Báo cáo BTL nhóm 3

Đặt mật khẩu là một điều đơn giản nhưng việc chúng ta đặt mật khẩu như thế nào để tránh được các cuộc tấn công thì chúng ta phải tìm hiểu thêm.Hiện nay, chúng ta thấy các cuộc tấn công n

HỌC VIỆN KỸ THUẬT MẬT MÃ

KHOA AN TOÀN THÔNG TIN

BÁO CÁO BÀI TẬP LỚN

Đề tài:

CHỨC NĂNG ĐẶT MẬT KHẨU TRONG MỘT SỐ PHẦN MỀM THÔNG DỤNG VÀ CÔNG CỤ PHÁ MẬT

KHẨU TƯƠNG ỨNG

Giảng viên hướng dẫn : Vũ Thị Vân

Sinh viên thực hiện : Lê Văn Chinh AT150306

Nguyễn Mạnh Cường AT150107

Vũ Tài Cương AT150606

Hà Nội, Ngày 05 tháng 09 năm 2021

Nhận xét của giảng viên bộ môn

LỜI MỞ ĐẦU

Dữ liệu là một tài sản vô cùng quan trọng trong thời buổi hiện nay, việc chúng

ta bảo vệ những thông tin của mình là vô cùng cần thiết Chúng ta có nhiều cáchđơn giản để bảo vệ thông tin của mình Một cách đơn giản và phổ biến hiện nay

là chúng ta đặt mật khẩu cho những ứng dụng mình cần bảo vệ

Đặt mật khẩu là một điều đơn giản nhưng việc chúng ta đặt mật khẩu như thế nào để tránh được các cuộc tấn công thì chúng ta phải tìm hiểu thêm.Hiện nay, chúng ta thấy các cuộc tấn công nhắm vào mật khẩu đơn giản ngày một nhiều, vìvậy việc đặt mật khẩu sao cho an toàn và bảo về là một điều vô cùng quan trọng

Ở đề tài này, nhóm chúng em sẽ chỉ ra tác hại của việc đặt mật khẩu đơn giản bằng cách sử dụng các cuộc tấn công mật khẩu trên một số ứng dụng cơ bản Thêm vào đó, chúng em sẽ chỉ ra một số phương thức đặt mật khẩu khi sử dụng các phần mềm đó Và cuối cùng là chỉ ra cách để đặt mật khẩu một cách an toàn

MỤC LỤC

LỜI MỞ ĐẦU 3

I Chức năng đặt mật khẩu của các ứng dụng cơ bản 1

1. Microsoft office 1

1.1 Cơ chế đặt mật khẩu 1

1.2 Các bước đặt mật khẩu 1

2 WinRar 5

2.1 Chức năng đặt mật khẩu 5

2.2 Các bước đặt mật khẩu 6

3 Adobe Acrobat ( Adobe PDF) 8

* Các bước đặt mật khẩu 8

II Công cụ phá mật khẩu tương ứng 11

1 Microsoft thực nghi m ệm 11

1.1 Công cụ 11

1.2 Mô hình thực hi n ện 11

1.3 Quá trình thực nghi m ện 11

2 WinRAR thực nghiệm 12

2.1 Công cụ 12

2.2 Mô hình thực hiện 12

2.3 Quá trình thực nghiệm 13

2.4 Kết quả và kết luận 13

3 Adobe Acrobat ( Adobe PDF) 14

3.1 Mở khóa trực tuyến 14

3.2 Mở khóa bằng phần mềm 15

3.3 Cách đoán mật khẩu 17

III Kết luận chung và khuyến nghị cho người dùng 17

I Chức năng đặt mật khẩu của các ứng dụng cơ bản

1. Microsoft office

1.1 Cơ chế đặt mật khẩu

 Có 3 cơ chế đặt mật khẩu như sau:

