HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA AN TỒN THƠNG TIN BÁO CÁO BÀI TẬP LỚN Đề tài: CHỨC NĂNG ĐẶT MẬT KHẨU TRONG MỘT SÔ PHẦN MỀM THÔNG DỤNG VÀ CÔNG CỤ PHÁ MẬT KHẨU TƯƠNG ỨNG Giảng viên hướng dẫn : Vũ Thị Vân Sinh viên thực : Lê Văn Chinh Nguyễn Mạnh Cường Vũ Tài Cương AT150306 AT150107 AT150606 Hà Nội, Ngày 05 tháng 09 năm 2021 Nhận xét giảng viên môn LỜI MỞ ĐẦU Dữ liệu tài sản vô quan trọng thời buổi nay, việc bảo vệ thơng tin vơ cần thiết Chúng ta có nhiều cách đơn giản để bảo vệ thơng tin Một cách đơn giản phổ biến đặt mật cho ứng dụng cần bảo vệ Đặt mật điều đơn giản việc đặt mật để tránh cơng phải tìm hiểu thêm.Hiện nay, thấy công nhắm vào mật đơn giản ngày nhiều, việc đặt mật cho an toàn bảo điều vô quan trọng Ở đề tài này, nhóm chúng em tác hại việc đặt mật đơn giản cách sử dụng công mật số ứng dụng Thêm vào đó, chúng em số phương thức đặt mật sử dụng phần mềm Và cuối cách để đặt mật cách an toàn MỤC LỤC I Chức đặt mật ứng dụng Microsoft office 1.1 Cơ chế đặt mật khẩu • Có chế đặt mật khẩu sau: + Password to open: Mật để mở file + Password to modify: Nếu nhập mật ở người dùng xem nội dung file văn (bằng cách mở Read Only), chỉnh sửa lưu lại người dùng phải nhập mật + Protect document: không cho copy chỉnh sửa • Tḥt tốn bảo mật mật khẩu: + Microsoft Office 95: Mã hóa yếu chuyển mật thành mã hóa 16-bit; giải mã tức + Office 97 2000: Độ dài mã hóa lên tới 40-bit; giải mã tức + Office XP 2003: Độ dài mã hóa 40-bit Microsoft bổ sung tùy chọn bảo vệ thuật tốn mã hóa tùy chỉnh; tốc độ giải mã tùy thuộc vào thuật tốn + Office 2007: Mã hóa AES, tích hợp SHA1; khó khơi phục mật + Office 2013: Vẫn sử dụng AES-128, cập nhật thuật toán hash lên SHA-2; mặc định sử dụng SHA-512; khó khơi phục mật 1.2 Các bước đặt mật khẩu • Đặt mật khẩu pasword hoặc password to modify - Bước 1: Vào biểu tượng Office, chọn Save as - Bước 2: Hiển thị giao diện tùy chọn lưu file Tại người dùng nhấn vào nút Tools chọn General Options • - Bước 3: Để tạo mật mở file Word người dùng nhập mật Password to open Tạo mật thay đổi tài liệu người dùng nhập mật Password to modify (có thể đặt loại mật khẩu) - Bước 4: Xác nhận lại lần mật chọn Save Đặt mật khẩu không cho copy chỉnh sửa - Bước 1: chọn vào mục Review nhấn tiếp vào công cụ Protect Document, nhấn chọn tiếp Restrict Formatting and Editing - Bước 2: Nếu người dùngkhông cho phép thay đổi nội dung, cho phép đổi định dạng người dùng sử dụng tùy chọn Formatting restrictions, tích chọn vào Limit formatting to a selection of styles chọn Yes, Start Enforcing Protection Khi hiển thị hộp thoại để người dùng nhập mật bảo mật, nhấn OK để lưu lại Nếu người dùngkhông muốn người khác thay đổi nội dung nào, bao gồm định dạng nên sử dụng mục Editing restrictions tích chọn vào Allow only this type of editing in the document để kích hoạt chức Tiếp đến hiển thị danh sách để người dùng lựa chọn: Tracked changes: Chỉ phép