Với một website như vậy, người sử dụng thường được yêu cầu cung cấp những thông tin cá nhân nhạy cảm như password, số thẻ an sinh, số tài khoản ngân hàng, số thẻ phúc lợi xã hội hoặc thẻ tín dụng. Thủ đoạn lừa lấy thông tin kiểu này thường được thực hiện dưới chiêu bài giả vờ nâng cấp thông tin tài khoản.
PwdHash là một dự án được phát triển tại Đại học Stanford (http://crypto.stanford.edu/). Đây là một phần mở rộng (add-on) cho các web browser như Firefox hay IE với chức năng là cho phép người dùng chỉ cần nhập một password duy nhất, nó sẽ tự động sinh ra các password khác nhau ứng với các website khác nhau. Thuật toán để sinh ra các password là một hàm toán học một chiều (one-way hash) nên dù cho kẻ tấn công có lấy được password đã được chuyển đổi bởi PwdHash thì hắn cũng không thể tìm lại được password gốc của người sử dụng.
Điểm hay của PwdHash là dù người sử dụng bị lừa vào website giả do bọn phishing tạo ra, và cung cấp thông tin password cho chúng, thì password này cũng đã được PwdHash mã hóa thành một dạng khác chỉ tương ứng với website giả đó mà thôi. Cho nên, chúng cũng không thể dùng password đã được mã hóa này để truy cập vào tài khoản của người sử dụng tại website thật, vì password gốc tại website thật đã được mã hóa thành một dạng khác nữa, chỉ tương ứng với website thật mà thôi.
PwdHash có các phiên bản dùng cho FireFox ( tải tại https://addons.mozilla.org/firefox/1033/), Internet Explorer 6 (http://crypto.stanford.edu/PwdHash/PwdHash-Installer-0.5.exe), Internet Explorer 7 (http://crypto.stanford.edu/PwdHash/PwdHash-Installer-0.6.exe) và Opera (http://crypto.stanford.edu/PwdHash/opera/pfo-1.0.zip).
Sau khi cài đặt thành công, nếu cần nhập password, tại dấu nhắc con trỏ, bạn chỉ việc nhấn phím F2 hoặc gõ @@ trước khi gõ password thật, PwdHash sẽ lập tức thi hành công việc của mình khi bạn nhấn Enter hoặc di chuyển con trỏ chuột ra khỏi ô nhập.
Đôi khi, bạn muốn đăng nhập vào tài khoản của mình trên một máy tính khác không có cài PwdHash cho trình duyệt. Trong trường hợp này, hãy truy cập vào địa chỉ: https://www.pwdhash.com/, tại đây bạn hãy nhập địa chỉ website nơi bạn có tài khoản vào mục “Site Address”, và password thật tại mục “Site Password”. Sau đó, nhấn Generate, tại mục “Hashed Password” bạn sẽ nhận được một chuỗi mã hóa, hãy copy chuỗi này và dùng nó để đăng nhập vào tài khoản của bạn.
Hình minh họa dưới đây cho thấy, với cùng một password như nhau là 123456, nhưng tại hai địa chỉ khác nhau http://www.phish.com và http://www.taikhoan.com, PwdHash đã sinh ra hai password khác nhau để mã hóa và bảo vệ cho bạn.
Phạm Lê Minh Định
Bình luận (0)