基于SSL/TLS的钓鱼防范方案
超级会员免费看
万无一失的网络钓鱼防范方案
1. 常见威胁及应对策略
在网络安全领域,网络钓鱼攻击是一个严重的问题,下面我们来看看常见的威胁以及相应的防范策略。
- 账户创建认证问题 :账户创建时面临认证难题,需确保创建账户的人与提交的用户信息一致。可让用户在可信商家处亲自创建账户来降低风险。比如,银行可以要求用户到线下网点办理开户手续,当面核实身份信息。
- 密钥对被撤销与账户劫持 :狡猾的钓鱼者可能撤销用户的密钥对,在用户重新创建时劫持账户。但这并非严重威胁,因为钓鱼者通常针对大量人群且成功率低,大规模操作易引起注意,如银行会察觉大量客户突然需要新密钥对。此外,钓鱼者在现实世界资源有限,通过邮政邮件发送密钥重建信息或要求用户亲自验证身份,可大大降低攻击效果。
- 可信设备被盗 :用户的手机或 PDA 存储着所有账户的加密密钥,设备被盗存在风险。攻击者盗走设备后,还需获取用户密码才能危及账户,这足以吓退普通攻击者。不过,可增加安全层,如手机要求用户输入 PIN 码或使用生物识别技术授权密钥使用,安全意识较高的用户可考虑使用防篡改存储模块减少密钥泄露风险。
- 可信设备上的恶意软件 :随着手机和网络 PDA 功能增强,移动设备上的恶意软件问题日益严重,尤其是用于保护金融账户时。众多厂商已发布移动设备反恶意软件,但可能需更多高调攻击事件,此类软件才会像在电脑上一样普及。为增强安全,可利用未来手机架构可能具备的可信平台模块(TPM),将密钥存储在其可信存储设施中。若无额外安全硬件,可使用软件认证技术验证设备和计算机的完整性,手机与计算机通信时,双方需
订阅专栏 解锁全文
扫一扫
33
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
