64e586835f39c0d6a035259571e101aa 根據Google保護使用者帳號的實戰經驗來看,大多數的攻擊屬於自動化機器人程式、第三方密碼洩露、網路釣魚以及針對性攻擊,因此Google建議使用者透過設定備援電話號碼5個簡單的步驟確保資安,並了驗證這些步驟是否有效,進而與紐約大學、加州大學聖地牙哥分校進行長期資安研究。

兩步驟驗證效果好

為了保護使用者的帳號不會遭到冒用,Google在預設情況就提供多種主動安全措施,舉例來說系統偵測到可疑的登錄動作(例如從新的地點或設備登錄)時,就會自動透過發送認證簡訊到信任的電話,或詢問只有本人知道答案的安全問題,進行額外身份確認動作,以確保登錄動作是使用者本人所為。

根據研究Google、紐約大學(New York University)、加州大學聖地牙哥分校(University of California, San Diego)共同發表的研究成果顯示,加入備援電話號碼並透過簡訊進行兩步驟驗證,就能組擋100%自動化機器人程式攻擊、96%釣魚攻擊、76%針對性攻擊。

如果啟用手機提示功能登入,則能進一步提升安全性,將上述3種攻擊的防護率分別提升至100%、99%、90%。

兩步驟驗證與手機提示功能可以保護帳號不被竊取。

裝置基礎(如硬體金鑰)的資安措施比知識基礎(如密碼、兩步驟驗證)提供更強的防護能力。(圖片來源:Google,下同)

替代方案防護力較弱

如果使用者沒有設定備援電話號碼的話,系統仍會啟用較弱的知識基礎防護措施,雖然這些措施可以提供一定程度的防護能力,但整體而言效果比較差。例如記錄使用者的最後登入地點可以阻擋大部分自動化機器人程式攻擊,但是攻擊者可以透過誘騙方式讓使用者不慎洩露個人資訊,所以這種方式對釣魚攻擊的阻檔率會大幅下降至10%,導致引發資安風險。

然而有趣的是,如果無限制提升資安措施,也會帶來使用不便甚至增加帳戶鎖定的機會。在研究人員所進行的1項實驗中,有38%的使用者在登入過程中會因手機不在身邊或其他理由無法使用手機,導致無法順利進行兩步驟驗證,另外有34%的使用者不記得輔助電子郵件地址。當這些問題發生時,使用者就被迫需要使用先前已登錄帳號的裝置,以重新獲得存取帳號與修改設定的權限。

此外Google在監控竊取帳號等攻擊行為時,也發現了稱為「駭客傭兵」(Hack for Hire)的犯罪集團,並以美金750元(約合新台幣23,740元)的價碼竊盜1個帳號。這些攻擊者通常會假冒被害者的家人、同事、政府機關甚至Google的網路服務,並進行長達1個月的釣魚攻擊。

Google估計目前有數百萬使用者臨這種風險,雖然目前的預設保護阻擋66%的攻擊,但由於在研究期間使用安全金鑰的所以使用者都沒有被攻破,因此Google仍建議高風險使用者或重要的企業人士購買進階保護計劃服務。

有些釣魚攻擊會透過偽裝成Google登入畫面,誘騙使用者輸入兩步驟驗證碼。

導入資安防護措施就跟搭車時繫上安全帶一樣重要,Google建議使用者至少能設定備援電話號碼,此外也可透過安全設定檢查確認帳號是否安全。

使用 Facebook 留言

訪客
1.  訪客 (發表於 2019年6月08日 20:53)
並(缺字)了驗證這些步驟是否有效   缺字 > 為
根據「研究」Google、紐約大學...   研究 >(贅字)
就能「組」擋100%自動化機器人程式攻擊   組 > 阻
這種方式對釣魚攻擊的阻「檔」率會大幅下降   檔 > 擋
估計目前有數百萬使用者(缺字)臨這種風險   缺字 > 面
使用安全金鑰的所「以」使用者都沒有被攻破   以 > 有(?)

發表回應

謹慎發言,尊重彼此。按此展開留言規則