安全的幻觉比意识到缺乏安全性更糟糕,因为它导致基于错误假设的决策。由公共信任机构传递的信息,如“我们保护您的个人数据”,通常会制造这种安全的幻觉。让我们通过两个使用密码保护的PDF文件的案例来研究这种情况。
- 我收到了来自PZU的邮件,其中包含保险提议,强调“我们保护个人数据”:
![PZU密码保护的PDF](https://sp-ao.shortpixel.ai/client/to_auto,q_lossy,ret_img,w_744,h_662/https://my127001.pl/wp-content/uploads/2022/03/image.jpg)
2. 附件是一个受密码保护的PDF文件:
![受密码保护的PDF](https://sp-ao.shortpixel.ai/client/to_auto,q_lossy,ret_img,w_1024,h_602/https://my127001.pl/wp-content/uploads/2022/03/image-1-1024x602.png)
3. 假设我不知道密码。然而,从邮件内容中我知道密码是由4位数字组成的。让我们看看使用现代家庭电脑破解它需要多长时间。
4. 通过以文本模式打开PDF文件,我们可以读取文件的头信息(例如,使用记事本)。这将使我们能够识别创建该文件时使用的标准版本:
![pdf 1.4](https://sp-ao.shortpixel.ai/client/to_auto,q_lossy,ret_img,w_1024,h_329/https://my127001.pl/wp-content/uploads/2022/03/image-2-1024x329.png)
5. 下一步是提取我们要破解的密码哈希。这里我们使用工具pdf2john.py。
![pdf哈希](https://sp-ao.shortpixel.ai/client/to_auto,q_lossy,ret_img,w_1024,h_69/https://my127001.pl/wp-content/uploads/2022/03/image-4-1024x69.png)
6. 为了破解提取的哈希,我们使用hashcat以暴力破解模式进行破解。10500表示这里的模式是破解PDF版本1.4-1.6文件的哈希:
![](https://sp-ao.shortpixel.ai/client/to_auto,q_lossy,ret_img,w_1010,h_171/https://my127001.pl/wp-content/uploads/2022/03/image-14.png)
![hashcat pdf](https://sp-ao.shortpixel.ai/client/to_auto,q_lossy,ret_img,w_571,h_26/https://my127001.pl/wp-content/uploads/2022/03/image-5.png)
如下所示,破解一个由四位数字组成的密码花了10秒钟:
![pdf hashcat](https://sp-ao.shortpixel.ai/client/to_auto,q_lossy,ret_img,w_918,h_582/https://my127001.pl/wp-content/uploads/2022/03/image-7.png)
因此,可以肯定地说,四位数字的密码是一种虚幻的保护,不能保护个人数据。
接下来,我们来看看NN投资合伙人的“保护”PDF。
- 这里使用了一串稍长的字符进行“保护”——PESEL号码。
![NN投资合伙人pdf](https://sp-ao.shortpixel.ai/client/to_auto,q_lossy,ret_img,w_1024,h_379/https://my127001.pl/wp-content/uploads/2022/03/image-8-1024x379.png)
2. 附件文件的头信息 – “%PDF-1.2” 表明该文件使用了 1996年的标准:
![pdf 1.2](https://sp-ao.shortpixel.ai/client/to_auto,q_lossy,ret_img,w_1024,h_292/https://my127001.pl/wp-content/uploads/2022/03/image-9-1024x292.png)
3. 提取的密码哈希也表明了这一点:
![pdf哈希](https://sp-ao.shortpixel.ai/client/to_auto,q_lossy,ret_img,w_1024,h_41/https://my127001.pl/wp-content/uploads/2022/03/image-10-1024x41.png)
4. 我们用hashcat进行暴力破解。暴力破解,因为我们没有考虑任何其他假设,这些假设会减少可能的组合数量,除了PESEL是一个由11位数字组成的数字外:
![hashcat pesel](https://sp-ao.shortpixel.ai/client/to_auto,q_lossy,ret_img,w_680,h_52/https://my127001.pl/wp-content/uploads/2022/03/image-11.png)
![pdf hashcat](https://sp-ao.shortpixel.ai/client/to_auto,q_lossy,ret_img,w_1024,h_508/https://my127001.pl/wp-content/uploads/2022/03/image-13-1024x508.png)
应该怎么做,怎么生活?
要加密数据,应该使用长密码——超过12个字符,并且具有大的字符空间,也就是说,这些密码应包含大写/小写字母、数字和特殊字符。这样的密码应通过第二个通信渠道发送给客户,例如,通过短信。此外,机构应使用强大的加密算法,这些算法会显著减缓暴力破解尝试。例如,可以使用带有AES-256算法的7zip存档。