הגנה על מסמכים עם סיסמה – האמנם?


כל המוצרים בסדרת Office, לדוגמה מעבד התמלילים Word, מאפשרים הוספת סיסמה למסמך. מדובר באמצעי מצויין למניעת קריאת מסמך באם יגיע בטעות לאדם זר.

נשאלת השאלה, עד כמה יעילה הגנת ססמה כזו. התשובה היא: לא במיוחד, ועל כך במאמר הבא:

סיסמאות בשחר ההיסטוריה (של אופיס)

בגרסאות ישנות של Office, הגנת הסיסמה הייתה מגוכחת עד כדי כך שניתן בתהליך שנמשך כשתי שניות לחשוף ולהציג את הסיסמה של מסמך מגירסאות אופיס 97 או אופיס 2000, או לחליפין, להסיר את הגנת הסיסמה במחי יד. כיצד זה מתבצע? פשוט מאד. הסיסמה נמצאת מוצפנת בהצפנה פשוטה ביותר וזהה לכל המסמכים ולכל המשתמשים, אשר מאוכסנת בגוף מסמך האופיס. מספיק לפתוח את המסמך שלא באמצעות תוכנת אופיס, אלא באמצעות תוכנת עריכה טקסטואלית, ולאתר אותה (בגירסאות 97 ו-2000, מיקום הסיסמה זהה בכל מסמך). ההצפנה כל כך פשוטה שגם מי שלא מכיר את אלגוריתם ההצפנה (שנמצא באינטרנט כמובן), מספיק להצפין מסמך בסיסמה ידועה מראש (נניח 1234) ולראות מה הערך המוצפן במסמך, ודרך זה לעשות את הפעולה ההפוכה של לאתר את הסיסמה בה הוצפן המסמך, דרך הגירסה המוצפנת של הסיסמה. עד כאן, ההצפנה של גירסאות אופיס הישנות.

חידושי אופיס 2003

בגירסאות מתקדמות יותר, כמו אופיס 2003, ניתן להגן על מסמך בסיסמה, וקיימת הצפנה חזקה ובלתי ניתנת לפריצה, אלא שגם כאן ישנה בעיה. משתמש הקצה אמור לבחור את חוזק ההצפנה כאשר ברירת המחדל היא אותה הצפנה חלשה של הגירסאות הקודמות. כך שאם לא ידעת שניתן להגן על מסמך בהצפנה חזקה, סביר להניח שהמסמך שלך מוגן בהצפנה חלשה. חלשה מאד, אפילו.

המצב כיום

בגירסאות החדשות של אופיס, הגנת הסיסמה בלתי ניתנת לפיצוח, קרי: לא ניתן באמצעים סבירים לפצח את ההצפנה שמשמשת לאכסן את הסיסמה שנבחרה ולחשוף אותה. אולם גם בכך אין סוף פסוק. ניתן לאתר סיסמה מבלי לפצח את ההצפנה לה היא משמשת. כדי לפשט את ההסבר, אם הסיסמה שבחרת היא בת 4 תווים, וסיסמה זו משמשת להצפנה החזקה בעולם, תוך שימוש בכל אמצעי אבטחת המידע האפשריים, עדיין מספיק לנחש 10000 קומבינציות, ולבטח אחת מהן תקלע למטרה. 10000 קומבינציות זה משהו שמחשב ממוצע עושה בשניות בודדות.

בית תוכנה שכל התמחותו, כלים לפריצת סיסמאות מסמכים

מאז שנת 1990 פועלת ברוסיה חברה בשם CrackPassword. המוצרים שלהם ניתנים להורדה בחינם, וכשמדובר בסיסמאות מורכבות, יש לרכוש בכמה עשרות דולרים את הגירסה המסחרית.

