最近我參加了阿拉斯加費爾班克斯大學發表中心舉辦的一個為期1天半的會議。由於該學校保管不當,黑客通過它得到了我的個人信息。諷刺的是,會議的舉辦者卻獲得國家安全部授予的獎勵。
有點跑題了。會議上比較有趣的發言之一就是德州A&M大學Mario Garcia在聖體節所做的演講。他講述關於PwdHash的一些內容。這是由斯坦福大學的幾個人開發的有意思的工具。
這個工具的想法是當你訪問需要密碼的網站的時候,你就先在密碼欄輸入字母序列-默認為“”,然後再在後面輸入密碼。PwdHash獲取該密碼,5自學網,然後把網頁的域名添加上去,再打亂這些字母的次序,5自學網,把這樣得到的結果再作為密碼發送給要訪問的站點。顯然,你將得用PwdHash來創建新密碼,或者更新舊密碼。
在打亂順序之前加上域名這個措施,能夠保護你不受釣魚攻擊。如果你在一個釣魚網站上輸入了自己的PayPal密碼,加入的域名就會是錯誤的域名,那麼打亂後輸入的密碼就跟真正的PayPal密碼不一樣了。那樣的話,釣魚者就不能用它來危害你的PayPal帳戶。嚴格地講,這個工具還可以防止密碼安全性過低,因為把任何東西打亂順序後,總會變得比原來的密碼相對安全性強些。
也許也有方法攻擊這種保護措施。例如,我需要檢查它的散列法用的密鑰的安全性。但是聽起來這個工具好像是安全領域的一大進步,是值得關注的。PwdHash已經有了針對IE和FireFox的版本。