Что необходимо сделать, чтобы вашу учетную запись Google не украли

Корпорация Google опубликовала исследование «Насколько эффективна базовая гигиена учетной записи для предотвращения её кражи» о том, что может сделать владелец учетной записи, чтобы её не украли злоумышленники. Представляем вашему вниманию перевод этого исследования.
Правда самый эффективный способ, который используется в самой Google, в отчет не включили. Пришлось мне самому написать об этом способе в конце.

Каждый день мы защищаем пользователей от сотен тысяч попыток взлома аккаунтов. Большинство атак исходит от автоматических ботов с доступом к сторонним системам взлома паролей, но также присутствуют фишинговые и целевые атаки. Ранее мы рассказывали, как всего пять простых шагов, таких как добавление номера телефона, могут помочь вам обезопасить себя, но теперь мы хотим доказать это на практике.

Фишинговая атака — попытка обмануть пользователя таким образом, чтобы он добровольно передал злоумышленнику информацию, которая будет полезна в процессе взлома. Например, путем копирования интерфейса легального приложения.

Атаки с помощью автоматических ботов — массовые попытки взлома не направленные на конкретных пользователей. Обычно осуществляются с помощью общедоступного программного обеспечения и доступны для использования даже неподготовленным «взломщикам». Злоумышленники ничего не знают об особенностях конкретных пользователей — они просто запускают программу и «ловят» все плохо защищенные ученые записи вокруг.

Целевые атаки — взломы конкретных учетных записей, при которых о каждой учётке и её владельце собирается дополнительная информация, возможны попытки перехвата и анализа трафика, а также применение более сложных инструментов взлома.

(Примечание переводчика)

Мы объединились с исследователями из New York University и University of California, чтобы выяснить, насколько эффективно базовая гигиена учетных записей предотвращает их «угоны».

Годовое исследование о широкомасштабных и целевых атаках было представлено в среду на собрании экспертов, политиков и пользователей под названием The Web Conference.

Наши исследования показывают, что простое добавление номера телефона в вашу учетную запись Google может блокировать до 100% атак от автоматических ботов, 99% массовых фишинговых атак и 66% целевых атак, имевших место в ходе нашего расследования.

Автоматическая проактивная защита Google от «угона» учётной записи

Мы реализуем автоматическую проактивную защиту, чтобы лучше обезопасить всех наших пользователей от взлома аккаунта. Вот как это работает: если мы обнаружим подозрительную попытку входа (например, из нового места или устройства), мы попросим дополнительные доказательства того, что это действительно вы. Этим подтверждением может быть контроль того, что у вас есть доступ к доверенному телефону, или ответ на вопрос, на который только вы знаете правильный ответ.

Если вы вошли в свой телефон или указали номер телефона в параметрах учетной записи, мы можем обеспечить такой же уровень защиты, как и с помощью двухэтапной проверки. Мы обнаружили, что код SMS, отправленный на номер телефона для восстановления, помог заблокировать 100% автоматических ботов, 96% массовых фишинговых атак и 76% целевых атак. А запросы на устройстве с требованием подтвердить операцию, являющиеся более безопасной заменой SMS, помогли предотвратить 100% автоматических ботов, 99% массовых фишинговых атак и 90% целевых атак.

Защита, основанная как на владении определенными устройствами, так и на знании определенных фактов, помогает противостоять автоматическим ботам, а защита, основанная на владении определенными устройствами — для предотвращения фишинга и даже целевых атак.

Если у вас в учетной записи не настроен номер телефона, мы можем прибегнуть к более слабым методам защиты, основанным на знаниях о вас, таким как место вашего последнего входа в учетную запись. Это хорошо работает против ботов, но уровень защиты от фишинга может упасть до 10%, а от целевых атак защита практическ отсутствуют. Это происходит потому, что фишинговые страницы и злоумышленники при целевых атаках могут заставить вас раскрыть любую дополнительную информацию, которую может запросить Google для проверки.

