密碼不再安全了?Google一年內成功被駭2.3億次,4個自保方法搶先看

shutterstock
不少人都有網路帳號被盜的經驗,究竟該如何預防與自保?Google研究人員與柏克萊大學網路安全專家合作,花了一年追蹤駭客如何竊取密碼,發現到網路釣魚最嚴重,研究人員提醒,密碼已不再是絕對安全的保障。

網路帳號被駭的威脅不曾少過,尤其像Google這樣擁有龐大用戶數的公司,更容易成為駭客目標,因此Google研究人員與柏克萊大學網路安全專家合作,花了一整年的時間追蹤駭客如何竊取密碼,以及分析如何將這些資訊暴露到網路黑市中。

研究結果顯示,駭客主要透過第三方外洩攻擊、網路釣魚兩種方式竊取用戶密碼,其中又以網路釣魚的手法最為嚴重,當密碼不再是絕對安全的保障,究竟一般用戶有什麼方式可以自保呢?

第三方外洩攻擊共測得33億次,但實際成功率僅7%

Google與柏克萊大學以Google 帳號作為評斷標準,在為期一年的研究中,發現第三方外洩攻擊、網路釣魚為兩大主要威脅。

用戶密碼是許多駭客爭相爭奪的寶藏,特別像是Google帳號可以同時存取Gmail、Google Docs、Google Drive等服務的資料,研究中一共記錄到了33億次第三方外洩攻擊,實際成功被盜取的成功率只有大約7%,舉例來說,如果用戶的Google帳號跟MySpace帳號使用同一組相同密碼,當MySpace被駭客攻破時Google帳號也就會很危險,駭客只要使用在MySpace上被攻破的密碼不斷嘗試,就有可能會找到漏洞。

但光是取得密碼並不能完整獲取用戶所有資料,還必須搭配其他認證資訊,研究人員發現,有82%的釣魚工具及74%的鍵盤側錄工具,會設法蒐集用戶IP位址及位置。

Google研究結果顯示,駭客主要透過第三方外洩攻擊、網路釣魚兩種方式竊取用戶密碼,其中又以網路釣魚的手法最為嚴重。
shutterstock

網路釣魚共測得1240萬次攻擊,成功率達25%

另一種手法是透過網路釣魚手法取得密碼,駭客會在e-mail中夾帶假的連結,如此一來用戶就會在沒有警覺的情況下,在假的網站上輸入自己的密碼,在一年的研究中共測得1240萬次網路釣魚攻擊,成功率是12%~25%。

「密碼就像是一把進入王國的鑰匙。」Google 研究員 Kurt Thomas說:「帳號資訊對駭客來說極具價值,他們無所不用其極要盜取你的帳號。」

儘管這份研究顯示被盜取的帳密數量很龐大,但需要注意的是,研究人員取得的資料仍然受限,因此實際的數字有可能更高。

提升資安意識,Google列出4種自保方法

Google安全研究人員指出,駭客要攻破現在的資安防護機制,竊取用戶資料已經越來越不容易,但仍必須時時提高自我保護意識,並提出了四個自保方法供用戶參考。

  1. 不使用同一組密碼 :Google建議用戶不要使用過於簡單的密碼,以及不要使用相同密碼在不同網站上。

  2. 啟用兩階段驗證 :可透過手機接收認證碼來保護帳號。

  3. 善用密碼管理員 :針對不同網站隨機產生密碼,因此當其中一個帳號被攻破時,駭客就沒辦法如法炮製攻破其他帳號服務。

  4. 填寫安全設定檢查:檢視自身帳號的安全性。

雖然有些方式,已經是老生常談,不過Google 研究員 Kurt Thomas叮嚀「密碼已經不再是可以完全信賴的模範。」

7%
在Google與柏克萊大學的研究中,一共記錄到了33億次第三方外洩攻擊,實際成功被盜取的成功率只有大約7%。
網路釣魚
Phishing
網路釣魚是一種企圖從電子通訊中,透過偽裝成信譽卓著的合法公司以獲得如用戶名、密碼和信用卡明細等個人敏感資訊的犯罪詐騙過程。 (來源: 維基百科 )
追蹤我們