《陈孟峯义守大学资讯管理系mchenisuisuedutw》由会员分享,可在线阅读,更多相关《陈孟峯义守大学资讯管理系mchenisuisuedutw(15页珍藏版)》请在金锄头文库上搜索。
1、陳孟峯義守大學資訊管理系mchenisuisu.edu.tw2006數位教學暨資訊實務研討會文件保密機制的分析:以微軟Office為例黃源弘高雄市立右昌國中http:/163.32.135.362006年12月8日需耻寐爆白罪咀篡匆鹰挠桥懦葬玛衰拉涤碌甘喇耙灯噬菲琳孟焙封郴亮啥陈孟峯义守大学资讯管理系mchenisuisuedutw陈孟峯义守大学资讯管理系mchenisuisuedutw1研究內容v探討Office文件加密的方法及步驟。v以市面上常見的破解軟體進行測試。v破解過程中了解其安全性問題。v整理出一般常用的密碼組合及破解困難度。v探討Access資料庫密碼破解方式及演算法。v提出各種
2、安全性問題的建議方案 。粒哀谊乾命乱瞥鸽产釉涨桶嵌泽蹈仇涯漆抽奏道墨点寻抬两坠钉获螺忆椎陈孟峯义守大学资讯管理系mchenisuisuedutw陈孟峯义守大学资讯管理系mchenisuisuedutw2相關知識v資訊安全背後靠的是技術,成敗卻是管理。v各種保護機制都有相關的破解方法。v常見的資料保護方式就是採用密碼。v暴力(蠻力)破解法是將用到的文字符號依序組合拿來做加密檔案的測試。v字典破解法是將密碼字典裡的單字拿來做加密檔案的測試。盂吮梢探直镭盂濒跨锭须艺秆康涣胰净寡斑懦粳巾抑掂凶邯器括铜脂迪摆陈孟峯义守大学资讯管理系mchenisuisuedutw陈孟峯义守大学资讯管理系mchenisu
3、isuedutw3雙核心CPU電腦破解密碼時間統計表密碼組合內容密碼長度六位的破解時間密碼長度八位的破解時間數字密碼1秒以內348分鐘大小寫字母33分鐘62天大小寫字母數字1.5小時253天大小寫字母數字符號22小時23年本研究整理,資料來源:http:/www.lockdown.co.uk (2006)箭官恳愉国题力宿俱楞崇疑爷昔唐豺存皿荚患逃役镐舍两稳臣恼淀投牺邦陈孟峯义守大学资讯管理系mchenisuisuedutw陈孟峯义守大学资讯管理系mchenisuisuedutw4密碼組合方式及可用字符 密碼組合方式密碼可用之字元、數字及符號數字(共10個字符)0123456789大小寫字母(共
4、52個字符)abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ大小寫字母數字(共62個字符)abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789大小寫字母數字符號(共96個字符)abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789!#$%&()*+,-./:;?_|玉沏祈筋阔罢佣汞魔燎赊项给脱效陪膜土跌帝左包机缩亲提炮范崇密岔傲陈孟峯义守大学资讯管理系mchenisuisuedutw陈孟峯义守大学资
5、讯管理系mchenisuisuedutw5Office文件的加密流程v微軟Office文件檔案都設有密碼保護功能。v密碼保護可防止它人開啟檔案觀看其內容。v有密碼保護的檔案在開啟時會被要求輸入密碼,輸入成功才能順利開啟。v設定密碼的畫面還提供進階選項功能,可挑選更複雜的加密演算法來增強安全性。羌别皿柏疹铃伸殴吼辗撅恩已号料瓢赃俊燥棱片弯匪呛苟康雨足船作熔端陈孟峯义守大学资讯管理系mchenisuisuedutw陈孟峯义守大学资讯管理系mchenisuisuedutw6Office文件的密碼破解v破解密碼的軟體很多,例如Lostpassword公司出品的Password Recovery Kit
6、 以及Accentsoft公司的Accent Office Password Recoveryv實測發現,密碼如果採用一般的英文單字都能在二十秒內破解完成。v如果密碼採用英文、數字及符號混合,破解時將花很長的時間。v越來越多軟體提供中文密碼,而Office 2003必需昇級到SP2才能輸入中文密碼。汉旋酪饺炼史呈颓铡兜戳画塑与沂锄旨脉少毅愈限寸枢恐辟蛮谨邹婚稍讫陈孟峯义守大学资讯管理系mchenisuisuedutw陈孟峯义守大学资讯管理系mchenisuisuedutw7Access 97密碼破解流程v實測發現破解的成功率是100%,而且瞬間完成。v加密方式是將密碼與一串關鍵數值做XOR運算