Учитывая преимущества подобной защиты, можно было бы спросить, почему мы не требуем использовать её для каждого входа в систему. Ответ заключается в том, что это создало бы дополнительные сложности для пользователей (особенно для неподготовленных — прим. перев.) и повысило бы риск блокировки учетной записи. В ходе эксперимента выяснилось, что 38% пользователей не имели доступа к своему телефону при входе в учетную запись. Еще 34% пользователей не смогли вспомнить свой дополнительный адрес электронной почты.

Если вы потеряли доступ к своему телефону или не можете выполнить вход, вы всегда можете вернуться к доверенному устройству, с которого вы ранее входили, чтобы получить доступ к своей учетной записи.

Разбираемся в атаках «взломать по найму»

Там, где большинство автоматических средств защиты блокируют большинство ботов и фишинговых атак, более пагубными становятся целевые атаки. В рамках наших постоянных усилий по мониторингу угроз взлома, мы постоянно выявляем новые криминальные группы «взлома по найму», которые просят за взлом одного аккаунта за в среднем 750 долларов США. Эти злоумышленники часто полагаются на фишинговые электронные письма, которые выдают себя за членов семьи, коллег, правительственных чиновников или даже за Google. Если цель не сдается при первой попытке фишинга, последующие атаки продолжаются более месяца.

Пример фишинг-атаки «человек посередине», которая проверяет правильность пароля в режиме реального времени. После этого на фишинговой странице предлагается жертвам ввести коды аутентификации SMS для доступа к учетной записи жертвы.

По нашим оценкам, только один из миллиона пользователей подвергается столь высокому риску. Злоумышленники не нацелены на случайных людей. Хотя исследования показывают, что наша автоматическая защита может помочь задержать и даже предотвратить до 66% целевых атак, которые мы изучали, мы по-прежнему рекомендуем, чтобы пользователи с высоким уровнем риска регистрировались в нашей программе дополнительной защиты. Как было замечено во время нашего расследования, пользователи, которые используют исключительно ключи безопасности (

то есть — двухэтапную аутентификацию с помощью присылаемых пользователям кодов — прим. перев.), стали жертвами целевого фишинга.

Потратьте немного времени, чтобы защитить свой аккаунт

Вы используете ремни безопасности для защиты жизни и здоровья во время поездок на автомобиле. И с помощью наших пяти советов вы сможете обеспечить безопасность своего аккаунта.

Как показывают наши исследования, одна из самых простых вещей, которые вы можете сделать для защиты своей учетной записи Google — это задать номер телефона. Для пользователей с высоким уровнем риска, таких как журналисты, общественные активисты, лидеры бизнеса и команды политических кампаний, наша программа Advanced Protection поможет обеспечить высочайший уровень безопасности. Вы также можете защитить свои учетные записи сторонних сервисов (не Google) от взломов паролей, установив расширение Chrome Password Checkup.

Интересно, что Google не следует тем советам, которые сам же даёт своим пользователям. Google использует аппаратные токены для двухфакторной аутентификации более чем 85 000 своих сотрудников. По сообщениям представителей корпорации с момента начала использования аппаратных токенов не было зафиксировано ни одной кражи учетной записи. Сравните с цифрами, представленными в этом отчете. Таким образом видно, что использование аппаратных токенов для двухфакторной аутентификации единственный надежный способ защиты как учетных записей, так и информации (а в ряде случаев еще и денег).

Для защиты учетных записей Google используются токены, созданные по стандарту FIDO U2F, например такой. А для двухфакторной аутентификации в операционных системах Windows, Linux и MacOS используются криптографические токены.

(Примечание переводчика)

Безопасность аккаунта Google | Сайт с нуля

Неправильно показано местоположение. Мы определяем координаты на основании вашего IP-адреса, так что ваше местоположение может быть указано не совсем точно. Подробнее…

Устройство ошибочно определено как новое. В некоторых случаях вы можете получить оповещение об устройстве, которое ранее уже использовали для входа. Как правило, это происходит, если вы обновили браузер или приложение, удалили файлы cookie либо работали в режиме инкогнито. Если вы недавно изменили пароль аккаунта, вы также можете получить такое оповещение.

