Google每天都要封锁数十万次企图挟持用户帐号的攻击行动,也在今年2月提出五大建议以保障用户的帐号安全,而Google的研究显示,光是在帐号中添加备援电话号码,就能百分之百地杜绝自动攻击,也能防止99%的大量网络钓鱼攻击,目标式攻击的防御能力也达到66%。
黑客入侵Google用户帐号的渠道大致包括了自动攻击、大量网络钓鱼攻击、一般目标式攻击与先进目标式攻击。其中的自动攻击是利用其它服务外泄的帐号凭证来登录Google,目标式攻击与先进目标式攻击的差异,则在于后者通常更有针对性,而且是聘请专业黑客展开攻击,取得单个帐号凭证的成本高达750美元,估计只有百万之一的用户可能面临先进式目标攻击。
当Google发现到用户帐号有可疑的登录行动(例如从其它设备或其它地方登录)时,就会要求用户提供额外的身份证明,倘若用户在帐号中填写了备援电话号码,那么Google就能借由发送短信认证码或直接在设备上显示提示来确认用户身份。
假设用户没有提供备援电话号码,仅依赖第二个电子邮件地址或最后一个登录地点来验证身份,那么前者成功防范自动攻击的比例为73%、预防网络钓鱼攻击的比例为68%,预防目标攻击的比例为79%,后者虽可100%预防自动攻击,但预防网络钓鱼攻击的能力只有10%。
反之,倘若用户填入了备援电话,通过设备提示则可防范100%的自动攻击、99%的网络钓鱼攻击,以及90%的目标式攻击;借由短信认证码可防范100%的自动攻击、96%的网络钓鱼攻击,以及76%的目标式攻击;要是遇到非常专业的高端目标式攻击,激活备援电话依然可阻挡66%的攻击行动。
填入备援电话只是保护Google帐号的五大建议之一,其它建议还包括采用独立的密码、定期更新系统、设置双因素身份认证,以及经常进行帐号的安全检查。
对一般用户而言,采用备援电话号码比起双因素身份认证要来得方便,因为前者只有在发现可疑行动时才会启动安全程序,但后者则是在每次登录时都必须进行双重认证,至于另一项比备援电话还要安全的帐号保护措施则是实体安全密钥,它能够百分之百的杜绝自动攻击、网络钓鱼攻击与目标式攻击,Google即建议那些自觉很容易受到高端式目标攻击的用户,考虑采用安全密钥。