thực thay đổi có để lại nhận biết • Comments: Chỉ phép thêm vào ghi văn • Filling in forms: Chỉ phép thay đổi đối tượng biểu mẫu • No changes (read only): Khơng cho phép thay đổi điều văn bản, cho phép đọc Tại người dùng lựa chọn Filling in forms nhấn tiếp Yes, Start Enforcing Protection để bắt đầu thiết lập • Hiển thị giao diện để người dùng nhập mật bảo mật nội dung, nhấn OK để lưu lại WinRar 2.1 Chức đặt mật khẩu Ở WinRar có sau: - Organize passwords: Lưu lại password để sử dụng lại nhiều - lần Set password: Đặt mật cho file rar (có thể sử dụng password Organize password) - + How Does WinRAR Check a Password ? WinRar khơng check password, thay vào mật phải vượt qua hàm băm mộ mã khóa AES-128/256 bit, sau sử dụng mã làm khóa để mã hóa file liệu + Từ RAR 5.0, WinRAR phát mật sai trước phải giải nén bởi lưu trữ hàm băm mật đặc biệt (được tạo từ hàm băm chiều) Khi nhập mật khẩu, RAR so sánh hàm băm với hàm băm lưu trữ, khơng khớp, từ chối mật (thông tin lấy từ https://www.win-rar.com/encryption-faq.html?&L=0 ) Nếu người dùng nhập mật người dùng truy cập vào file rar cịn khơng hệ thống báo không cho người dùng truy cập 2.2 Các bước đặt mật khẩu - Bước 1: Chọn file cần đặt mật - Bước 2: Chọn Tools -> Convert Archives bấm tổ hợp Alt+Q 10 - Bước 3: Chọn Compression Sau chọn set password 11 Bước 4: Đặt mật - + Ở người dùng chọn “Encrypt File Names” để mã hóa thơng tin từ tên file, kích cỡ, thành phần file số thành phần khác + Sau đặt xong mật chút thời gian để WinRAR mã hóa mật mạnh thời gian mã hóa lâu Adobe Acrobat ( Adobe PDF) Adobe Acrobat hệ thống phần mềm ứng dụng dịch vụ Web phát triển bởi Adobe Systems nhằm mục đích xem, tạo, thao tác, in, quản lý tệp PDF tính vơ cực hữu ích giúp người dùng đặt mật để bảo mật nội dung cho file PDF * Các bước đặt mật 12 - Bước 1: Mở file PDF, lựa chọn mục Secure bên Menu, chọn Encrypt with Password để tiến hành bước đặt mật cho liệu PDF Xuất hộp thoại mới, chọn Yes để tiếp tục - Bước 2: Ngay sau đó, giao diện Password Security - Settings xuất Phần Compatibility, người dùngchọn phiên Acrobat để có thuật tốn mã hóa mật tốt 13 - Tiếp theo, người dùng tích chọn vào mục sau: + Require a password to opent document: yêu cầu nhập mật để mở file PDF với phần mềm đọc PDF khác Người dùngnhập mật vào mục Document Open Password + Restrict editing and printing of the document A password will be required in order to change these permission settings: nhập mật để chỉnh sửa file PDF Điền mật vào ô Change Permission Pasword Cuối nhấn OK để lưu lại thiết lập ( ý mật mở file PDF phải khác với mật cho phép chỉnh sửa file) - Bước 3: Phần mềm yêu cầu nhập lại mật mở file PDF 14 Và nhập lại mật chỉnh sửa file PDF - Bước 4: Bây giờ, người dùng thử mở lại file PDF có mật yêu cầu nhập mật muốn mở file (cho dù người dùng sử dụng chương trình khác để mở file này,vẫn cần đến mật khẩu) II Công cụ phá mật tương ứng Microsoft thực nghiệm 