老外讲经验:保护自己不受钓鱼攻击
有点跑题了。会议上比较有趣的发言之一就是德州A&M大学Mario Garcia在圣体节所做的演讲。他讲述关于PwdHash的一些内容。这是由斯坦福大学的几个人开发的有意思的工具。
这个工具的想法是当你访问需要密码的网站的时候,你就先在密码栏输入字母序列-默认为“@@”,然后再在后面输入密码。PwdHash获取该密码,然后把网页的域名添加上去,再打乱这些字母的次序,把这样得到的结果再作为密码发送给要访问的站点。显然,你将得用PwdHash来创建新密码,或者更新旧密码。
在打乱顺序之前加上域名这个措施,能够保护你不受钓鱼攻击。如果你在一个钓鱼网站上输入了自己的PayPal密码,加入的域名就会是错误的域名,那么打乱后输入的密码就跟真正的PayPal密码不一样了。那样的话,钓鱼者就不能用它来危害你的PayPal帐户。严格地讲,这个工具还可以防止密码安全性过低,因为把任何东西打乱顺序后,总会变得比原来的密码相对安全性强些。
也许也有方法攻击这种保护措施。例如,我需要检查它的散列法用的密钥的安全性。但是听起来这个工具好像是安全领域的一大进步,是值得关注的。PwdHash已经有了针对IE和FireFox的版本。