老外讲经验：保护自己不受钓鱼攻击

最近我参加了阿拉斯加费尔班克斯大学发表中心举办的一个为期1天半的会议。由于该学校保管不当，黑客通过它得到了我的个人信息。讽刺的是，会议的举办者却获得国家安全部授予的奖励。

有点跑题了。会议上比较有趣的发言之一就是德州A&M大学Mario Garcia在圣体节所做的演讲。他讲述关于PwdHash的一些内容。这是由斯坦福大学的几个人开发的有意思的工具。

这个工具的想法是当你访问需要密码的网站的时候，你就先在密码栏输入字母序列－默认为“@@”，然后再在后面输入密码。PwdHash获取该密码，然后把网页的域名添加上去，再打乱这些字母的次序，把这样得到的结果再作为密码发送给要访问的站点。显然，你将得用PwdHash来创建新密码，或者更新旧密码。

在打乱顺序之前加上域名这个措施，能够保护你不受钓鱼攻击。如果你在一个钓鱼网站上输入了自己的PayPal密码，加入的域名就会是错误的域名，那么打乱后输入的密码就跟真正的PayPal密码不一样了。那样的话，钓鱼者就不能用它来危害你的PayPal帐户。严格地讲，这个工具还可以防止密码安全性过低，因为把任何东西打乱顺序后，总会变得比原来的密码相对安全性强些。

也许也有方法攻击这种保护措施。例如，我需要检查它的散列法用的密钥的安全性。但是听起来这个工具好像是安全领域的一大进步，是值得关注的。PwdHash已经有了针对IE和FireFox的版本。

(t116)

===========================

原文链接：http://www.sqljunkies.com/WebLog/donkiely/archive/2006/09/13/23462.aspx

原文作者：Don Kiely

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有