Google：帳號中新增備援電話號碼可有效預防遭駭客挾持

當Google察覺到用戶帳號有可疑的登入行動（例如從其它裝置或其它地方登入）時，就會要求用戶提供額外的身分證明，倘若用戶在帳號中填寫了備援電話 ... 移至主內容 文/陳曉莉 | 2019-05-20發表 圖片來源: Google Google每天都要封鎖數十萬次企圖挾持用戶帳號的攻擊行動，也在今年2月提出五大建議以保障使用者的帳號安全，而Google的研究顯示，光是在帳號中新增備援電話號碼，就能百分之百地杜絕自動攻擊，也能防止99%的大量網釣攻擊，目標式攻擊的防禦能力亦達到66%。

駭客入侵Google用戶帳號的管道大致包括了自動攻擊、大量網釣攻擊、一般目標式攻擊與先進目標式攻擊。

其中的自動攻擊是利用其它服務外洩的帳號憑證來登入Google，目標式攻擊與先進目標式攻擊的差異，則在於後者通常更有針對性，而且是聘請專業駭客展開攻擊，取得單個帳號憑證的成本高達750美元，估計只有百萬之一的用戶可能面臨先進式目標攻擊。

當Google察覺到用戶帳號有可疑的登入行動（例如從其它裝置或其它地方登入）時，就會要求用戶提供額外的身分證明，倘若用戶在帳號中填寫了備援電話號碼，那麼Google就能藉由傳送簡訊認證碼或直接在裝置上顯示提示來確認用戶身分。

假設用戶沒有提供備援電話號碼，僅仰賴第二個電子郵件位址或最後一個登入地點來驗證身分，那麼前者成功防範自動攻擊的比例為73%、預防網釣攻擊的比例為68%，預防目標攻擊的比例為79%，後者雖可100%預防自動攻擊，但預防網釣攻擊的能力只有10%。

反之，倘若用戶填入了備援電話，透過裝置提示則可防範100%的自動攻擊、99%的網釣攻擊，以及90%的目標式攻擊；藉由簡訊認證碼可防範100%的自動攻擊、96%的網釣攻擊，以及76%的目標式攻擊；要是遇到非常專業的進階目標式攻擊，啟用備援電話依然可阻擋66%的攻擊行動。

填入備援電話只是保護Google帳號的五大建議之一，其它建議還包括採用獨立的密碼、定期更新系統、設定雙因素身分認證，以及經常進行帳號的安全檢查。

對一般使用者而言，採用備援電話號碼比起雙因素身分認證要來得方便，因為前者只有在發現可疑行動時才會啟動安全程序，但後者則是在每次登入時都必須進行雙重認證，至於另一項比備援電話還要安全的帳號保護措施則是實體安全金鑰，它能夠百分之百的杜絕自動攻擊、網釣攻擊與目標式攻擊，Google即建議那些自覺很容易受到進階式目標攻擊的用戶，考慮採用安全金鑰。

iThomeSecurity 熱門新聞 Windows可能將改為3年1次大改版，但1年最多4次功能更新 2022-07-15 臺灣企業資安投資抵稅正式上路，最新投資抵減辦法7月公布 2022-07-11 聯想筆電再爆UEFI韌體漏洞，70餘機種受影響 2022-07-14 經濟前景不明，微軟傳裁員、Google也警告聘僱放緩 2022-07-13 WindowsAutopatch正式上線了 2022-07-12 悠遊卡終於將提供跨境消費，年底前可望在日本沖繩使用 2022-07-12 微軟仍決定預設封鎖Office中的VBA巨集 2022-07-12 微軟揭露鎖定Office365用戶且可繞過多因素認證的大規模網釣活動 2022-07-13 Advertisement iThomeSecurity 專題報導 千億營收電商的SRE之旅 摩根大通2022科技新戰略 紅帽邊緣運算新戰略 【法律科技大創新】用區塊鏈貫穿司法流程，打造被民眾信任的司法聯盟鏈 【不讓x86架構專美於前，憑低功耗與更多核心獲寵】Arm走入公有雲世界 更多專題報導