快訊
引用來源:Google Security Blog Google 與紐約大學合作,針對「身分驗證(knowledge-based,與你個人資料相關)」及「裝置驗證(device-based ,你的行動裝置、個人及工作用電腦)」做了研究,結果如下:
身分驗證
在他人嘗試登入你的帳戶時,,問題如「你的電話號碼是什麼?」或「你的備用電子信箱是什麼?」對想盜用你帳戶的人來說,這些資訊根本輕易就可獲得;但若登入驗證需求為「你的最後登入位置為?」時,100% 的自動登入機器人會被擋住。
裝置驗證
裝置驗證的方式例如簡訊傳驗證碼到你的手機再進行登入的動作,這類方式雖然目前許多網友表示收到莫名登入驗證簡訊,不過就算是有人嘗試登入你的帳號,他們沒有你的手機可以驗證也登入不了,這也就是為什麼這類方式可以阻擋高達 76% 的攻擊。
另外,在手機上安裝 App 程式開啟二次驗證也是高安全性的作法(如 Authy、Google Authenticator 等 App),而最安全的還是輸入你的安全金鑰,可以阻擋 100% 的自動登入機器人、大量網路釣魚攻擊及針對性攻擊。
不過 Google 也表示,這類型驗證還是存在一些不方便性,例如,在需要裝置驗證的當下,有 38% 的使用者手機不在身邊,另外,進行身分驗證時有 34% 的使用者忘了自己的備用電子信箱是什麼。
最新駭客手法
經過調查,Google 發現最近有出現新型態的「雇傭駭客(hack for hire)」犯罪集團出現在網路上,這類型的集團會以 750 美元的價格購買帳號,假冒成親友、同事、政府官員甚至 Google 官方,使用「魚叉式網路釣魚」透過電子郵件等方式與你聯絡,如果受害者沒有馬上上當,後續的攻擊將會持續一個月以上。
以電子郵件的方式,假冒該公司或組織的名義寄發難以辨真偽之檔案,誘使員工進一步登錄其帳號密碼,使攻擊者可以以此藉機安裝特洛伊木馬或其他間諜軟體,竊取機密。
雖然大多數的用戶不會是最新駭客攻擊所鎖定的目標,Google 也建議高風險的用戶要使用保護層級較完整的驗證方式。
介紹了 Google 最新發現的駭客手法,這邊就要教大家怎麼查看並加強自己 Google 帳號的安全囉!
首先需要進到 Google 安全設定檢查的頁面
連結在這裡 ▶ Google 帳戶:安全設定檢查
你會看到四大欄位「您的裝置」、「近期安全性事件」、「兩步驟驗證」以及「第三方應用程式存取」。
您的裝置
點開「您的裝置」後,上面會列出你所有登入的裝置,如果其中有你想不起來登入過的,點選該裝置右邊的三個小直點點,你可以選擇「移除」,你的帳號就會直接從該裝置登出。
若選擇「對這個裝置沒有印象嗎?」Google 會詢問你要不要變更密碼,如果變更密碼,你所有裝置上的 Google 帳戶都會登出,需要重新登入。
近期安全性事件
從「近期安全性事件」中,你可以查看你的帳戶最近有什麼登入活動、或是任何變動。如果對某個活動沒有印象,Google 也是建議你做密碼的變更,因為你的帳戶可能已經遭人盜用了。
兩步驟驗證
若你有開啟「兩步驟驗證」,只要你登入 Google(或他人嘗試登入你的帳戶)時,就會被要求提供驗證碼,而這個驗證碼就會透過你所選擇的方式傳送給你,你只需要輸入正確的驗證碼就能登入。
如果你想重新檢視你 Google 帳號的兩步驟驗證,點選「兩步驟驗證設定」,或是點選這個兩步驟驗證設定連結,就可以進入管理兩步驟驗證的頁面,兩步驟驗證有 5 大方式「Google 提示」、「語音訊息或簡訊」、「備用碼」、「Authenticator 應用程式」及「安全金鑰」,詳細的綁定教學請點開下面縮頁。
點這裡看看要怎麼設定兩步驟驗證
Google 提示
「Google 提示」用來將你的 Google 帳號綁在行動裝置上,需要下載 Google App,當你進行綁定的時候 Google 會自動配對,進到兩步驟驗證設定連結後,點選「新增 GOOGLE 提示」,綁定步驟如下:
① 選擇開始使用
② 準備好你下載好 Google App 的手機,選擇下一步
③ 打開 Google App
④ Google App 會跳出一個畫面,詢問你「正嘗試透過其他電腦登入嗎?」,選擇是
這樣你的 Google 提示就綁定就成功囉!
語音訊息與簡訊
若 Google 帳戶是你的常用帳號,那麼這項二次驗證的功能你應該有啟用!只要將你的手機號碼與 Google 綁定,如果有人嘗試登入你的 Google 帳號,你的手機就會收到由 Google 傳來的簡訊、語音,需要登入必須輸入驗證碼才行。
備用碼
開啟「備用碼」作為二次驗證的方式,Google 會發給你 10 組一次性的號碼,每組由 8 個數字組成,且每組都只能使用一次,用完後可以點選「取得新的備用碼」再次申請。
Authenticator 應用程式
Google Authenticator 應用程式無論你是否可以連上網都能使用!它會提供你的帳戶一組每 30 秒更新一次的 6 碼驗證碼,每次你需要登入帳號的時候就必須打開 Authenticator App 查看驗證碼,並且正確輸入。
需要開啟 Authenticator 應用程式作為你的二次驗證,你必須先下載 Google Authenticator App。
小編幫你們準備好載點啦
iOS 用戶點這 ▶ Authenticator 蘋果 App Store 載點
Android 用戶點這 ▶ Authenticator 安卓 Google Play 載點
下載完後,照著以下步驟操作以配對開啟 Authenticator 應用程式二次驗證:
① 選擇你的手機機型
② 下一步
你會看到畫面中出現一個 QR-Code,這時候就需要你打開剛剛下載好的 Authenticator App,然後繼續後面的步驟
③ 在 Google Authenticator App 中,點選右上角的 + 號
④ 選擇掃描條碼
掃描完後欄位中會自動出現登入你 Google 帳戶需要的驗證碼,這個驗證碼每 30 秒會刷新一次。
⑤ 接著,回到瀏覽器頁面中輸入你的驗證碼
⑥ 選擇驗證後就設定完成囉!
之後每當你需要登入 Google 帳號的時候,你就需要進到 Authenticator App 查看你的即時驗證碼。
安全金鑰
安全金鑰需要購買,你可以向 Google 購買或向其他商家購買,Android 用戶則只要手機搭載 Android 7.0 以上版本的 Android 手機,均有內建安全金鑰,相關的說明可以參考 Google 帳戶說明,裡面有安卓用戶手機內建安全金鑰的使用方式。
而 Google 也有使用安全金鑰登入帳戶的說明
▶ 兩步驟驗證教學:使用安全金鑰登入 Google 帳戶
不需要第二個驗證步驟的裝置
如果有需要,在 Google 安全設定檢查的頁面最下方還有一個「不需要第二個驗證步驟的裝置」的欄位,若選擇「全部撤銷」,所有你曾經信任過的裝置(例如你登入過的私人電腦、公司電腦)下次需要登入時都必須再重新輸入帳號密碼、驗證。
第三方應用程式存取權
這裡可以查看你授權過哪些不是 Google 的應用程式取得你帳戶的資料,例如小編有使用 Slack 這個軟體,就會出現在畫面中,如果覺得不妥就可以點選「移除存取權」,將你的帳戶登出這個第三方應用程式。
