不少人都有網路帳號被盜的經驗, 究竟該如何預防與自保?Google研究人員與柏克萊大學網路安全專家合作, 花了一年追蹤駭客如何竊取密碼, 發現到網路釣魚最嚴重, 研究人員提醒, 密碼已不再是絕對安全的保障。
網路帳號被黑的威脅不曾少過, 尤其像Google這樣擁有龐大用戶數的公司, 更容易成為駭客目標, 因此Google研究人員與柏克萊大學網路安全專家合作, 花了一整年的時間追蹤駭客如何竊取密碼, 以及分析如何將這些資訊暴露到網路黑市中。
研究結果顯示, 駭客主要透過協力廠商外泄攻擊、網路釣魚兩種方式竊取使用者密碼, 其中又以網路釣魚的手法最為嚴重, 當密碼不再是絕對安全的保障, 究竟一般使用者有什麼方式可以自保呢?
協力廠商外泄攻擊共測得33億次, 但實際成功率僅7%Google與柏克萊大學以Google 帳號作為評斷標準, 在為期一年的研究中,
使用者密碼是許多駭客爭相爭奪的寶藏, 特別像是Google帳號可以同時存取Gmail、Google Docs、Google Drive等服務的資料, 研究中一共記錄到了33億次協力廠商外泄攻擊, 實際成功被盜取的成功率只有大約7%, 舉例來說, 如果用戶的Google帳號跟MySpace帳號使用同一組相同密碼, 當MySpace被駭客攻破時Google帳號也就會很危險, 駭客只要使用在MySpace上被攻破的密碼不斷嘗試, 就有可能會找到漏洞。
但光是取得密碼並不能完整獲取使用者所有資料, 還必須搭配其他認證資訊, 研究人員發現, 有82%的釣魚工具及74%的鍵盤側錄工具, 會設法搜集用戶IP位址及位置。
另一種手法是透過網路釣魚手法取得密碼, 駭客會在e-mail中夾帶假的連結, 如此一來用戶就會在沒有警覺的情況下, 在假的網站上輸入自己的密碼, 在一年的研究中共測得1240萬次網路釣魚攻擊, 成功率是12%~25%。
「密碼就像是一把進入王國的鑰匙。 」Google 研究員Kurt Thomas說:「帳號資訊對駭客來說極具價值, 他們無所不用其極要盜取你的帳號。 」
儘管這份研究顯示被盜取的帳密數量很龐大, 但需要注意的是, 研究人員取得的資料仍然受限, 因此實際的數字有可能更高。
提升資安意識, Google列出4種自保方法Google安全研究人員指出, 駭客要攻破現在的資安防護機制,
不使用同一組密碼:Google建議使用者不要使用過於簡單的密碼, 以及不要使用相同密碼在不同網站上。
啟用兩階段驗證:可透過手機接收認證碼來保護帳號。
善用密碼管理員:針對不同網站隨機產生密碼, 因此當其中一個帳號被攻破時, 駭客就沒辦法如法炮製攻破其他帳號服務。
填寫安全設定檢查:檢視自身帳號的安全性。
雖然有些方式, 已經是老生常談, 不過Google 研究員Kurt Thomas叮嚀「密碼已經不再是可以完全信賴的模範。 」
關注GCC社區,
這裡是VR/AR/AI領域最專業的早期新科技投資基金和社區平臺。
歡迎大家留言提出意見和建議,
我們會把更多好內容乾貨分享給大家~