התהליך של ניסוי כל הקומבינציות נקרא Brute Force. בשונה מאתר אינטרנט או שרת, שם (כך לפחות במצב תקין) השרת אמור לחסום מספר של נסיונות להכניס סיסמה שגויה, מה שהופך תהליך זה ללא פרקטי, שכן עיקרו – הפעלה אוטומטית ולא הקלדה של מאות אלפי ומיליוני סיסמאות על ידי בן אנוש, הרי שכשמדובר בתוכנה המותקנת במחשב מקומי, אין כיום מנגנון שימנע מקראקר לנסות את כל הקומבינציות, ואחרי שעות או חודשים לאתר את הסיסמה. תוכנת Word לא תנעל את עצמה tאו תחסום את הפורץ אחרי X נסיונות…

כיצד יוצרים סיסמה חזקה

נשאלת השאלה מתי סיסמה הופכת להיות חזקה מספיק כדי שלא ניתן יהיה לפצח אותה (כשכאמור, פיצוח סיסמה כלל לא מצריך פיצוח אלגוריתם ההצפנה בו השתמשו בסיסמה זו). הכל תלוי במהירות המעבד, ובמספר המעבדים במחשב. תוכנה לפיצוח סיסמאות, יכולה לבדוק כ-40,000 סיסמאות אפשריות בשניה! בלי להכנס לחישובים מתמטיים, ניתן לקבוע שסיסמה המורכבת מספרות בלבד, תאותר במהירות בזק, בעוד שסיסמה שמורכבת משילוב של אותיות, סימנים מיוחדים, ספרות ואותיות בעברית (כלומר שילוב של אנגלית + עברית) עשויה להיות בלתי ניתנת לאיתור בזמן ומשאבים סבירים, כל עוד הסיסמה ארוכה דיה  (25 תווים ומעלה).

המוצר של CrackPassword ניתן להורדה בלינק הבא:

http://www.elcomsoft.com/download/aopr_setup_en.msi

מדובר בתוכנה אמינה ביותר שאני מכיר עוד משנת 2000, ומאז רק הלכה והשתכללה משנה לשנה. אם מצאתם מסמך ישן שכבר הספקתם לשכוח באיזה סיסמה הגנתם עליו, ולמעשה לא רק מסמך אלא כל קובץ מוגן סיסמה, לרבות ZIP, גליון אקסל, בסיס נתונים, מצגת וחשבון מייל, וכד’.

הטכניקה לשחזור סיסמה לחשבון מייל או אתר אינטרנט כלשהו הנה שונה. כאמור, שיטת הbrute force לא תעבוד במקרה הזה, ומצד שני, מידע מסוג זה נשמר במחשב וניתן לשליפה בקלות.

כיצד נשמר במחשב מידע על סיסמאות שהוקלדו

המידע על סיסמאות ושמות משתמש שהוקלדו בBrowser או בתוכנות שנות (למשל Outlook), נשמר דרך קבע במחשב שלכם. המידע נשמר באזור שנקרא Protected Storage, ובעזרת כלים רבים (חינמיים) לשליפת מידע זה, ניתן למצוא את פרטי כל האתרים שביקשו שם משתמש וסיסמה, לרבות חשבונות מייל, וכולל אווטלוק וכלי תוכנה אחרים, ולא רק אתרי אינטרנט, כאשר המידע כולל בדרך כלל שם משתמש, סיסמה ואת שם האפליקציה או האתר. לדוגמה, אם תוכנת המייל שלכם היא אווטלוק או Outlook Express ניתן לאתר את המידע על כל חשבון מייל, לרבות פרטי שרת מייל וסיסמה. חלק גדול מכלים אלה נחסם על ידי אנטי וירוסים, זאת על מנת למנוע שימוש זדוני בכלים אלה, על אף שאם שכחתם סיסמה, תוכלו בדרך זו לגלות אותה על בהנחה שהסיסמה נקבעה על המחשב ממנו אתם מנסים לשחזר.

