सुरक्षा का भ्रम उसकी कमी के बारे में जागरूकता से भी बदतर है, क्योंकि यह गलत आधारों पर निर्णय लेने की ओर ले जाता है। “हम आपके व्यक्तिगत डेटा की सुरक्षा करते हैं” जैसी सार्वजनिक संस्थाओं द्वारा दी गई जानकारी अक्सर सुरक्षा के इस भ्रम को पैदा करती है। आइए पासवर्ड वाले PDF फाइलों के उदाहरण पर दो मामलों का अध्ययन करें।
- मुझे PZU से बीमा प्रस्ताव के साथ एक ईमेल मिला, जिसमें “हम व्यक्तिगत डेटा की सुरक्षा करते हैं” को रेखांकित किया गया था:
![pdf पासवर्ड के साथ pzu](https://sp-ao.shortpixel.ai/client/to_auto,q_lossy,ret_img,w_744,h_662/https://my127001.pl/wp-content/uploads/2022/03/image.jpg)
2. अटैचमेंट में पासवर्ड से सुरक्षित एक PDF फाइल थी:
![pdf पासवर्ड के साथ](https://sp-ao.shortpixel.ai/client/to_auto,q_lossy,ret_img,w_1024,h_602/https://my127001.pl/wp-content/uploads/2022/03/image-1-1024x602.png)
3. मान लीजिए कि मुझे पासवर्ड नहीं पता। हालांकि, ईमेल के कंटेंट से मुझे पता है कि पासवर्ड 4 अंकों का है। आइए देखें कि इसे आधुनिक घरेलू कंप्यूटर का उपयोग करके क्रैक करने में कितना समय लगता है।
4. PDF को टेक्स्ट मोड में खोलकर, हम फाइल का हेडर पढ़ सकते हैं (उदाहरण के लिए, नोटपैड का उपयोग करके)। यह हमें यह पहचानने की अनुमति देगा कि इसे किस मानक संस्करण में बनाया गया था:
![pdf 1.4](https://sp-ao.shortpixel.ai/client/to_auto,q_lossy,ret_img,w_1024,h_329/https://my127001.pl/wp-content/uploads/2022/03/image-2-1024x329.png)
5. अगला कदम उस पासवर्ड का हैश निकालना है जिसे हम क्रैक करना चाहते हैं। यहाँ हमें pdf2john.py टूल मदद करेगा।
![pdf हैश](https://sp-ao.shortpixel.ai/client/to_auto,q_lossy,ret_img,w_1024,h_69/https://my127001.pl/wp-content/uploads/2022/03/image-4-1024x69.png)
6. प्राप्त हैश को क्रैक करने के लिए हम हैशकैट को ब्रूटफोर्स मोड में उपयोग करेंगे। 10500 यहाँ PDF फाइलों के संस्करण 1.4-1.6 के हैश को क्रैक करने का मोड दर्शाता है:
![](https://sp-ao.shortpixel.ai/client/to_auto,q_lossy,ret_img,w_1010,h_171/https://my127001.pl/wp-content/uploads/2022/03/image-14.png)
![hashcat pdf](https://sp-ao.shortpixel.ai/client/to_auto,q_lossy,ret_img,w_571,h_26/https://my127001.pl/wp-content/uploads/2022/03/image-5.png)
जैसा कि नीचे देखा जा सकता है, चार अंकों के पासवर्ड को क्रैक करने में 10 सेकंड लगे:
![pdf hashcat](https://sp-ao.shortpixel.ai/client/to_auto,q_lossy,ret_img,w_918,h_582/https://my127001.pl/wp-content/uploads/2022/03/image-7.png)
इस प्रकार, यह निश्चित रूप से कहा जा सकता है कि 4 अंकों का पासवर्ड एक प्रकार का सुरक्षा भ्रम है और यह व्यक्तिगत डेटा की सुरक्षा नहीं करता है।
आइए अब NN Investment Partners का “सुरक्षित” PDF देखें।
- यहाँ इसे थोड़ी लंबी स्ट्रिंग — PESEL नंबर के साथ “सुरक्षित” किया गया था।
![nn investment partners pdf](https://sp-ao.shortpixel.ai/client/to_auto,q_lossy,ret_img,w_1024,h_379/https://my127001.pl/wp-content/uploads/2022/03/image-8-1024x379.png)
2. अटैचमेंट का हेडर – “%PDF-1.2” यह इंगित करता है कि फाइल का निर्माण 1996 के मानक का उपयोग करके किया गया था:
![pdf 1.2](https://sp-ao.shortpixel.ai/client/to_auto,q_lossy,ret_img,w_1024,h_292/https://my127001.pl/wp-content/uploads/2022/03/image-9-1024x292.png)
3. पासवर्ड का निकाला गया हैश भी यही दर्शाता है:
![pdf हैश](https://sp-ao.shortpixel.ai/client/to_auto,q_lossy,ret_img,w_1024,h_41/https://my127001.pl/wp-content/uploads/2022/03/image-10-1024x41.png)
4. हम हैशकैट के साथ “रॉ” ब्रूटफोर्स शुरू करते हैं। रॉ इसलिए क्योंकि हम कोई अतिरिक्त धारणा नहीं लेते हैं, जो संभावित संयोजनों की संख्या को कम कर देगा, सिवाय इसके कि PESEL 11 अंकों की संख्या है:
![hashcat pesel](https://sp-ao.shortpixel.ai/client/to_auto,q_lossy,ret_img,w_680,h_52/https://my127001.pl/wp-content/uploads/2022/03/image-11.png)
![pdf hashcat](https://my127001.pl/wp-content/uploads/2022/03/image-13 -1024x508.png)
क्या करें, कैसे जिएं?
डेटा एन्क्रिप्ट करने के लिए लंबी पासवर्ड का उपयोग करना चाहिए — 12 से अधिक वर्णों का, जिसमें बड़े/छोटे अक्षर, अंक और विशेष वर्ण शामिल हों। ऐसे पासवर्ड को दूसरे संचार चैनल (जैसे एसएमएस) द्वारा ग्राहक को भेजा जाना चाहिए। इसके अलावा, संस्थानों को मजबूत एन्क्रिप्शन एल्गोरिदम का उपयोग करना चाहिए, जो ब्रूटफोर्स प्रयासों को काफी धीमा कर देता है। इसका एक उदाहरण AES-256 एल्गोरिदम के साथ 7zip आर्काइव का उपयोग हो सकता है।