陈孟峯义守大学资讯管理系mchenisu@.ppt

陳孟峯 義守大學資訊管理系 .tw,2006數位教學暨資訊實務研討會,文件保密機制的分析：以微軟Office為例,黃源弘 高雄市立右昌國中 6,2006年12月8日,2/15,研究內容,探討Office文件加密的方法及步驟。 以市面上常見的破解軟體進行測試。 破解過程中了解其安全性問題。 整理出一般常用的密碼組合及破解困難度。 探討Access資料庫密碼破解方式及演算法。 提出各種安全性問題的建議方案 。,3/15,相關知識,資訊安全背後靠的是技術，成敗卻是管理。 各種保護機制都有相關的破解方法。 常見的資料保護方式就是採用密碼。 暴力(蠻力)破解法是將用到的文字符號依序組合拿來做加密檔案的測試。 字典破解法是將密碼字典裡的單字拿來做加密檔案的測試。,4/15,雙核心CPU電腦破解密碼時間統計表,本研究整理，資料來源：http:/www.lockdown.co.uk (2006),5/15,密碼組合方式及可用字符,6/15,Office文件的加密流程,微軟Office文件檔案都設有密碼保護功能。 密碼保護可防止它人開啟檔案觀看其內容。 有密碼保護的檔案在開啟時會被要求輸入密碼，輸入成功才能順利開啟。 設定密碼的畫面還提供進階選項功能，可挑選更複雜的加密演算法來增強安全性。,7/15,Office文件的密碼破解,破解密碼的軟體很多，例如Lostpassword公司出品的Password Recovery Kit 以及Accentsoft公司的Accent Office Password Recovery 實測發現，密碼如果採用一般的英文單字都能在二十秒內破解完成。 如果密碼採用英文、數字及符號混合，破解時將花很長的時間。 越來越多軟體提供中文密碼，而Office 2003必需昇級到SP2才能輸入中文密碼。,8/15,Access 97密碼破解流程,實測發現破解的成功率是100%，而且瞬間完成。 加密方式是將密碼與一串關鍵數值做XOR運算。 運算過後所產生的這一串數值放在檔案的第67位元組位置以達到加密的目的。 比對加密與未加密的資料庫檔案發現，密碼或關鍵數值是存放在檔案的第67位元組79位元組之間，長度共13個位元組。 未加密前的這13個位元組關鍵數值依序為：86 FB EC 37 5D 44 9C FA C6 5E 28 E6 13 將加密檔案的13個位元組數值與這13個位元組關鍵數值做XOR運算即可反算出原先輸入的保護密碼。,9/15,Access 97密碼破解實例,有一個資料庫檔案，其加密後的第67位元組之後內容如下(以十六進位表示)： 將13個關鍵數值與加密後的數值做XOR運算 求得密碼為：kj6688,10/15,Access 2000密碼破解流程,密碼保護方式跟Access 97稍有不同，但加密後的數值也是存放在第67位元組之後。 配合中文改採兩個位元組為單位，存放密碼的範圍到第106位元組共40個位元組。 將加密前與加密後的這40個位元組進行XOR運算可求得當初輸入的密碼。 未加密前的這40個位元組關鍵數值會隨著這份文件的建檔日期做變化，它是經過特別的演算法加以編碼產生的，不像Access 97是固定不變的。 改變系統日期切換到當初的建檔日期，重新再建立一個未加密的資料庫檔案即可取得這40個位元組關鍵數值再與加密後數值進行XOR運算求得當初輸入的保護密碼。,11/15,Access 2000密碼破解實例,將40個未加密前的關鍵數值與加密後的數值做XOR運算求得密碼為：abc123,未加密的第67位元組之後內容如下：,加密的第67位元組之後內容如下：,12/15,結論,任何密碼保護方式都有可能被破解。 增加密碼的複雜度可以有效的延長被破解的時間。 Access資料庫檔案目前沒有任何有效的保護方法。 最好的資料保護措施還是妥善保管重要文件檔案。,13/15,建議(一),重要檔案不要放在公用電腦。 用隨身碟存放重要檔案，使用完畢立即拔除勿隨意放置。 檔案的命名儘量不要加入重要性的字眼，自己看的懂就好，表面上看起來不重要的檔案能降低別人竊取的興趣。,妥善保存重要檔案，降低檔案被竊取，提供以下幾點建議：,14/15,建議(二),密碼採用英文、數字及符號混合。 密碼的字數不要太短，建議六個字元以上。 將Office 2003更新至SP2，密碼就可以使用中文。 使用國語或台語拼音，組合成較長且無英文字義的字母串，卻又容易記憶。例如warDerMeeMar（我的密碼）。 不要使用自己的基本資料當密碼，例如：出生日期、身份證字號、姓名。 不要依英文及數字在鍵盤上的排列位置輸入密碼，例如：qwerty、asdfgh等。,密碼的命名非常重要，提供以下幾點建議：,15/15,建議(三),重要資料不要存放在Access資料庫檔案，因為它目前沒有任何有效的保護方法。 如果是存放在網站提供介面供人存取，則檔案