让技术伴你左右

    24、这是一个关于信任的问题：一个重要的问题就是，你能够信任那些网站的认证书所证实的它的可靠性吗？并不是很久以前，Verisign对于他们所发布的声称是微软的一部分的安全认证表示愧疚。最新版本的浏览器，IE 7和Opera 9很快将能够提供给用户EV SSL（扩展认证SSL）认证书来确保它们正处在一个非伪造的站点下。地址栏若是绿色则是正常的网站，若是红色则是有疑问的网站。

    25、钓鱼者总是贪得无厌的：电子邮件也能够具有欺骗性。唯一能确保它们并非含有钓鱼攻击的方式就是使用支持S/MIME（安全版本的多用途网际邮件扩充协议）的数字签名。第一道检查工序是，如果这个发件人的地址是没有问题的，接着就检查它的数字签名。由于这个签名是在客户端打开邮件并鉴定之后而生成的，因此这是一个相当有效的反钓鱼的策略，同时也因为它是基于强大的密码技术。

    26、保持更新：确保你的操作系统和浏览器都规律地进行升级。随时检查是否有最新的补丁，并立即将它们安装上。

    27、建立栅栏：用一些有效的杀毒软件和反垃圾邮件软件来保护你的计算机，并设置起防火墙以防那些鬼祟的木马趁机进入。它们可能是最差劲的钓鱼方式——秘密地在你的系统上安装一些监视键盘输入的软件，捕获你所有敲击键盘的信息并将它们输送给不知道躲在什么地方的骗子们。更糟糕的的是，这很可能会迅速蔓延，并通过你的计算机感染你整个网络中的其它系统，直到所有的计算机都被攻陷。

    28、两个比一个好：使用双重认证来登录敏感的网站。使用一个像密码这样的软件令牌和一个像ATM卡这样的硬件设施的联合能够让你打开账户时候加倍安全，这比起只有一种认证或是两种都没有要来得令人放心得多。

    29、一步接一步：如果你将登录过程分成两个阶段，那么钓鱼者就很难获取你进入账户的密码——先输入你的用户ID，再使用其它的证书。当你在第二阶段输入身份详情，而输入的窗口仅是以你个人定制的某种方式显示时，这个过程会格外的安全。例如，如果有某个图像是你明确指定对你显示的。

    30、不要仅拥有一个令牌：可以考虑使用一个ID保管的USB令牌，将你所有的ID和密码储存在一个闪存盘里面，这就能更加安全地登录到网站上。大多数的令牌伴随了一个有着合法站点的清单，也能够防止键盘监视软件有效地工作。这个设施本身就是一个收保护了的密码，因此那些窃贼们有多了一层要应付的解密难关。

    31、用“打乱”来迷惑钓鱼者：软件插件也加入到了反钓鱼的斗争中，其中一个例子就是PwdHash，或是叫一个由两个斯坦福大学的教授开发的密码打乱（hash）工具，它能够打乱你输入的任意密码，再创建一个对你访问的每个站点都少有的登录结果。这样，即使钓鱼者获得了你的密码，那也是无法使用的。

    32、监测：另一个应用程序是与PwdHash同一线的产品，也是由同样的两位斯坦福大学的教授开发，名叫SPYBLOCK，这个工具能够防止木马键盘监视程序盗窃你的密码。

    33、插件保护：浏览器的插件，例如Mozilla的Firefox使用的Antiphish，通过维护你的密码清单和其它敏感信息用来防止钓鱼攻击，并能在用户处在钓鱼网站并输入这些信息时发出警告。

    34、框架结构的措施：银行和在线商铺最好应该使用开源的SPF标准，这样就能防治电子邮件地址通过那些允许发送邮件的列表服务器遭到骗取。

    35、承担诚信：作为一个可选择的方案，他们可以使用像GeoTrust的True Site认证这样的受信服务，这样就能让用户可以证实网站的可靠性。