日本雅虎與產總研以PAKE技術防網釣

日本雅虎週五（3/23）宣布已與日本獨立行政法人產業技術綜合研究所完成一項新的防網釣通訊協定技術，利用通行碼身分認證與金鑰交換（Password Authenticated Key Exchange，PAKE）雙向密碼認證營造安全的網路環境。

2006年年初兩社就針對網釣議題進行研發，最後以PAKE ISO/IEC 11770-4加密認證技術讓使用者在HTTP、HTTPS網路標準通訊協定下登入網頁並確認網頁真實性，ID與密碼在按下確認鍵後將以亂數加密方式送到伺服器，伺服器端則將使用者原本正確登入過的資料轉變成密碼的一部份傳回，藉此進行相互認證。

傳統的PAKE在互相認證後還會在通訊資料上加密一次，但為了便於在網路上使用，在此資料再加密採用SSL加密的HTTPS通訊協定，簡單來說當資料有加密必要時就自動使用PAKE與HTTPS的組合，無加密必要時則改為PAKE與HTTP。

此外，網釣中被稱為中間人攻擊（Man-in-the-middle Attack）的手段由於是藉由中介手段轉送正確伺服器與使用者之間的資料，因此是目前最具威脅性的詐騙手段，但針對這一點兩社在PAKE通訊協定加密時摻雜正確伺服器的網域名稱，使其轉換為一種新的通訊協定，藉此阻止中間人的轉手動作。

日本雅虎表示PAKE比起現有的SSL加密更能有效防止網釣事件，安裝這個通訊協定後瀏覽器的工具欄位將自動出現密碼與ID欄，登入時只要在此輸入就能防止網釣網頁用自行設計的資料欄位騙取資訊，存取正確網站後欄位前方將顯示綠色圖示，若非綠色圖示則是假網站或輸入錯誤。

2007年中期日本雅虎將使用這項研究成果在自家網頁上進行測試，大規模實驗成功後將釋出開放性原始碼以確立此技術之標準規格。（編譯/張志裕）