Google：帳號中新增備援電話號碼可有效預防遭駭客挾持

當Google察覺到用戶帳號有可疑的登入行動（例如從其它裝置或其它地方登入）時，就會要求用戶提供額外的身分證明，倘若用戶在帳號中填寫了備援電話 ... 移至主內容 文/陳曉莉 | 2019-05-20發表 圖片來源: Google Google每天都要封鎖數十萬次企圖挾持用戶帳號的攻擊行動，也在今年2月提出五大建議以保障使用者的帳號安全，而Google的研究顯示，光是在帳號中新增備援電話號碼，就能百分之百地杜絕自動攻擊，也能防止99%的大量網釣攻擊，目標式攻擊的防禦能力亦達到66%。

駭客入侵Google用戶帳號的管道大致包括了自動攻擊、大量網釣攻擊、一般目標式攻擊與先進目標式攻擊。

其中的自動攻擊是利用其它服務外洩的帳號憑證來登入Google，目標式攻擊與先進目標式攻擊的差異，則在於後者通常更有針對性，而且是聘請專業駭客展開攻擊，取得單個帳號憑證的成本高達750美元，估計只有百萬之一的用戶可能面臨先進式目標攻擊。

當Google察覺到用戶帳號有可疑的登入行動（例如從其它裝置或其它地方登入）時，就會要求用戶提供額外的身分證明，倘若用戶在帳號中填寫了備援電話號碼，那麼Google就能藉由傳送簡訊認證碼或直接在裝置上顯示提示來確認用戶身分。

假設用戶沒有提供備援電話號碼，僅仰賴第二個電子郵件位址或最後一個登入地點來驗證身分，那麼前者成功防範自動攻擊的比例為73%、預防網釣攻擊的比例為68%，預防目標攻擊的比例為79%，後者雖可100%預防自動攻擊，但預防網釣攻擊的能力只有10%。

反之，倘若用戶填入了備援電話，透過裝置提示則可防範100%的自動攻擊、99%的網釣攻擊，以及90%的目標式攻擊；藉由簡訊認證碼可防範100%的自動攻擊、96%的網釣攻擊，以及76%的目標式攻擊；要是遇到非常專業的進階目標式攻擊，啟用備援電話依然可阻擋66%的攻擊行動。

填入備援電話只是保護Google帳號的五大建議之一，其它建議還包括採用獨立的密碼、定期更新系統、設定雙因素身分認證，以及經常進行帳號的安全檢查。

對一般使用者而言，採用備援電話號碼比起雙因素身分認證要來得方便，因為前者只有在發現可疑行動時才會啟動安全程序，但後者則是在每次登入時都必須進行雙重認證，至於另一項比備援電話還要安全的帳號保護措施則是實體安全金鑰，它能夠百分之百的杜絕自動攻擊、網釣攻擊與目標式攻擊，Google即建議那些自覺很容易受到進階式目標攻擊的用戶，考慮採用安全金鑰。

iThomeSecurity 熱門新聞 北韓駭客集團Kimsuky會再三確認受害者身分才部署惡意程式 2022-08-29 駭客把惡意程式藏在韋伯望遠鏡所拍攝的太空畫面中 2022-08-31 美國陸軍招募國家駭客 2022-08-29 【資安週報】2022年8月22日到8月26日 2022-08-28 Google開源加密元件漏洞檢測程式庫Paranoid 2022-08-29 數位部明年編列預算218億元，擴大對外招募資安人才，數位產業署、資通安全署兩大署級機關人選確定 2022-08-29 總計有163家Twilio客戶遭駭客事件波及 2022-08-29 另一個Twilio駭客事件受害者出面了，Okta：用戶的一次性密碼遭存取 2022-08-29 Advertisement iThomeSecurity 專題報導 分散式RAID躍居主流儲存應用 【iThome2022CIO大調查(中)】企業IT新戰力 數位平臺大衝擊！中介法草案出爐 【iThome2022CIO大調查(上)】企業永續新常態下一步 備份應用的資料減量革命 更多專題報導