Google on kertonut tutkimuksestaan, jossa se kartoitti yhdessä New Yorkin ja Kalifornian San Diegon yliopistojen kanssa tarjoamiensa Google-tilien suojauskeinojen tepsivyyttä.
Googlen mukaan se suojaa käyttäjiä päivittäin sadoilta tuhansilta tilien kaappausyrityksiltä. Suurin osa näistä hyökkäyksistä on automatisoitujen bottien yrityksiä hyödyntäen esimerkiksi muista palveluista vuotaneita salasanoja mutta joukossa on myös tietojenkalastelua hyödyntäviä sekä kohdistettuja hyökkäyksiä.
Vuoden mittaisessa tutkimuksessaan Google havaitsi, että ainoastaan lisäämällä tilin palauttamiseen käytetyn puhelinnumeron Google-tilille esti se jopa 100 prosenttia automatisoitujen bottien yrityksistä murtautua tilille, 99 prosenttia kalasteluhyökkäyksistä sekä 66 prosenttia kohdistetuista hyökkäyksistä tutkimusjakson aikana.
Palautuspuhelinnumeron lisäämisessä ei ole kyse edes varsinaisesta kaksivaiheisesta tunnistautumisesta, jonka käyttöönotto toki on myös suositeltavaa.
Havaitessaan epäilyttävän kirjautumisyrityksen kysyy Google lisätietoja varmistaakseen kirjautumisen aitouden. Googlen mukaan palautuspuhelinnumeroon lähetetty SMS-tekstiviesti esti 100 prosenttia automatisoiduista bottihyökkäyksistä, 96 prosenttia hyökkäyksistä tietojenkalastelulla sekä 76 prosenttia kohdistetuista hyökkäyksistä. Turvallisempi Google-kehote, eli kehotus vahvistaa kirjautuminen puhelimeen asennetun Google-sovelluksen kautta, esti samoin 100 prosenttia bottihyökkäyksistä mutta vielä korkeammat 99 prosenttia hyökkäyksistä tietojenkalastelulla sekä 90 prosenttia myös kohdistetuista hyökkäyksistä.
Jos puhelinnumeroa ei ole liitetty Google-tiliin, Google pyrkii käyttämään kirjautumisen vahvistamiseen muita tietoja, kuten kysymystä viimeisimmästä sisäänkirjautumisen sijainnista.
Vaikka Google kertoo sen tilin suojaamiseksi kirjautumisen yhteydessä kysyttävien tietojen edellä mainitulla tavalla estävän tehokkaasti murtautumisyrityksiä käyttäjätileille, ei Google kuitenkaan esitä kysymyksiä kaikkien kirjautumisten yhteydessä – vaan ainoastaan silloin, kun kirjautumisessa on epäilyttäviä piirteitä. Syynä tähän on, että yllättävän monet käyttäjät eivät osaa vastata kysymyksiin oikein edes omalta kohdaltaan. Googlen kokeilussa 38 prosentilla käyttäjistä ei ollut pääsyä puhelimeensa ja 34 prosenttia ei muistanut tilille liittämäänsä palautussähköpostiosoitetta.