Google ​如何​保護​資料​安全

Pietraszek ​先生，​您​和​您​的​團隊​負責​保障​使用​者​帳戶​安全，​您們​是​怎樣​防止​駭客​存取​帳戶​的​？

使用​者​帳戶​安全​首席​軟件​工程師​ Tadek Pietraszek：​首先，​我們​必須​能夠​偵測初步​攻擊。​我們​利用​超過​一百​個​變​項​來識別​可疑​活動。​假​設​您​居於​德國，​很少​到​外地​旅遊，​當有​人嘗試​從​另​一​個​國家​/​地區​存取您​的​帳戶​時，​便會​觸​發​警告。

Google ​私隱​及​安全​團隊​工程​總監 ​Stephan Micklitz：​因此​我們​有​時會​要求​使用​者​確認​所​提供​的​電話​號碼，​又​或​者​只有​帳​戶​持​有​人​才​知道​的​其他​資料。

對​ Tadek Pietrasze​k ​(左)​ ​而言，​網上​仿冒​是​其中​一​個​最​大​的​網上​安全​威脅。

這​類​攻擊​有​多​頻繁？

Pietraszek：​每​天​都​有數​以​十萬計​的​網絡​攻擊​發生。​我們​面對​的​一​個​最​大​問題，​是​網絡​上​充斥​著​從​被​入​侵網站​盜用​的​無數​使用​者​名稱​和​密碼​清單。​部分​使用​者​可能​會​為​多​個​不同​帳戶​設定​同​一​密碼，​因此​這些​清單​也​會​包含​ Google ​帳戶​登入​資料。

這些​清單​是否​最​大​的​安全​威脅？

Pietraszek：​絕對​是。​來自​這些​清單​和​傳統​仿冒​詐騙​攻擊。​幾乎​每​個​人​都​曾​經收到​過犯罪​者​嘗試套​取​帳​戶​密碼​的​電郵。​我們​當然會​做好​本份，​確保​他們​無法​得逞。​假如​我們​認為​傳送​至​您 ​Gmail ​收​件​箱​的​電郵​有​可疑，​便會​以​警告​標示，​讓​您​可以​小心​查​看，​我們​也​可以​自動​過濾​問題​郵件。​我們​的​ Chrome ​瀏覽器​也​會​在​您嘗​試​瀏覽​已​知​的​仿冒​詐騙​網站時​發出​警示。

Micklitz：​仿冒​詐騙​基本​上​可以​分為​兩​種。​一​種​是​大規模​電郵，​詐騙​者會​希望​盡量​收集​最多​的​登入​資料；​而​另​一​種​就​稱為​「魚叉式​仿冒​詐騙」，​專門​針對​特定​目標​對象​的​帳戶。​這​可能​是​持續​數​個​月​的​複雜​佈局，​詐騙​者會​仔細​審視​受害人​的​生活，​然後​發動​針對性​的​攻擊。

「如果​我們​認為​傳送​至​您 ​Gmail ​收​件​箱​的​電郵​有​可疑，​便會​以​警告​標示。​」

Tadek Pietraszek

Google ​如何​協助​使用​者​防止​此​類​攻擊​得​逞？

Pietraszek：​其中​一​個​例子​是​我們​的 兩​步驗證​系統。​很多​使用​者​在​使用​網上​銀行​帳戶​時，​都​很​習慣​使用​這​類​系統。​舉例來​說，​如果​您想​要​轉帳，​便​可能​需要​同時​輸入​密碼​和​透過​短訊​收到​的​驗證碼。​Google ​在​ 2​00​9​ 年​推出​雙重​認證，​比​其他​主要​電郵​供​應商​都​早得多。​此外，​Google​ 用戶​如果​已​登記手機​號碼，​就​可​自動​享用​類似​程度​的​保障，​以​防止​可疑​人士​嘗試​登入。

Micklitz：​雙重​認證​是​個​很​好​的​方法，​但​即使​是​短訊驗​證碼，​亦​有​可能​被​他​人​截取。​舉例來​說，​不法​份子​可能​會​聯絡您​的​流動​服務​供​應商，​並​嘗試​獲​取​另​一​張 S​I​M​ 卡。​因此​使用​藍牙​傳送器​或​ U​S​B 記憶棒​等​實體​安全​憑證來​進行​驗證，​就會​更​加​安全。

