根据Google保护用户帐号的实战经验来看,大多数的攻击属于自动化机器人程序、第三方密码泄露、网络钓鱼以及针对性攻击,因此Google建议用户通过设置备援电话号码等5个简单的步骤确保安全,并了验证这些步骤是否有效,进而与纽约大学、加州大学圣地亚哥分校进行长期安全研究。
为了保护用户的帐号不会遭到冒用,Google在默认情况就提供多种主动安全措施,举例来说系统侦测到可疑的登录动作(例如从新的地点或设备登录)时,就会自动通过发送认证短信到信任的电话,或询问只有本人知道答案的安全问题,进行额外身份确认动作,以确保登录动作是用户本人所为。
根据研究Google、纽约大学(New York University)、加州大学圣地亚哥分校(University of California, San Diego)共同发布的研究成果显示,加入备援电话号码并通过短信进行两步验证,就能组挡100%自动化机器人程序攻击、96%钓鱼攻击、76%针对性攻击。
如果激活手机提示功能登录,则能进一步提升安全性,将上述3种攻击的防护率分别提升至100%、99%、90%。
如果用户没有设置备援电话号码的话,系统仍会激活较弱的知识基础防护措施,虽然这些措施可以提供一定程度的防护能力,但整体而言效果比较差。例如记录用户的最后登录地点可以阻挡大部分自动化机器人程序攻击,但是攻击者可以通过诱骗方式让用户不慎泄露个人信息,所以这种方式对钓鱼攻击的阻档率会大幅下降至10%,导致引发安全风险。
然而有趣的是,如果无限制提升安全措施,也会带来使用不便甚至增加账户锁定的机会。在研究人员所进行的1项实验中,有38%的用户在登录过程中会因手机不在身边或其他理由无法使用手机,导致无法顺利进行两步验证,另外有34%的用户不记得辅助电子邮件地址。当这些问题发生时,用户就被迫需要使用先前已登录帐号的设备,以重新获得访问帐号与修改设置的权限。
此外Google在监控窃取帐号等攻击行为时,也发现了称为“黑客佣兵”(Hack for Hire)的犯罪集团,并以美金750元(约合新台币23,740元)的价格窃盗1个帐号。这些攻击者通常会假冒被害者的家人、同事、政府机关甚至Google的网络服务,并进行长达1个月的钓鱼攻击。
Google估计目前有数百万用户临这种风险,虽然目前的默认保护阻挡66%的攻击,但由于在研究期间使用安全密钥的所以用户都没有被攻破,因此Google仍建议高风险用户或重要的企业人士购买高端保护计划服务。
导入安全防护措施就跟搭车时系上安全带一样重要,Google建议用户至少能设置备援电话号码,此外也可通过安全设置检查确认帐号是否安全。