Принцип фишинга основан на получении паролей и банковских сведений, необходимых для доступа к электронным счетам пользователей. Использование генераторов одноразовых паролей (небольших устройств, выглядящих, как карманный калькулятор) позволяет предотвратить этот тип мошенничества. Генератор автоматически создает одноразовые пароли. Для доступа к своему счету пользователь вводит показанную устройством комбинацию символов. Расположенный на другом конце веб-сайт банка применяет тот же алгоритм для создания пароля. Доступ предоставляется тогда, когда оба пароля совпадают. Сгенерированный пароль можно ввести только один раз, поэтому его нельзя украсть и использовать в мошеннических целях. Генераторы паролей применяют многие банки США и Европы, а также крупные интернет-провайдеры (например, AOL в США). Однако использование такой системы создает дополнительные накладные расходы для клиентов, которым приходится покупать генератор паролей и, как правило, ежемесячно оплачивать подписку на услугу.

 

В дополнение к паролям некоторые банки планируют добавить еще один процесс идентификации, включающий использование карт с микросхемами или USB-накопителей. Для получения доступа к электронному счету клиенту потребуется не только ввести пароль, но и вставить карту в специальное считывающее устройство или подключить USB-накопитель к своему компьютеру. В этом случае промышляющие фишингом мошенники не смогут получить доступ к электронному счету пользователя, если только у него не будет украдена карта или накопитель. Однако использование карт с микросхемами — дорогостоящее «удовольствие». Специальные USB-накопители являются более доступным вариантом для широкого круга пользователей.

 

Хэширование паролей — одна из мер противодействия, рекомендованных рабочей группой защиты от фишинга. Она предотвращает кражу идентификационных данных путем добавления к паролю информации, специфичной для того сайта, где данный пароль предполагается применить. Такая система прозрачна для пользователя, который просто вводит свой пароль в электронной форме. Браузер преобразует его и добавляет необходимую информацию. Следовательно, веб-сайту не сообщается пароль, вводимый пользователем. Он получает только «хэшированный» пароль и принимает решение о предоставлении доступа, применив тот же алгоритм хэширования, что и владелец карты. Таким образом, даже если пользователь и сообщит свой пароль на фальшивом веб-сайте, его не смогут применять хакеры.

 

Эта система подразумевает, что пользователи Интернета подтверждают все транзакции путем отправки текстового сообщения с мобильного телефона. Ее преимуществом является то, что транзакция с электронным счетом выполняется лишь после того, как банк получит ответ на текстовое сообщение. Чтобы эта система работала, клиенты должны сообщить банку номер своего мобильного телефона.