+ Password to open: Mật khẩu để mở file

+ Password to modify: Nếu chỉ nhập mật khẩu ở ô này thì người dùng vẫn

xem được nội dung file văn bản (bằng cách mở Read Only), chỉ khi chỉnh

sửa và lưu lại thì người dùng mới phải nhập mật khẩu

+ Protect document: không cho copy và chỉnh sửa

 Thuật toán bảo mật mật khẩu:

+ Microsoft Office 95: Mã hóa yếu chuyển mật khẩu thành mã hóa 16-bit;

có thể giải mã tức thì

+ Office 97 và 2000: Độ dài mã hóa lên tới 40-bit; giải mã tức thì

+ Office XP và 2003: Độ dài mã hóa vẫn 40-bit nhưng Microsoft bổ sung

tùy chọn bảo vệ thuật toán mã hóa tùy chỉnh; tốc độ giải mã tùy thuộc vàothuật toán đó

+ Office 2007: Mã hóa AES, tích hợp SHA1; khó khôi phục mật khẩu

+ Office 2013: Vẫn sử dụng AES-128, nhưng cập nhật thuật toán hash lên

SHA-2; mặc định sử dụng SHA-512; cực kỳ khó khôi phục mật khẩu

1.2 Các bước đặt mật khẩu

 Đặt mật khẩu pasword hoặc password to modify

- Bước 1: Vào biểu tượng Office, chọn Save as

- Bước 2: Hiển thị giao diện tùy chọn lưu file Tại đây người dùng

nhấn vào nút Tools rồi chọn General Options

- Bước 3: Để tạo mật khẩu mở file Word người dùng nhập mật khẩu tại Password to open Tạo mật khẩu thay đổi tài liệu người dùng nhập mật khẩu tại Password to modify (có thể đặt 1 loại mật khẩu).

- Bước 4: Xác nhận lại 2 lần mật khẩu rồi chọn Save

 Đặt mật khẩu không cho copy chỉnh sửa

- Bước 1: chọn vào mục Review rồi nhấn tiếp vào công cụ Protect

Document, rồi nhấn chọn tiếp Restrict Formatting and Editing.

- Bước 2: Nếu người dùngkhông cho phép thay đổi nội dung,

nhưng cho phép đổi định dạng thì người dùng sử dụng tùy chọn Formatting restrictions, rồi tích chọn vào Limit formatting

to a selection of styles và chọn Yes, Start Enforcing Protection.

Khi đó hiển thị hộp thoại để người dùng nhập mật khẩu bảo mật, nhấn OK

để lưu lại

Nếu người dùngkhông muốn người khác thay đổi bất kỳ nội dung nào, bao gồm cả định dạng thì nên sử dụng mục 2 Editing restrictions rồi tích chọn vào Allow only this type of editing in the document để kích hoạt chức năng

này

Tiếp đến hiển thị danh sách để người dùng lựa chọn:

 Tracked changes: Chỉ được phép thực hiện thay đổi có để lại nhậnbiết

 Comments: Chỉ được phép thêm vào các ghi chú trong văn bản

 Filling in forms: Chỉ được phép thay đổi các đối tượng trong biểumẫu

 No changes (read only): Không cho phép thay đổi bất cứ điều gìtrong văn bản, chỉ cho phép đọc

Tại đây người dùng sẽ lựa chọn Filling in forms rồi nhấn tiếp Yes, Start

Enforcing Protection để bắt đầu thiết lập.

Hiển thị giao diện để người dùng nhập mật khẩu bảo mật nội dung, nhấn OK đểlưu lại.

2 WinRar

2.1 Chức năng đặt mật khẩu

Ở WinRar có các như sau:

- Organize passwords: Lưu lại các password để có thể sử dụng lại nhiều

lần

- Set password: Đặt mật khẩu cho từng file rar (có thể sử dụng các

password trong Organize password)

- How Does WinRAR Check a Password ?