Как включить двухэтапную аутентификацию

Двухэтапная аутентификация обеспечивает дополнительную защиту ваших данных. Даже если мошенник украдет ваш пароль, он не сможет войти в аккаунт, поскольку система потребует ввести специальный код. Мы присылаем его на ваш мобильный телефон, поэтому код будете знать только вы.

Как настроить двухэтапную аутентификацию

1. Перейдите на страницу двухэтапной аутентификации. При необходимости войдите в аккаунт Google.
2. Найдите раздел «Двухэтапная аутентификация» справа и нажмите Приступить к настройке.
3. Следуйте инструкциям.

Откроется раздел настроек двухэтапной аутентификации. Проверьте параметры и укажите резервные номера телефонов. При следующем входе в аккаунт вы получите SMS с кодом подтверждения. Вы также можете использовать аппаратный токен.

Примечание. Чтобы при необходимости восстановить доступ к аккаунту (например, если вы забудете пароль), добавьте резервный адрес электронной почты.

Как отключить двухэтапную аутентификацию

Если вы отключите двухэтапную аутентификацию и перестанете получать коды подтверждения, ваш аккаунт станет более уязвивым. Чтобы войти в него, злоумышленнику будет достаточно подобрать пароль.

Как отключить двухэтапную аутентификацию

1. Откройте страницу Мой аккаунт, а затем в разделе «Безопасность и вход» выберите Двухэтапная аутентификация
   . Если потребуется, введите имя пользователя, пароль и код подтверждения.
2. Выберите Отключить двухэтапную аутентификацию.
3. Нажмите ОК в появившемся окне, чтобы подтвердить отключение.

Как аннулировать ненужные пароли приложений

Если вы пользуетесь паролями приложений, то после отключения двухэтапной аутентификации можете столкнуться с ошибками входа. Поэтому мы рекомендуем аннулировать все пароли приложений, следуя приведенной ниже инструкции, и заменить их на обычный пароль аккаунта Google.

1. Откройте страницу Мой аккаунт и войдите в систему.
2. В разделе «Безопасность и вход» нажмите Вход в аккаунт Google.
3. Выберите Пароли приложений и, если потребуется, введите пароль.
4. Нажмите кнопку Закрыть доступ рядом с названием нужного приложения или устройства.

Вам потребуется заново войти в приложения, пароли которых вы аннулировали. Для этого введите имя пользователя и пароль аккаунта Google, как до включения двухэтапной аутентификации. Сделайте это, не дожидаясь оповещения от приложения, поскольку оно может не сразу среагировать на аннулирование пароля.

Кроме того, не забудьте уничтожить все неиспользованные резервные коды.

Как защитить аккаунт Google и Яндекс от взлома

В прошлой статье я рассказывал интересную историю о попытке восстановить взломанный аккаунт Google. Политика конфиденциальности у корпорации слишком жесткая, а значит для восстановления аккаунта придётся попотеть. Чтобы в будущем у вас не возникало проблем со взломами ваших почтовых ящиков любого поисковика или сервиса я расскажу, как защитить аккаунт Google или Яндекса.

Сейчас множество популярных сервисов, подвергаются всевозможным атакам со стороны хакеров. Вы думаете, что взломать почтовый ящик в Google не реально, ведь в аккаунте используется самая лучшая защита? Да, там есть такая защита, правда не все ей пользуются, защитить аккаунт подобным методом можно на большинстве известных сервисов. Так что это за метод такой?

Как защитить аккаунт Gmail

Я столкнулся с проблемой взлома Гугл аккаунта, и потратил много времени на восстановление, после этого в настройках сразу же включил двухэтапную аутентификацию, которая имеет несколько нюансов.

Допустим вы пользуетесь почтой Google или Яндекс, но захотели повысить безопасность аккаунтов. Зайдите, к примеру, на Gmail. Там вы увидите свои письма и прочие параметры.

Нажмите на значок шестерёнки справа и зайдите в «Настройки».

Сразу же перед глазами вы увидите много вкладок, из которых нам нужно рассмотреть только несколько.

Даже если вы восстановили свой аккаунт после взлома, есть вероятность, что хакер сделал вещи, помогающие ему получать письма, даже не используя пароля. Это различные переадресации и перенаправления.

