Google ​如何​保護​個人​資料​安全

Pietraszek ​先生，​你​的​團隊​負責​保護​使用者​的​帳戶​安全，​請問​你們​如何​防止​駭客​盜用​帳戶？

使用​者​帳戶​安全性​首席​軟體​工程​師​ Tadek Pietraszek：​首先，​重點​在​於​我們​能​偵測到​初步​攻擊。​我們​會用​超過​一百​個​變數，​找出​可​疑​活動。​假設​你​住德國，​又​幾乎​不​出國，​如果​有​人​嘗試​從​其他​國家​/​地區​存取你​的​帳戶，​就會​觸發​警示。

Google​ 隱​私權​與​安全性團隊​工程​總監 ​Stephan Micklitz：​所以​我們​有​時​會​請​使用​者​確認​先​前​提供​的​電話​號碼，​或確認​只有​帳​戶​持​有​人才​會​知道​的​其他​資訊。

對​ Tadek Pietrasze​k ​(左)​ 來​說，​網路​釣魚是​最​大​的​網路​安全​威脅​之​一。

這​類​攻擊​的​發生​頻率​有​多​高？

Pietraszek：​每​天​都會​發動數​十萬​起​網路​攻擊。​最​大​問題​在​於，​網路​上​有​無數​份​從​遭駭網站​流出​的​使用​者​名稱​和​密碼​清單。​許多​人​都​為​不同​帳戶​設定​相同​密碼，​因此​這些​清單​也​列​了​ Google ​帳戶​的​登入​資料。

這些​清單​是​不​是​造成​嚴重​的​安全​威脅？

Pietraszek：​絕對​是。​另外，​典型​的​網路​釣魚​攻擊​也​是​嚴重​威脅，​幾乎​每​個​人​都​收過​詐騙​電子​郵件，​想竊​取你​的​帳戶​密碼。​當然，​我們​會​盡​可能​阻止。​假如​系統​判定​寄到​ Gmail ​收​件​匣​的​電子​郵件​很​可疑，​就會​標示​警告。​你​可以​仔細​檢查​信​中​的​內容，​也​可以​讓​系統​自動​篩除​郵件。​如果​你​要​造訪​已​知​的​釣魚​網站，​Chrome ​瀏覽器​也​會​傳送​警示​訊息。

Micklitz：​網路​釣魚手法​大致​分成​兩​種。​第一​種​方法​是​傳送​大量​電子​郵件，​盡量​收集登入​資料。​第二​種​是​「魚叉式​網路​釣魚」，​會​攻擊​特定​的​使用​者​帳戶。​這些​攻擊​可能​經過​數​個​月​的​縝密​籌備，​罪犯會​仔細​觀察​受害者​的​日常​生活，​然後​發動​精準​的​針對​性​攻擊。

「假如​系統​判定​寄到​ Gmail ​收​件​匣​的​電子​郵件​很​可疑，​就會​標示​警告。​」

Tadek Pietraszek

Google ​如何​協助​防範​這​類​攻擊？

Pietraszek：​一​個​例子​是兩​步​驟驗​證機制。​許多​人​對​這​類​機制​並​不​陌生，​因為​網路​銀行​帳戶​也​採用​同樣​的​機制，​例如，​你要​轉帳​時，​銀行​可能​要求​你​輸​入​密碼​和​簡訊驗​證碼。​Google ​在​ 2​00​9 年​就​推出​雙重驗​證​功​能，​比大​多數​主要​電子​郵件​服務​供​應商​都​來​得早。​此外，​如果​ Google ​使用者​已​註冊手機​號碼，​就會​自動享​有​類似​的​防護​措施，​阻止​可疑​的​登入​嘗試行為。

Micklitz：​雙重驗​證功能​是​個​好​方法，​不過​簡訊驗​證碼​也​可能​會​遭​人​攔截。​例如，​罪犯​可能​會​聯絡你​的​行動​電信​業者，​試圖​申請​第二​張 S​I​M​ 卡。​因此，​使用​藍牙​接​收器​或​ U​SB 金鑰​等​實體​安全​權杖，​驗證會​更​安全。