+ WinRar không check password, thay vào đó mật khẩu phải vượt quahàm băm và các mộ mã khóa AES-128/256 bit, và sau đó sử dụng mã đólàm khóa để mã hóa file dữ liệu

+ Từ RAR 5.0, WinRAR đã phát hiện được mật khẩu sai trước khi phảigiải nén bởi nó lưu trữ một hàm băm mật khẩu đặc biệt (được tạo từ hàmbăm một chiều)

Khi nhập mật khẩu, RAR sẽ so sánh hàm băm của nó với hàm băm đượclưu trữ, nếu không khớp, nó sẽ từ chối mật khẩu

(thông tin lấy từ https://www.win-rar.com/encryption-faq.html?&L=0 )Nếu người dùng nhập đúng mật khẩu thì người dùng sẽ được truy cập vàofile rar còn không thì hệ thống sẽ báo và không cho người dùng truy cập

2.2 Các bước đặt mật khẩu

- Bước 1: Chọn file cần đặt mật khẩu

- Bước 2: Chọn Tools -> Convert Archives hoặc có thể bấm tổ hợpAlt+Q

- Bước 3: Chọn Compression

Sau đó chọn set password

- Bước 4: Đặt mật khẩu

+ Ở đây người dùng có thể chọn “Encrypt File Names” để mãhóa mọi thông tin từ tên file, kích cỡ, các thành phần trongfile và một số thành phần khác.

+ Sau khi đặt xong mật khẩu sẽ mất một chút thời gian đểWinRAR mã hóa mật khẩu càng mạnh thì thời gian mã hóacàng lâu

3 Adobe Acrobat ( Adobe PDF)

Adobe Acrobat là một hệ thống các phần mềm ứng dụng và dịch vụ Webđược phát triển bởi Adobe Systems nhằm mục đích xem, tạo, thao tác, in,quản lý các tệp PDF và một tính năng vô cực hữu ích nữa đó là giúpngười dùng đặt mật khẩu để bảo mật nội dung cho file PDF

- Bước 2: Ngay sau đó, giao diện Password Security - Settings xuất hiện Phần Compatibility, người dùngchọn các phiên bản Acrobat để

có được các thuật toán mã hóa mật khẩu tốt hơn

- Tiếp theo, người dùng sẽ tích chọn vào các mục sau:

+ Require a password to opent document: yêu cầu nhập mật khẩu để

mở file PDF ngay với các phần mềm đọc PDF khác Người dùngnhập

mật khẩu vào mục Document Open Password.

+ Restrict editing and printing of the document A password will be

required in order to change these permission settings: nhập mật khẩu để có thể chỉnh sửa file PDF Điền mật khẩu vào ô Change Permission Pasword.

Cuối cùng nhấn OK để lưu lại thiết lập ( chú ý mật khẩu mở file PDF

phải khác với mật khẩu cho phép chỉnh sửa file)

- Bước 3 : Phần mềm sẽ yêu cầu nhập lại mật khẩu mở file PDF

Và nhập lại mật khẩu chỉnh sửa file PDF

- Bước 4: Bây giờ, người dùng thử mở lại file PDF đã có mật khẩu và

sẽ được yêu cầu nhập mật khẩu nếu muốn mở file (cho dù ngườidùng sử dụng chương trình khác để mở file này,vẫn cần đến mậtkhẩu)

II Công cụ phá mật khẩu tương ứng

1 Microsoft thực nghiệm

1.1 Công cụ

- Sử dụng công cụ “Office password recovery”

- Cơ chế phá khóa: có 3 cơ chế cơ bản

+ Dictionary attack: Tấn công dựa trên từ điển

+ Mask attack: Tấn công dựa trên thông tin đã biết

+ Brute force attack: tấn công dò mật khẩu

1.2 Mô hình thực hiện

Chuẩn bị:

- Một file word đã được đặt mật khẩu có tên “Test1” mật khẩu là “abc123”

- Một file word đã được đặt mật khẩu có tên “Test2” mật khẩu gồm 8 ký tự,

có 1 chữ hoa, 4 chữ thường và 3 chữ số

- Cách tấn công: Trong lần thực nghiệm này sẽ sử dụng tấn công Dictionaryattack để có thể đẩy nhanh tiến độ tấn công nhờ vào thông tin đã có ở trênphần chuẩn bị