1.1 Công cu - Sử dụng công cụ “Office password recovery” 15 - Cơ chế phá khóa: có chế + Dictionary attack: Tấn công dựa từ điển + Mask attack: Tấn công dựa thông tin biết + Brute force attack: cơng dị mật Mô hình thực 1.2 Chuẩn bị: - Một file word đặt mật có tên “Test1” mật “abc123” - Một file word đặt mật có tên “Test2” mật gồm ký tự, có chữ hoa, chữ thường chữ số - Cách công: Trong lần thực nghiệm sử dụng công Dictionary attack để đẩy nhanh tiến độ cơng nhờ vào thơng tin có ở phần chuẩn bị Ta có mơ sau: Q trình thực nghiệm 1.3 + + + + Bước 1: chọn Add Bước 2: chọn thư mục cần phá mật Bước 3: chọn chế độ mật cần quét Bước 4: chọn Start Kết quả: công cụ quét kí tự từ số đến chữ để tìm mật file Sau quét đến dãy ký tự trùng khớp với mật file hiển thị kết 16 WinRAR thực nghiệm 2.1 Công cu Sử dụng phần mềm “Rar Password Recover” để giải mã mật - Chức năngphá khóa: có Chức năngcơ - + Dictionary attack: Tấn công dựa từ điển + Một công từ điển kỹ thuật hay phương pháp sử dụng để vi phạm bảo mật máy tính máy bảo vệ mật máy chủ Một từ điển nỗ lực công để đánh bại Chức năngxác thực cách nhập cách hệ thống từ từ điển mật cố gắng để xác định khóa giải mã thơng điệp mã hóa tài liệu công từ điển thường thành cơng nhiều người sử dụng doanh nghiệp sử dụng từ thông thường mật Những lời nói bình thường dễ dàng tìm thấy từ điển, chẳng hạn từ điển tiếng Anh + Mask attack: Tấn công dựa thông tin biết + Dựa vào thông tin biết từ mật việc công trở nên dễ dàng thời gian để phá mật nhanh cách rõ rệt + Là phương thức cải tiến brute force attack với điều kiện người dùng phải biết thông tin mật + Brute force attack: cơng dị mật khẩu: kẻ cơng sử dụng cơng cụ mạnh mẽ, có khả thử nhiều username password lúc (từ dễ đến khó) đăng nhập thành cơng 2.2 Mơ hình thực - Chuẩn bị: + Một file Rar đặt mật có tên “Test1” mật số có chữ số + Một file Rar đặt mật có tên “Test2” mật gồm ký tự, có chữ thường chữ số 17 - Cách công: Trong lần thực nghiệm này, em sử dụng công mask attack để đẩy nhanh tiến độ cơng nhờ vào thơng tin có ở phần chuẩn bị Ta có mơ sau: - Hình 2.2.2 Mơ hình thực 2.3 Q trình thực nghiệm - Thực nghiệm với file “Test1” - https://storage.cloud.google.com/demo-winrar/Demo1.mp4 - Thực nghiệm với file “Test2” - Tuy nhiên với mật phức tạp cách đáng kể cơng cụ tốn nhiều thời gian chưa tìm mật xác 18 Hình 2.2.3 Thực nghiệm lần 2.4 Kết kết luận - - Kết quả: + Với lần thực nghiệm đầu thời gian thực việc tìm mật ngắn + Với lần thực nghiệm số hai, thời gian thực việc phá khóa mật tốn nhiều thời gian Giải thích + Khi người dùng sử dụng mật phức tạp số trường hợp phải thực nhiều hơn, dẫn đến việc thời gian thực lâu so với việc người dùng đặt mật đơn giản Điều giải 19 thích cho việc thời gian thực thực nghiệm lần so với thực nghiệm lần - Kết luận: + Khi đặt mật cho file RAR người dùng nên đặt mật có tính bảo mật cao (Cách đặt mật tốt nói đến phần 3) Adobe Acrobat ( Adobe PDF) 3.1 