Перейдите на вкладку «Аккаунты и Импорт». Убедитесь, что в поле «Отправлять письма как» нет прочих адресов, кроме вашего. Дальше нажмите на пункт «Изменить параметры восстановления пароля». Вас перекинет на другую страницу.

Там проверяем наличие резервного адреса электронной почты, имена и прочее. Всё это должно быть только ваше.

 

Теперь о двухэтапной идентификации.

Как включить двухэтапную аутентификацию

Вы должны находится в данный момент в своем аккаунте Google в параметрах «Безопасность и вход». Там, где мы только что смотрели резервный адреса почты и прочие данные. Найдите там опцию «Двухэтапная аутентификация» и перейдите туда.

Вам предложат ввести пароль, что вы и должны сделать.

Вы можете настроить защиту двумя способами – чтобы вам на телефон приходил код, который вы будете каждый раз при входе вводить, либо способ с отображение сообщения на экране смартфона с фразами «Да» и «Нет». При входе в аккаунт Google на смартфоне вы увидите сообщение «Пытаетесь войти в аккаунт на другом компьютере?». Если это вы, то жмём ДА.

Как видно на скриншоте я захожу в аккаунт при помощи телефона, без него я войти не смогу.

Дальше необходимо иметь один или два идентифицированных номера телефона. Всё в том же окне вы можете любой добавить.

 

Наконец для более эффективной защиты (на случай взлома) необходимо скачать и надёжно сохранить резервные коды. Их 25 штук и каждый используется только один раз.

В качестве следующего этапа в осуществлении защиты аккаунта можно скачать приложение Authenticator, который будет генерировать для вас различные коды, а вы будете их вводить для входа в аккаунт. Данные коды генерируются даже без использования Интернет-соединения.

Если у вас есть специальный ключ – Токен, вставляемый в USB-порт, то вы можете для входа в аккаунт использовать его.

Если вы заподозрили, что в ваш аккаунт кто-то всё же зашел, вы можете тут же нажать кнопку «Удалить» из раздела «Надёжные устройства», а потом быстро сменить пароль.

Из раздела «Безопасность и вход» вы можете зайти в подраздел «Проверка безопасности» и мониторить там все совершаемые вами действия. Для этого нажимаем кнопку «Приступить».

Там вы увидите параметры, относящиеся к номеру телефону и резервному адресу электронной почты. Если всё нормально, нажимаем Готово.

Дальше смотрим на совершенные вами (или не вами) действия в аккаунте, например, изменен резервный адрес, измен пароль, изменено имя и прочие сообщения. Там указывается город и страна, а также время, когда это действие было сделано. Если ничего подозрительно нет, то нажимаем кнопку «Всё в порядке».

В следующем окошке вы увидите устройства, с которых осуществлялся вход. Это компьютеры с какой-то ОС, смартфоны и планшеты. Также видно устройство, которое используется сейчас.

Меняем настройки Gmail

Снова возвращаемся на почтовый ящик и переходим на вкладку «Фильтры и заблокированные адреса». В данном разделе не должно быть не одного постороннего фильтра. Если что-то есть, срочно удаляем. Как правило, злоумышленник может настроить переадресацию писем на свой ящик, поэтому нельзя этого допускать и после восстановления аккаунта проверить все настройки.

Обязательно проверяем вкладку «Пересылка и POP/IMAP». Здесь всё должно быть выключено. То есть отключаем POP и IMAP. После этого сохраняем изменения.

Конечно, хакер мог поработать не только с почтой, но и на вашем канале YouTube (если есть), на Google диске, Google+ и прочих сервисов. Все их нужно проверять и в случае чего отключать общий доступ.

Как защитить аккаунт Яндекс

Зайдите на свой почтовый ящик Yandex и нажмите на значок шестерёнки справа. После этого перейдите в раздел «Безопасность».

Там нам говорят, что необходимо создавать сложный и длинный пароль. Это вы и так должны были знать. Ниже есть опция «Подтверждение номера телефона», нажмите на неё.

Там должен быть указан ваш подтвержденный номер телефона.