Ta sẽ có mô hình như sau:

1.3 Quá trình thực nghiệm

+ Bước 1: chọn Add

+ Bước 2: chọn thư mục cần phá mật khẩu

+ Bước 3: chọn 1 trong 3 chế độ mật khẩu cần quét

+ Bước 4: chọn Start

Kết quả: công cụ quét lần lượt các kí tự từ số đến chữ cái để có thể tìm ra mậtkhẩu của file Sau khi quét đến dãy ký tự trùng khớp với mật khẩu của file thì sẽhiển thị kết quả.

2 WinRAR thực nghiệm

2.1 Công cụ

- Sử dụng phần mềm “Rar Password Recover” để giải mã mật khẩu

- Chức năngphá khóa: có 3 Chức năngcơ bản

+ Dictionary attack: Tấn công dựa trên từ điển

+ Một cuộc tấn công từ điển là một kỹ thuật hay phương pháp sử dụng để viphạm bảo mật máy tính của một máy được bảo vệ bằng mật khẩu hoặcmáy chủ Một từ điển nỗ lực tấn công để đánh bại một Chức năngxác thựcbằng cách nhập một cách hệ thống mỗi từ trong một cuốn từ điển như mộtmật khẩu hoặc cố gắng để xác định khóa giải mã của một thông điệp được

mã hóa hoặc tài liệu các cuộc tấn công từ điển thường thành công vìnhiều người sử dụng và các doanh nghiệp sử dụng các từ thông thườngnhư mật khẩu Những lời nói bình thường có thể dễ dàng tìm thấy trongmột cuốn từ điển, chẳng hạn như một cuốn từ điển tiếng Anh

+ Mask attack: Tấn công dựa trên thông tin đã biết

+ Dựa vào thông tin đã biết từ mật khẩu việc tấn công sẽ trở nên dễ dàngcũng như thời gian để có thể phá được mật khẩu cũng nhanh hơn mộtcách rõ rệt

+ Là một phương thức cải tiến hơn của brute force attack với điều kiện làngười dùng phải biết được thông tin của mật khẩu

+ Brute force attack: tấn công dò mật khẩu: kẻ tấn công sử dụng một công

cụ mạnh mẽ, có khả năng thử nhiều username và password cùng lúc (từ

dễ đến khó) cho tới khi đăng nhập thành công

- Ta sẽ có mô hình như sau:

Hình 2.2.2 Mô hình thực hiện

2.3 Quá trình thực nghiệm

- Thực nghiệm với file “Test1”

- https://storage.cloud.google.com/demo-winrar/Demo1.mp4

- Thực nghiệm với file “Test2”

- Tuy nhiên có vẻ là với mật khẩu phức tạp hơn một cách đáng kể thì công

cụ này tốn rất nhiều thời gian vẫn chưa tìm được mật khẩu chính xác

Hình 2.2.3 Thực nghiệm lần 2

2.4 Kết quả và kết luận

- Kết quả:

+ Với lần thực nghiệm đầu thời gian thực hiện việc tìm ra mật khẩurất ngắn

+ Với lần thực nghiệm số hai, thời gian thực hiện việc phá khóa mậtkhẩu tốn khá nhiều thời gian

- Giải thích

+ Khi người dùng sử dụng mật khẩu càng phức tạp thì số trường hợpphải thực hiện nó nhiều hơn, dẫn đến việc thời gian thực hiện sẽ lâuhơn so với việc người dùng đặt mật khẩu đơn giản Điều này giảithích cho việc thời gian thực hiện của thực nghiệm lần 1 ít hơn sovới thực nghiệm lần 2

- Kết luận:

+ Khi đặt mật khẩu cho một file RAR người dùng nên đặt các mậtkhẩu có tính bảo mật cao (Cách đặt mật khẩu tốt như thế nào sẽđược nói đến trong phần 3)