Pietraszek：​我們​的​進階​保護​計畫​就​有​用到。

進階​保護​計畫​在​做什麼？

Pietraszek：​Google ​在​ 2​01​7​ 年​推出​這​個​計畫，​保護​那些​帳戶​較​容易​遭​入侵​的​使用​者，​例如​新聞​記者、​執行長​等​企業​高層、​政治​異議​人士​和​政治​人物。

Micklitz：​我們​除了​要求​使用​實體​安全​金鑰，​使用​者​遺失金鑰​時，​也​必須​完成額​外身​分驗​證​步驟，​限制​第三方​應​用​程式​存取​資料。

工程​總監 ​Stephan Micklitz ​負責 Google ​的​全球​隱​私權​與​安全性​業務。​他​於​慕尼黑​工業​大學​ ​(Technical University of Munich)​ ​攻讀​電腦​科學，​並​從​ 200​7​ 年​下​半​年​起於​ Google​ 慕尼​黑辦公室​服務。

能​否分​享​重大​網路​攻擊​的​案例，​你們​又​如何​因應？

Pietraszek：​20​1​7​ 年​上​半​年​就​有​發生​這​類​攻擊​事件。​當時​駭客​開發惡​意程式​盜用​ Google ​帳戶，​然​後​寄​送假​電子​郵件​給​受害者​的​聯絡​人，​要求​對方​將​存取​權​授予​偽造​的​ Google ​文件。​如果​收件​者​按​指示​操作，​就會​在​不知情​的​情況​下​授權​給​惡意​軟體，​這些​惡意​軟體​就​能​自動​將​同樣​的​假電子​郵件​寄​送給​他們​的​聯絡​人，​於​是​病毒​就​快速散播​出去。​我們​已​制定​這​類​情況​的​應變​計畫。

Micklitz：​以​這​個​情況​為​例，​我們​阻止​這​類​電子​郵件​透過​ Gmail ​散布，​撤銷​已​授予​惡意​程式​的​存取權，​保護​帳戶​的​安全。​當然，​我們​也​加入​系統性​保護​機制，​讓​這​類​攻擊​更難​發動。​Google ​帳戶​經常​受​攻擊，​而​我們​的​自動化​系統​可​提供​最​有效​的​安全​防護。​當然，​這些​機制​能否發揮​作用，​取決於​我們​是否​能​透過​ Google ​帳戶​以外​的​方式​與​使用​者​取得​聯繫，​例如​第二​個​電子​郵件​地址​或​手機​號碼。

「實際​上，​使用​者​通常​只要​遵守​幾​個​基本​原則​就​夠​了。​」

Stephan Micklitz

對​一般​使用​者​來​說，​安全性​有​多​重要？

Pietraszek：​許多​人​都​很​重視​安全性，​但​對​他們​來​說，​要​採取​必要​的​安全​防範​措施​可能​很​乏味，​這​就是​為​什麼​大家​會​對​不同​帳​戶​重複​使用​相同​的​密碼，​但​沒想到​這​做法​很​糟糕。​我們​的​工作​就是​向​大家​說明​如​何用​最​不​費力​的​方式​保護​帳戶，​因此​ Google 帳戶​提供安全​檢查功能，​使用​者​可輕鬆​檢查​自己​帳戶​的​設定。

Micklitz：​實際​上，​使用​者​通常​只要​遵守​幾​個​基本​原則​就​夠​了。

有​哪些​原則？

Micklitz：​不要​在​多​項​服務​中​重複​使用​相同​密碼、​避免​安裝​可​疑​軟體，​而且​應​安裝​安全性​更​新，​還​要​提供​電話​號碼​或​備用​電子​郵件​地址，​做為​備用​聯絡​方式。​另外要​啟用​手機​的​螢幕​鎖定​功能，​未​經​授權​的​人​就​更​不可能​使用​你​的​手機。​大家​可​從​這些​基本​步驟​開始​做​起

。

相片：​Conny Mirbach