卡耐基-梅隆大学的一名教授和两名学生开发了一种软件,这个软件意在通过捆绑移动设备来防止 Web 用户进入钓鱼网站。
据该大学官员说,这种被称作“Phoolproof 钓鱼预防”系统的软件通过使用第三方认证器(即移动电话或PDA)在用户浏览器和网站间建立起牢靠的认证机制。
其原理是防止 Web 用户登录到佯装成金融机构或零售店的欺诈性网站并向其提供敏感信息或金融资料。
对于用户指定的每个在线账号,系统利用 SSL 存储一个密匙到移动设备上。当用户希望访问其中某个网站时,他或她在移动设备浏览器中选择收藏的安全网站,随后在用户的 PC上就会启动一个浏览器窗口。PC 会收到网站的证书并将其转发给移动设备,接着由移动设备对其进行验证后再与用户的证书一起发送出去。
随后,用户通过 PC 浏览器用用户名和密码登录到网站上。 网站的服务器对用户的用户名、密码和证书进行验证,然后授予用户访问网站的权限。
系统研究者称之为将移动设备变成“安全的电子钥匙圈”,并且即使设备出现问题,Web 账号仍然不能访问,因为除了证书外,还需要正确的登录用户名和密码。
研究者开发的原型系统目前已投入使用,他们希望尽快开发出更完善的系统。
网友评论