3 Adobe Acrobat ( Adobe PDF)

3.1 Mở khóa trực tuyến

* Đây là cách đơn giản nhất để mở pass pdf mà không cần cài đặt bất

kỳ phần mềm nào, có nhiều website hỗ trợ mở khóa file pdf khôngcho chỉnh sửa in ấn

* Cơ chế của phương pháp này là bruteforce dò từng kí tự

- Các bước thực hiện:

Bước 1: Truy cập vào đường link https://www.ilovepdf.com/unlock_pdfBước 2: Nhấn chuột chọn SELECT PDF FILE, có 3 lựa chọn tải file pdflên ứng dụng gồm:

+ Dropbox: Tải file từ ứng dụng lưu trữ trực tuyến Dropbox

+ Google Drive: Upload file từ ứng dụng Google Drive

Bước 3: Người dùng có thể tải thêm nhiều file pdf để mở khóa cùng lúc,sau đó nhấn UNLOCK PDF để hệ thống tự động tìm và unlock file pdf

Bước 4: Thời gian tìm và mở pass file pdf nhanh hay chậm phụ thuộc vào

độ phức tạp của mật khẩu

* Nhận xét :

- Ưu điểm cách phá pass pdf online:

+ Đơn giản, dễ sử dụng

+ Không cần cài đặt phần mềm trên máy tính

+ Hoàn toàn miễn phí

- Nhược điểm:

+ Chỉ mở khóa được những file pdf có độ dài mật khẩu từ 4 ký tự trởxuống, nếu mật khẩu dài hơn 6 kí tự thời gian phá sẽ lâu và thậm chíkhông mở được

3.2 Mở khóa bằng phần mềm

- Chức năng mở khóa:

+ Dictionary Attack: Cách mở mật khẩu file pdf bằng file từ điển, người dùngcần nhập hoặc upload file từ điển mới sử dụng được tính năng này

+ Mask Attack: Là cách mở khóa file pdf hiệu quả nhất, có nhiều lựa chọn

mà người dùng có thể thiết lập như độ dài mật khẩu, các loại ký tự…

+ Brute Force: Đây là cách tìm và mở pass pdf tự động

- Phần mềm sử dụng : iSeePassword Dr.PDF

Hình 1 Phần mềm iSeePassord

Hình 2: Phần mềm lấy được mật khẩu file

* Nhận xét

- Ưu điểm cách mở khóa file pdf bằng phần mềm

+ Có thể tìm và mở pass file pdf có độ dài và kích thước phức tạp

+ Tính bảo mật thông tin và dữ liệu cao

- Nhược điểm:

+ Người dùng phải trả một khoản phí để sử dụng tính năng mở pass filepdf nâng cao

3.3 Cách đoán mật khẩu

- Nếu 2 cách trên không thành công thì người dùng có thể đoán mật khẩufile pdf đó bằng các loại password phổ biến như 1 -> 8, 1 -> 6, abcxyz,123abc, abcdef… Hoặc những mật khẩu thông dụng khác

- Cách này yếu tố may mắn chiếm tỉ lệ cao, nếu người dùng cố tình đặtpassword file pdf bằng những ký tự đặc biệt như @, *,?,~, $… thì xácsuất thành công tương đối thấp

III Kết luận chung và khuyến nghị cho người dùng

- Chức năng đặt mật khẩu vô cùng có ích mà các nhà phát triển phần mềm

đã sáng tạo ra giúp người dùng nâng cao tính an toàn trong các file dữliệu với các thuật toán tiên tiến với tính bảo mật cao

- Nhưng bên cạnh đó, người dùng cần cũng có những lưu ý:

+ Tránh đặt những mật khẩu quen thuộc như “abc123”, “123456”, ngàytháng năm sinh, …

+ Đặt mật khẩu cần kết hợp giữa ký tự đặc biệt, chữ cái và số để tăng độmạnh của mật khẩu