Pietraszek：​我們​在​ 進階​保護​計劃​也​有​使用​這​種​安全​憑證。

這​是​什麼​計劃？

Pietraszek：​「進階​保護​計劃」​由​ Google 於​ 2​01​7​ 年​推出，​主要​服務​對象為​有​較​大​可能​被​駭​客​入侵​的​使用​者，​例如​記者、​行政​總裁、​異見​人士，​以及​政治​人物。

Micklitz：​除了​實體​安全​密​鑰外，​如果​使用​者​遺失​密鑰，​便​必須​採取額​外步​驟​來​驗​證​身分，​從​而​限制​第三方​應​用​程式​的​資料​存​取權。

工程​總監 ​Stephan Micklitz ​負責 Google ​的​全球​私隱​和​安全​事務。​他​曾​在​慕尼黑​工業​大學​修讀​電腦​科學，​並​由​ 200​7 年​末​開始​在​ Google ​的​慕尼​黑辦公室​工作。

您​可以​和​我們​分享​遇過​的​重大​網絡​攻擊​和​應​對​方法​嗎？

Pietraszek：​20​1​7 年初​曾​發生​過​一​次​攻擊。​有​駭客​製作​了​一​個​惡意​程式，​可​存取​受害人​的​ Google ​帳戶​並​向​使用者​的​聯絡​人​傳送​假冒​電郵。​這些​電郵會​要求​收件​者​向​假冒​的​ Google ​文件​授予​存​取權。​如果​收件​者​照做，​便會​誤​將​存取​權​授予​惡意​軟件，​更會​自動​向​自己​的​聯絡​人​傳送​相同​的​假冒​電郵。​這​個​病毒​快速​傳播。​我們​已​為​這​種​情況​制定​好​應​急​方案。

Micklitz：​以​這​個​個案​為​例，​我們​在​ Gmail ​封鎖​了​這些​電郵，​撤銷​了​程式​的​存取​權​以​保護​帳戶。​我們​當然​亦​新增了​系統​保護​措施，​以​免日​後​受到​同類​攻擊。​Google ​帳戶​不時​受到​攻擊，​而​我們​的​自動​系統​能夠​提供​最​有效​的​保護​措施。​當然，​保護​措施​的​成效​取​決於​我們​能​否透過​ Google ​帳戶​以外​的​方式​聯絡​使用​者，​例如​第二​個​電郵​地址​或​手機​號碼。

「其實，​只需​遵守​一些​基本​規則​就​通常​足夠​了。​」

Stephan Micklitz

一般​使用​者​認為​安全​保障​有​多​重要？

Pietraszek：​很多​人​都​認為​安全​保障​非常​重要，​但​實際​作出​安全​措施​就​可能​十​分​繁瑣。​這​解​釋​了​為​什麼​使用​者會​在​不同​的​帳戶​使用​同一​組​密碼，​而​這​是​他們​所​犯​的​最​大​錯誤。​我們​的​工作​就是​向​他們​解釋​怎樣​以​最​簡單​的​方式​保護​自己​的​帳戶。​正因​如此，​我們​為​ Google 帳戶​提供​了 安全​檢查 功能，​讓​他們​輕鬆​檢查​自己​的​設定。

Micklitz：​其實，​只需​遵守​一些​基本​規則​就​通常​足夠​了。

這些​規則​是​什麼？

Micklitz：​避免​在​多​個​服務​上​使用​同一​組​密碼、​安裝​安全性​更新，​同時​避免​下載​可疑​軟件。​提供​手機​號碼​或​備用​電郵​地址，​讓​系統​可以​透過​其他​方法​聯絡您。​同時​要​啟用​手機​的​螢幕​鎖定​功能，​以​免​未​經授權​的​人能​輕易​存取​手機​資料。​能​做到​這​幾​步​已經​很​不錯​了。

.

攝影：​Conny Mirbach