Mở khóa trực tuyến Đây cách đơn giản để mở pass pdf mà khơng cần cài đặt phần mềm nào, có nhiều website hỗ trợ mở khóa file pdf khơng cho chỉnh sửa in ấn * Cơ chế phương pháp bruteforce dị kí tự Các bước thực hiện: * - Bước 1: Truy cập vào đường link https://www.ilovepdf.com/unlock_pdf Bước 2: Nhấn chuột chọn SELECT PDF FILE, có lựa chọn tải file pdf lên ứng dụng gồm: + + + Tải file pdf cần mở khóa máy tính/laptop người dùng Dropbox: Tải file từ ứng dụng lưu trữ trực tuyến Dropbox Google Drive: Upload file từ ứng dụng Google Drive Bước 3: Người dùng tải thêm nhiều file pdf để mở khóa lúc, sau nhấn UNLOCK PDF để hệ thống tự động tìm unlock file pdf 20 Bước 4: Thời gian tìm mở pass file pdf nhanh hay chậm phụ thuộc vào độ phức tạp mật Nhận xét : Ưu điểm cách phá pass pdf online: + Đơn giản, dễ sử dụng + Không cần cài đặt phần mềm máy tính + Hồn tồn miễn phí Nhược điểm: + Chỉ mở khóa file pdf có độ dài mật từ ký tự trở * - - xuống, mật dài kí tự thời gian phá lâu chí khơng mở 3.2 Mở khóa phần mềm + Chức mở khóa: Dictionary Attack: Cách mở mật file pdf file từ điển, người dùng + cần nhập upload file từ điển sử dụng tính Mask Attack: Là cách mở khóa file pdf hiệu nhất, có nhiều lựa chọn + - mà người dùng thiết lập độ dài mật khẩu, loại ký tự… Brute Force: Đây cách tìm mở pass pdf tự động Phần mềm sử dụng : iSeePassword Dr.PDF 21 Hình Phần mềm iSeePassord Hình 2: Phần mềm lấy mật khẩu file * Nhận xét - Ưu điểm cách mở khóa file pdf phần mềm + Có thể tìm mở pass file pdf có độ dài kích thước phức tạp 22 Tính bảo mật thơng tin liệu cao Nhược điểm: + Người dùng phải trả khoản phí để sử dụng tính mở pass file + - pdf nâng cao 3.3 Cách đoán mật khẩu - Nếu cách khơng thành cơng người dùng đốn mật file pdf loại password phổ biến -> 8, -> 6, abcxyz, 123abc, abcdef… Hoặc mật thông dụng khác - Cách yếu tố may mắn chiếm tỉ lệ cao, người dùng cố tình đặt password file pdf ký tự đặc biệt @, *,?,~, $… xác suất thành cơng tương đối thấp Kết luận chung khuyến nghị cho người dùng III - - Chức đặt mật vơ có ích mà nhà phát triển phần mềm sáng tạo giúp người dùng nâng cao tính an tồn file liệu với thuật toán tiên tiến với tính bảo mật cao Nhưng bên cạnh đó, người dùng cần có lưu ý: + Tránh đặt mật quen thuộc “abc123”, “123456”, ngày tháng năm sinh, … + Đặt mật cần kết hợp ký tự đặc biệt, chữ số để tăng độ mạnh mật 23 ... tính mở pass file + - pdf nâng cao 3. 3 Cách đoán mật khẩu - Nếu cách khơng thành cơng người dùng đốn mật file pdf loại password phổ biến -> 8, -> 6, abcxyz, 123abc, abcdef… Hoặc mật thông dụng... cần có lưu ý: + Tránh đặt mật quen thuộc “abc1 23? ??, “1 234 56”, ngày tháng năm sinh, … + Đặt mật cần kết hợp ký tự đặc biệt, chữ số để tăng độ mạnh mật 23 ... file RAR người dùng nên đặt mật có tính bảo mật cao (Cách đặt mật tốt nói đến phần 3) Adobe Acrobat ( Adobe PDF) 3. 1 Mở khóa trực tuyến Đây cách đơn giản để mở pass pdf mà không cần cài đặt phần