谷歌:添加找回电话号码、阻止自动劫持

关注 2019-05-20 07:20:34 查看数 7934 ,评论数 0 资讯 Web安全

电子邮件帐户、邮件信息及它们为其他连接的Web服务提供的信任根一直是攻击者的目标。大多数攻击源于自动机器人访问第三方密码泄露、网络钓鱼和针对目标的攻击。要增强在线的安全性,一般来讲要做到以下几点:


  • 设置找回账号的电话号码或邮件地址、保持更新;
  • 账户要使用唯一的密码;
  • 保持软件更新到最新版本;
  • 设置双因素身份验证等。

虽然网络钓鱼检测、风险分析和双因素身份验证等纵深防御方法有助于阻止大规模劫持,但对有针对性的攻击仍然是一个强大的威胁。


谷歌研究人员尝试在实践中对其进行证明。其与纽约大学、加州大学圣地亚哥分校对大规模攻击、针对性攻击进行了长达一年的研究后表示,添加找回的电话号码能阻止所有自动机器人通过凭证填充访问帐户。


研究人员发现,使用SMS代码作为身份验证的额外因素可阻止76%的目标攻击、96%的批量钓鱼攻击和100%的自动机器人攻击,而使用提示会提高数量到目标的90%,批量的99%和100%的自动攻击。其在博客文章中称:“只需在自己的Google帐户中添加一个找回电话号码就可以在调查期间阻止100%的自动机器人、99%的批量钓鱼攻击和66%的针对性攻击”。



研究人员在Google的14种不同登录挑战中调查了针对120万用户的350,000次劫持尝试。该团队表示,当需要额外身份验证因素时,38%的用户无法访问他们的手机,而在需要辅助电子邮件地址场景下时,34%的用户都记不得了。而不考虑挑战方法时,超94%的用户都能够在一周内重新获得帐户访问权限。


上个月在Google Cloud Next大会上,其表示希望将来能用Android手机作为安全密钥。


Google Trust and Security营销负责人Rob Sadowski当时表示:“如果所有现代Android手机都有安全密钥,这对10亿多用户来说非常方便,让其作为身份验证器确实更加好用而且一直可用”。而Google建议至少注册两个安全密钥以免丢失其中一个。

交流评论(0)
Loading...
点击 ,就能发表评论哦~如果您还没有账号,请 一个吧
css.php
正在加载中...