לחיפוש כלי לצפיה בסיסמאות השמורות במחשב שלכם, חפשו בגוגל: Protected storage viewer

כיצד להגן על מידע זה

הדרך היעילה (ועם זאת הכי פחות נוחה) להגן על המידע ולמנוע גילוי שלו הנה לא לסמן לעולם “שמור סיסמה לפעמים הבאות” או בקשה דומה, לא בקשה באתר ולא בקשה בתוכנה מקומית כגון Outlook.  אליה וקוץ בה, אם מותקן במחשב כלי ניטור או רוגלה הכולל מרכיב של key logger, הרי שכל הקלדה כזו תוקלט.

לכן יש להניח כי סיסמת כניסה לאתר או לחשבון מייל אינה מידע שניתן להגן עליו, וכדי להיות מוגנים בכל זאת, הפתרון הוא באמצעות הצפנת המיילים עצמם.

מוצר זול ויעיל הנו certificate שמצורף אוטומטית לכל הודעת מייל שאתם שולחים.

ניתן לרכוש בלינק הבא:

http://www.comodo.com/e-commerce/email-certificates/email-privacy.php

וכמובן שכל אלה לא יעילים אם לא מגינים על המחשב בפני נוזקות ורוגלות, וההמלצה שלי היא על Kaspersky בתור הכלי האולטימטיבי (Firewall וכמובן אנטי וירוס).

והכי חשוב: לא להשתמש באותה סיסמה לשתי מטרות. לא למחזר את אותן סיסמאות (או את אותה סיסמה) לפייסבוק, ולג’י מייל, ובטח שלא להפוך את הקוד הסודי בכספומט או בתא הקולי לסיסמת המייל או תוכנה / מסמך אחרים. סיסמה טובה צריכה להיות ארוכה, מגוונת (שילוב של ספרות, אותיות וסימנים מיוחדים), ואקראית. המושג “אקראי” הוא מטעה, שכן כבר הוכח ששום דבר כמעט אינו אקראי, ביחוד כשמדובר בתוכנת מחשב, אולם זה כבר נושא לכתבה אחרת. רק עצה: השתמשו בתו מיוחד כחלק מהסיסמה. מספר הסימנים בשיטת הקידוד הנפוצה 255. כל הסימנים שבאים לפני תו הרווח (ערך 32) אינם קריאים, כך שנותרים אלה שבין 32 ל255. אלה כוללים תווים בעברית (או בשפה אחרת), לטינית (אותיות קטנות + גדולות), ספרות וסימנים מיוחדים. בחרו תו פחות נפוץ.

אם תבדקו תוכנה לשיחזור סיסמאות, האופציות שמופעלות כברירת מחדל הן אלה:

כלומר, תווים בעברית יכללו בחיפוש רק אם תבחרו Custom Character Set.

אולם אם תתבוננו במספר הסימנים המיוחדים שקיימים במטריצת הקידוד הסטנדרטית, בוודאי תמצאו תווים עוד יותר איזוטריים.

בחרו לפחות אחד כזה, כמובן כל עוד התוכנה או האתר מתירים זאת.

לצורך הבדיקה, שמרתי מסמך (בו נערך מאמר זה) מוגן בסיסמה הבאה “©”. למרות שמדובר בסיסמה בת תו אחד, תגלו שרוב הכלים לא יגלו סיסמה זו ולא מספקים ממשק שיאפשר לכם לאתר סיסמה זו אלא אם ידעתם מראש באיזה תווים מיוחדים ייעשה שימוש.

לקריאה נוספת:  כיצד לדעת אם חשבון הGmail שלך נפרץ.

Advertisements

2 comments on “הגנה על מסמכים עם סיסמה – האמנם?

  1. Pingback: מערכת ההצפנה שגם הFBI לא יכול לפרוץ | מיכאל האפרתי Michael Haephrati

  2. Pingback: סודות ההצפנה | מיכאל האפרתי Michael Haephrati

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s