Google：手机或成为保护帐户安全的最强盾牌

在上周五的一份报告中，谷歌表示在打击机器人，网络钓鱼和有针对性的帐户劫持攻击时，手机有着至关重要的作用。

现如今，众多网站都是使用电子邮件作为用户的标识，它代表着和我们自身有关的众多敏感信息，是我们网络生活的中心。

我们不仅使用同一个邮箱登录同一服务提供商的所有服务，还通过Oauth在第三方网站实现统一帐户登录。

自然而然，电子邮件成为了黑客的重点目标。帐户劫持攻击每天都会发生成千上万起，而谷歌等互联网公司已经使用了大量针对此类攻击的防御措施。

反劫持主动保护

而在众多防御措施中，将电话号码和Google帐户绑定似乎是一种很有效的方法，特别是对抗批量的、非针对攻击时。

一项来自学术研究人员的研究显示，在谷歌账户与手机相关联的情况下，能100%防御住批量的帐户接管攻击，99％的普通网络钓鱼攻击，以及90%的针对性攻击。

这项研究结果是基于对120万用户进行的350000次真实的劫持尝试而得出的。

Google采取了很多验证来保证登录的合法性，例如登录请求的IP，设备的位置和请求的频率等。

简单来说，当用户从不同的设备或不同的地理位置登录他们的帐户时，通常会被要求通过双因素验证来证明他们是合法的帐户所有者。

当检测到可疑登录时，用户会进行额外的验证步骤，该步骤可能是基于隐私的（回答安全问题，提供相关电话号码或电子邮件地址），也可能是基于设备的（证明对已注册设备的拥有权限）。

物理挑战胜过隐私挑战

根据纽约大学和谷歌研究人员的一项研究，只要把谷歌帐户和手机绑定，帐户劫持一般会失败。

在手机上确认权限来登录，对自动的帐户接管攻击能100％防御住，对大量网络钓鱼攻击的防御成功率达99％，对针对性帐户接管攻击的防御成功率为90％。

此外，更为安全的是使用安全密钥授权登录。在启用此保护的情况下，所有账户接管攻击都会失败，因为登录过程需要物理设备的验证才能继续。

不幸的是，大多数用户不愿意使用安全密钥。因为大多数人会感觉很麻烦，特别是换手机的时候。

这项研究还发现，最薄弱的保护措施就是基于短信的身份验证，攻击者通过钓鱼或中间人攻击很容易就突破安全验证。

谷歌的研究人员表示：“如果你已经在手机上登录帐户或绑定一个手机号，我们就可以提供和双因素最高等级的帐户保护强度”。

如果没有绑定手机，而是基于隐私的安全验证，则非常危险。虽然它可以对抗自动帐户接管攻击，但在多达90％的情况下，难以防御网络钓鱼。

如果你没有绑定手机，那么只能使用较弱的基于隐私的安全验证，例如回忆你最后的登录位置。这虽然能防御住自动化攻击，但难以抵抗网络钓鱼以及针对性的帐户接管攻击。这是因为网络钓鱼和针对性攻击都可以诱骗用户主动泄露自己的相关隐私信息。

值得注意的是，Google还为用户提供了其他帐户防护方法。但从普通用户的角度来看，这些措施都太过麻烦，需要花费较多的时间。

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://www.bleepingcomputer.com/news/security/google-wants-your-phone-to-protect-against-account-takeover-attacks/