用电子邮件地址。
如果您无法使用手机或无法登录,则可以始终返回到以前登录时所用的受信任设备来访问帐户。
了解黑客雇用的攻击
在大多数自动防御阻止大多数漫游器和网络钓鱼攻击的地方,针对性攻击变得更加有害。 作为我们持续
监控黑客威胁的工作的一部分,我们一直在寻找新的“黑客”犯罪集团,这些犯罪集团要求平均需要750美元的帐户才能进行黑客入侵。 这些攻击者通常依靠网络钓鱼电子邮件来假冒家人,同事,政府官员甚至Google。 如果目标没有放弃第一次进行网络钓鱼的尝试,则后续攻击将持续一个多月。
中间人网上诱骗攻击的示例,该攻击可实时检查正确的密码。 之后,网页仿冒页面邀请受害者输入SMS验证码以访问受害者的帐户。据我们估计,百万分之一的用户处于如此高的风险中。 攻击者并不针对随机的人。 尽管研究表明我们的自动防护可以帮助延迟甚至阻止我们研究的多达66%的目标攻击,但我们仍然建议高风险用户注册我们的
附加防护程序 。 正如我们在调查中所指出的那样,仅使用安全密钥(
即,通过发送给用户的代码进行两步身份验证-大约是Transl。 )的
用户成为目标网络钓鱼的受害者。
请花一些时间来保护您的帐户。
乘汽车旅行时,请使用安全带保护生命和健康。 借助我们的
五个提示,您可以确保帐户的安全性。
正如我们的研究表明的那样,保护您的Google帐户最简单的方法之一就是设置电话号码。 对于记者,社区活动家,商业领袖和政治竞选团队等高风险用户,我们的
高级保护计划有助于确保最高级别的安全性。 您还可以通过安装
Chrome密码检查扩展程序来保护第三方服务帐户(而非Google)免遭密码破解。
有趣的是,Google没有遵循他本人向用户提供的建议。 Google使用硬件令牌对超过85,000名员工进行两因素身份验证。 根据公司代表的说法,自开始使用硬件令牌以来,尚未记录到帐户的任何一次盗窃。 与本报告中提供的数字进行比较。 因此,可以看出,使用硬件令牌进行两因素身份验证是保护帐户和信息(在某些情况下还包括金钱)的唯一可靠方法 。
为了保护Google帐户,使用了根据FIDO U2F标准创建的令牌,例如this 。 对于两因素身份验证,在Windows,Linux和MacOS操作系统中使用了加密令牌 。
(译者注)