Google：帳號中新增備援電話號碼可有效預防遭駭客挾持

當Google察覺到用戶帳號有可疑的登入行動（例如從其它裝置或其它地方登入）時，就會要求用戶提供額外的身分證明，倘若用戶在帳號中填寫了備援電話 ... 移至主內容 文/陳曉莉 | 2019-05-20發表 圖片來源: Google Google每天都要封鎖數十萬次企圖挾持用戶帳號的攻擊行動，也在今年2月提出五大建議以保障使用者的帳號安全，而Google的研究顯示，光是在帳號中新增備援電話號碼，就能百分之百地杜絕自動攻擊，也能防止99%的大量網釣攻擊，目標式攻擊的防禦能力亦達到66%。

駭客入侵Google用戶帳號的管道大致包括了自動攻擊、大量網釣攻擊、一般目標式攻擊與先進目標式攻擊。

其中的自動攻擊是利用其它服務外洩的帳號憑證來登入Google，目標式攻擊與先進目標式攻擊的差異，則在於後者通常更有針對性，而且是聘請專業駭客展開攻擊，取得單個帳號憑證的成本高達750美元，估計只有百萬之一的用戶可能面臨先進式目標攻擊。

當Google察覺到用戶帳號有可疑的登入行動（例如從其它裝置或其它地方登入）時，就會要求用戶提供額外的身分證明，倘若用戶在帳號中填寫了備援電話號碼，那麼Google就能藉由傳送簡訊認證碼或直接在裝置上顯示提示來確認用戶身分。

假設用戶沒有提供備援電話號碼，僅仰賴第二個電子郵件位址或最後一個登入地點來驗證身分，那麼前者成功防範自動攻擊的比例為73%、預防網釣攻擊的比例為68%，預防目標攻擊的比例為79%，後者雖可100%預防自動攻擊，但預防網釣攻擊的能力只有10%。

反之，倘若用戶填入了備援電話，透過裝置提示則可防範100%的自動攻擊、99%的網釣攻擊，以及90%的目標式攻擊；藉由簡訊認證碼可防範100%的自動攻擊、96%的網釣攻擊，以及76%的目標式攻擊；要是遇到非常專業的進階目標式攻擊，啟用備援電話依然可阻擋66%的攻擊行動。

填入備援電話只是保護Google帳號的五大建議之一，其它建議還包括採用獨立的密碼、定期更新系統、設定雙因素身分認證，以及經常進行帳號的安全檢查。

對一般使用者而言，採用備援電話號碼比起雙因素身分認證要來得方便，因為前者只有在發現可疑行動時才會啟動安全程序，但後者則是在每次登入時都必須進行雙重認證，至於另一項比備援電話還要安全的帳號保護措施則是實體安全金鑰，它能夠百分之百的杜絕自動攻擊、網釣攻擊與目標式攻擊，Google即建議那些自覺很容易受到進階式目標攻擊的用戶，考慮採用安全金鑰。

iThomeSecurity 熱門新聞 微軟釋出Windows1022H2 2022-10-19 iOS16依然繞過VPN建立連線，洩露用戶資訊 2022-10-18 Fortinet坦承軟體重大漏洞有多起攻擊，且為數眾多的用戶仍未修補 2022-10-18 漢莎航空禁AirTag政策不到一周急轉彎 2022-10-17 25萬名美國陸軍將改用GoogleWorkspace 2022-10-18 政院將修正禁用中國資通產品條例，例外使用需經資安長同意 2022-10-19 荷蘭智取勒索軟體集團Deadbolt，利用比特幣交易空窗獲得逾150個解密金鑰 2022-10-17 研究人員發現幾乎無法偵測到的PowerShell後門程式 2022-10-20 Advertisement 2022iThome鐵人賽 iThomeSecurity 專題報導 2022臺灣資安大會特別報導：人才篇 2022臺灣資安大會特別報導：企業篇 【記憶體「大共享池」時代來臨】CXL崛起！帶動伺服器架構革命 【日本最大電信災情！KDDI事故的三堂課】電信關鍵基礎設施大斷線 iThome2022資安大調查（下） 更多專題報導