网络账号被骇的威胁不曾少过,尤其像 Google 这样拥有庞大用户数的公司,更容易成为骇客目标,因此 Google 研究人员与柏克莱大学网络安全专家合作,花了一整年时间追踪骇客如何窃取密码,以及分析如何将这些资讯暴露到网络黑市。
研究结果显示,骇客主要透过第三方外泄攻击、网络钓鱼两种方式窃取用户密码,其中又以网络钓鱼手法最严重,当密码不再是绝对安全的保障,究竟一般用户有什么方式可自保呢?
第三方外泄攻击共测得 33 亿次,但实际成功率仅 7%
Google 与柏克莱大学以 Google 账号为评断标准,在为期一年的研究中,发现第三方外泄攻击、网络钓鱼为两大主要威胁。
用户密码是许多骇客争相争夺的宝藏,特别像 Google 账号可同时存取 Gmail、Google Docs、Google Drive 等服务,研究中一共记录到 33 亿次第三方外泄攻击,实际成功盗取的概率只有大约 7%,举例来说,如果用户的 Google 账号跟 MySpace 账号使用同一组密码,当 MySpace 被骇客攻破时 Google 账号也会很危险,骇客只要使用 MySpace 被攻破的密码不断尝试,就有可能找到漏洞。
但光取得密码并不能完整获取用户资料,还必须搭配其他认证资讯,研究人员发现,有 82% 钓鱼工具及 74% 键盘侧录工具,会设法搜集用户 IP 位址及位置。
▲ Google 研究结果显示,骇客主要透过第三方外泄攻击、网络钓鱼两种方式窃取用户密码,其中又以网络钓鱼最严重。
网络钓鱼共测得 1,240 万次攻击,成功率达 25%
另一种手法是透过网络钓鱼取得密码,骇客会在 e-mail 夹带假连结,如此一来用户就会在没有警觉的情况下,在假网站输入自己的密码,一年研究中共测得 1,240 万次网络钓鱼攻击,成功率是 12%~25%。
“密码就像一把进入王国的钥匙。”Google 研究员 Kurt Thomas 说:“账号资讯对骇客来说极具价值,他们无所不用其极要盗取你的账号。”
尽管这份研究显示被盗取的帐密数量很庞大,但需要注意的是,研究人员取得的资料仍然受限,因此实际的数字可能更高。
提升资安意识,Google 列出 4 种自保方法
Google 安全研究人员指出,骇客要攻破现在的资安防护机制,窃取用户资料已越来越不容易,但仍必须时时提高自我保护意识,并提出 4 个自保方法供用户参考。
- 不使用同一组密码 :Google 建议用户不要使用过于简单的密码,以及不要在不同网站使用相同密码。
- 启用两阶段验证 :可透过手机接收认证码以保护账号。
- 善用密码管理员 :针对不同网站随机产生密码,因此当其中一个账号被攻破时,骇客就没办法如法炮制攻破其他账号。
- 填写安全设定检查:检视自身账号的安全性。
虽然有些方法是老生常谈,不过 Google 研究员 Kurt Thomas 叮咛:“密码已不再是可完全信赖的模范。”
(本文由 数位时代 授权转载;图片来源:shutterstock)
延伸阅读:
- 逾 8 成企业雇员认为 Face ID 可靠,能取代密码
- 密码被骇屡见不鲜,我们该如何设定强健的密码?
- 美国提倡密码新主义,用易记长句取代含符号、大写字
- Yahoo 防骇,4 招辨别账号是否中镖