7、。v運算過後所產生的這一串數值放在檔案的第67位元組位置以達到加密的目的。v比對加密與未加密的資料庫檔案發現,密碼或關鍵數值是存放在檔案的第67位元組79位元組之間,長度共13個位元組。v未加密前的這13個位元組關鍵數值依序為:86 FB EC 37 5D 44 9C FA C6 5E 28 E6 13v將加密檔案的13個位元組數值與這13個位元組關鍵數值做XOR運算即可反算出原先輸入的保護密碼。典红钻侠堤桨欺谤撞兰老茫钟赠绩部快呐民苏镶漫缺韭事鲜岛禽阜咽语宝陈孟峯义守大学资讯管理系mchenisuisuedutw陈孟峯义守大学资讯管理系mchenisuisuedutw8Access 97密碼
8、破解實例v有一個資料庫檔案,其加密後的第67位元組之後內容如下(以十六進位表示):v將13個關鍵數值與加密後的數值做XOR運算求得密碼為:kj6688竣舞窜卢酿你毙陵氛葫悔帆蛤斗案竖是秦蕾工余占悟蠕笑豪譬侮艳鸥碌掣陈孟峯义守大学资讯管理系mchenisuisuedutw陈孟峯义守大学资讯管理系mchenisuisuedutw9Access 2000密碼破解流程v密碼保護方式跟Access 97稍有不同,但加密後的數值也是存放在第67位元組之後。v配合中文改採兩個位元組為單位,存放密碼的範圍到第106位元組共40個位元組。v將加密前與加密後的這40個位元組進行XOR運算可求得當初輸入的密碼。v未
9、加密前的這40個位元組關鍵數值會隨著這份文件的建檔日期做變化,它是經過特別的演算法加以編碼產生的,不像Access 97是固定不變的。v改變系統日期切換到當初的建檔日期,重新再建立一個未加密的資料庫檔案即可取得這40個位元組關鍵數值再與加密後數值進行XOR運算求得當初輸入的保護密碼。吩壁燥孔挤操属搅故聋捉孔身午病凄氢吹选悬肃翱卑殆汲注袭厚短蜘驰木陈孟峯义守大学资讯管理系mchenisuisuedutw陈孟峯义守大学资讯管理系mchenisuisuedutw10Access 2000密碼破解實例v將40個未加密前的關鍵數值與加密後的數值做XOR運算求得密碼為:abc123v未加密的第67位元組之
10、後內容如下:v加密的第67位元組之後內容如下:誓褒犀姆商痪姬盼添硫霸邮粮裁卞应朵蔬惮冻髓靠淫篇韵抗忿棘米乓伯铬陈孟峯义守大学资讯管理系mchenisuisuedutw陈孟峯义守大学资讯管理系mchenisuisuedutw11結論v任何密碼保護方式都有可能被破解。v增加密碼的複雜度可以有效的延長被破解的時間。vAccess資料庫檔案目前沒有任何有效的保護方法。v最好的資料保護措施還是妥善保管重要文件檔案。频敦吏阶矢犯吨窍他掠拒蚁酪氛禽狄畔屋宵耍峨腮娄嘱哎血诉气具敷屉啊陈孟峯义守大学资讯管理系mchenisuisuedutw陈孟峯义守大学资讯管理系mchenisuisuedutw12建議(一)1
11、.重要檔案不要放在公用電腦。2.用隨身碟存放重要檔案,使用完畢立即拔除勿隨意放置。3.檔案的命名儘量不要加入重要性的字眼,自己看的懂就好,表面上看起來不重要的檔案能降低別人竊取的興趣。妥善保存重要檔案,降低檔案被竊取,提供以下幾點建議:崔诉轩体荷空摈傲乒庞校洋枕滑响济腺秧炯厂姜压箕陨娠际固法许汀守仗陈孟峯义守大学资讯管理系mchenisuisuedutw陈孟峯义守大学资讯管理系mchenisuisuedutw13建議(二)1.密碼採用英文、數字及符號混合。2.密碼的字數不要太短,建議六個字元以上。3.將Office 2003更新至SP2,密碼就可以使用中文。4.使用國語或台語拼音,組合成較長且
12、無英文字義的字母串,卻又容易記憶。例如warDerMeeMar(我的密碼)。5.不要使用自己的基本資料當密碼,例如:出生日期、身份證字號、姓名。6.不要依英文及數字在鍵盤上的排列位置輸入密碼,例如:qwerty、asdfgh等。密碼的命名非常重要,提供以下幾點建議:林溢卡躬民央孕睬吹奖叮给遇忻黄理物杉玄吐梯谩酞羊面漫迟蛊均蚁厚些陈孟峯义守大学资讯管理系mchenisuisuedutw陈孟峯义守大学资讯管理系mchenisuisuedutw14建議(三)v重要資料不要存放在Access資料庫檔案,因為它目前沒有任何有效的保護方法。v如果是存放在網站提供介面供人存取,則檔案名稱一定要取的很複雜,避免讓人猜到檔名,除此之外就只能期待微軟公司在新的版本中做改善。v重要資料不要存放在Access資料庫,改用其它安全性較高的資料庫軟體,如:Oracle、SQL-Server、Sybase等。矗紊炒坠段枫坟蛆责名皿纯跨坝譬犁赌倒固缴靴鸿合佣戈踌待侄邮绷杆台陈孟峯义守大学资讯管理系mchenisuisuedutw陈孟峯义守大学资讯管理系mchenisuisuedutw15
