老外講經驗：保護自己不受釣魚攻擊

最近我參加了阿拉斯加費爾班克斯大學發表中心舉辦的一個為期1天半的會議。由於該學校保管不當，黑客通過它得到了我的個人信息。諷刺的是，會議的舉辦者卻獲得國家安全部授予的獎勵。

有點跑題了。會議上比較有趣的發言之一就是德州A&M大學Mario Garcia在聖體節所做的演講。他講述關於PwdHash的一些內容。這是由斯坦福大學的幾個人開發的有意思的工具。

這個工具的想法是當你訪問需要密碼的網站的時候，你就先在密碼欄輸入字母序列－默認為“”，然後再在後面輸入密碼。PwdHash獲取該密碼，5自學網，然後把網頁的域名添加上去，再打亂這些字母的次序，5自學網，把這樣得到的結果再作為密碼發送給要訪問的站點。顯然，你將得用PwdHash來創建新密碼，或者更新舊密碼。

在打亂順序之前加上域名這個措施，能夠保護你不受釣魚攻擊。如果你在一個釣魚網站上輸入了自己的PayPal密碼，加入的域名就會是錯誤的域名，那麼打亂後輸入的密碼就跟真正的PayPal密碼不一樣了。那樣的話，釣魚者就不能用它來危害你的PayPal帳戶。嚴格地講，這個工具還可以防止密碼安全性過低，因為把任何東西打亂順序後，總會變得比原來的密碼相對安全性強些。

也許也有方法攻擊這種保護措施。例如，我需要檢查它的散列法用的密鑰的安全性。但是聽起來這個工具好像是安全領域的一大進步，是值得關注的。PwdHash已經有了針對IE和FireFox的版本。