Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den CTO d. 4. november 2005.
RSA CONFERENCE Phishing kan begrænses, hvis vi ændrer den grundlæggende metode til login.
Uddannelse af brugerne er det bedste middel mod phishing. Det var den fremherskende holdning på RSA-konferencen. Som Slava Kavsan, der er vice president of engineering i RSA Security, udtrykte det: "Hvis du virkelig er opsat på at blive offer for phishing, er der ingen teknologi, der kan forhindre det."
Men nogle tekniske hjælpemidler kom dog også på banen. De fokuserede især på dobbelt autentifikation, hvor både bruger og system skal bevise deres identitet.
Phishing er en form for svindel, hvor svindleren narrer sit offer til at afgive fortrolige oplysninger. Det sker typisk ved at narre offeret ind på en webside, der foregiver at være en, som offeret har tillid til.
En metode til at forhindre phishing kan derfor være, at de legale websteder identificerer sig selv med SSL-certifikater. Det sker allerede i dag, men som flere på konferencen gjorde opmærksom på, er mange brugere ikke klar over betydningen. De bemærker ikke, om der er en lille hængelås-ikon i bunden af skærmen.
Burt Kaliski, der leder RSA Laboratories, mener, at der er brug for en ny måde at styre indlogning på. I dag foregår login typisk via websider, hvor man indtaster brugernavn og password i formularfelter.
- En mere sikker metode ville bestå i, at styresystemet havde et særligt login-modul, som blev kaldt, hver gang man skulle udveksle login-oplysninger. Det kunne håndtere tovejs-autentifikation, siger han.
Ideen går ud på, at systemet ikke skal oplyse adgangskoder til ethvert andet system, der beder om dem. Et password skal kun oplyses til en server, der kan bevise, at den kender det i forvejen. Det kan gøres med et sæt kryptografiske beregninger.
- En mulighed kan være, at login-modulet foretager en ændring af passwordet, der kun giver mening for det websted, som passwordet er beregnet til, siger han.