Возвращаемся в раздел безопасности и смотрим другую опцию – «Журнал учета посещений». Очень интересная вещь, где нам показывают кто, вошел на почту и когда, во сколько было прочитано одно сообщение и прочее.

В остальном ничего указывать больше и не надо. К счастью, если ваш ящик вдруг взломали, то восстановить его можно посредством ввода кода, который придет на ваш номер. И не будет никаких танцев с бубном, как у Google.

Дополнительные сведения по защите аккаунтов

• Часто проверяйте компьютер на вирусы с помощью различных средств.
• Не скачивайте вредоносные программы с сомнительных источников.
• Избегайте непопулярных расширений и плагинов для браузеров.
• Если скачиваете какую-то программу, которая использует интернет, прочитайте о ней отзывы, а также проверьте антивирусом.
• Используйте только известные браузеры, типа Google Chrome, Opera, Firefox или Edge. О такого ПО, как Amigo, лучше воздержаться.
• В почтовых аккаунтах и других сервисов старайтесь использовать двухэтапную аутентификацию.

Ну на этом вроде бы всё, теперь вы можете не париться насчёт безопасности аккаунта Google или Яндекса. Тоже самое относится и к прочим сервисам. Например, в социальных сетях тоже можно активировать двухэтапную аутентификацию, поэтому этим лучше не пренебрегать, если вам ценны ваши личные данные.

Google Accounts — функционал безопасности ⋆ Lifeservice

Google Accounts — одна учетная запись, которая дает доступ ко множеству сервисов и сайтов. Аккаунт есть у большинства пользователей мобильных устройств. GooglePlay для пользователей андроид с огромным количеством приложений, игр, музыки, фильмов, книг , но без регистрации вряд ли у вас получится воспользоваться этим богатством. Есть еще облако GoogleDrive, где бесплатно 15гб для хранения файлов, существует синхронизация между вашими девайсами, документы, таблицы, презентации, совместное редактирование. Не могу не упомянуть о лучшей и функциональной почте в мире (мое мнение) — Gmail, не очень популярный в нашей стране Google+, а украшает и делает этот инструментарий удобным браузер Chrome с его незаменимой синхронизацией нашей деятельности в сети и великого блага- иметь один браузер сразу на всех устройствах. Интернет-магазин chromestore со множеством  приложений и расширений, которые повышают продуктивность и делают удобной повседневность с авторизацией в Google Accounts, предлагает больше возможностей. О своих предпочтениях я писал тут. Все настройки и манипуляции можно произвести на этой странице. Пожалуй, это тот пункт в настройках, которому стоит уделить особое внимание!

Можно долго рассказывать о функционале, к которому дает доступ всего одна учетная запись Google,  и каждая из них заслуживает отдельного разговора, впрочем, изучение и практическое использование продолжается ежедневно. Столь широкие возможности подразумевают не менее строгие правила безопасности, и соблюдение их обусловлено чувством самосохранения и здравым смыслом, в цифровом мире по-другому нельзя.

Аккаунт Google — безопасность и правила

• Безопасный пароль от 8 символов в разных регистрах (большие и маленькие), желательно использовать (*:?&#@!%…). Самые недоверчивые могут использовать подтверждение по СМС, но это не всегда удобно, и есть вероятность, что останетесь без доступа потеряв телефон, либо находясь в роуминге. Важно время от времени менять пароль — ротация и активный номер мобильного привязанный к учетной записи необходимы!
• Узнать какие устройства подключены, с какого места и когда было последнее подключение можно здесь — при необходимости запретить доступ неактивным. В особенности если в профайле висит аппарат, который был продан, подарен, к которому нет доступа.
• Приложения и сайты, которые имеют доступ к аккаунту google, просмотреть и отредактировать можно перейдя по ссылке. Если авторизация на сайте не нужна, либо вы им уже давно не пользовались, можете смело ее удалить.

Подводя итог: при обнаружении какой либо подозрительной активности  не лишним будет поменять пароль, выйти из всех устройств и помнить, что никто не может гарантировать абсолютной безопасности, всё, что вы выкладываете в сеть — это ваше решение и ответственность.

---

comments powered by HyperComments