Eigenaren van een Google-account die een hersteltelefoonnummer toevoegen lopen een veel kleinere kans dat hun account wordt gekaapt, zo stelt Google aan de hand van onderzoek dat het met onderzoekers van de universiteiten van New York en San Diego uitvoerde.
Elke dag worden er honderdduizenden aanvallen tegen Google-gebruikers uitgevoerd. De meeste van deze aanvallen zijn afkomstig van bots die met wachtwoorden die bij andere websites zijn gestolen op een Google-account proberen in te loggen. Het andere deel van de aanvallen betreft algemene phishingaanvallen en gerichte aanvallen.
Door het toevoegen van een hersteltelefoonnummer aan het Google-account kunnen 100 procent van de aanvallen door bots, 99 procent van de "bulk" phishingaanvallen en 66 procent van de gerichte aanvallen worden gestopt, aldus Kurt Thoms van Google in een blogpost.
Zodra Google ziet dat een gebruiker vanaf een onbekende locatie of een nieuw apparaat inlogt vraagt het om aanvullende informatie. Het kan dan gaan om een herstelmailadres, telefoonnummer of laatste locatie waarvandaan is ingelogd. Wanneer de telefoon van de gebruiker als controle wordt gebruikt, blijkt dit veel meer bescherming te bieden.
Een sms-code die naar een hersteltelefoonnummer wordt gestuurd blokkeert namelijk 100 procent van de geautomatiseerde bots, 96 procent van de algemene phishingaanvallen en 76 procent van de gerichte aanvallen. Prompts op de telefoon waarmee de gebruiker een inlogpoging kan bevestigen, wat volgens Google een veiliger alternatief voor sms is, blokkeert zelfs 90 procent van de gerichte aanvallen.
Ondanks de beveiligingsvoordelen wil Google een hersteltelefoonnummer of e-mailadres niet voor gebruikers verplichten. Dit vergroot het risico dat men geen toegang tot het eigen account kan krijgen. Tijdens een experiment bleek 38 procent geen toegang tot hun telefoon te hebben op het moment dat Google de extra controle uitvoerde. 34 procent wist niet meer welk herstelmailadres ze hadden ingesteld. Wanneer gebruikers geen toegang tot hun telefoon hebben of de extra controle niet kunnen bevestigen, kunnen ze altijd vanaf een eerder gebruikt apparaat inloggen en zo toegang tot hun account krijgen, besluit Thoms.
Deze posting is gelocked. Reageren is niet meer mogelijk.