Tải bản đầy đủ (.docx) (23 trang)
  1. Trang chủ
    2. >>
  2. Giáo Dục - Đào Tạo
    3. >>
  3. Ôn thi Đại học - Cao đẳng

Báo cáo BTL nhóm 3

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (979.56 KB, 23 trang )

HỌC VIỆN KỸ THUẬT MẬT MÃ
KHOA AN TỒN THƠNG TIN

BÁO CÁO BÀI TẬP LỚN
Đề tài:

CHỨC NĂNG ĐẶT MẬT KHẨU TRONG MỘT SÔ
PHẦN MỀM THÔNG DỤNG VÀ CÔNG CỤ PHÁ MẬT
KHẨU TƯƠNG ỨNG

Giảng viên hướng dẫn : Vũ Thị Vân

Sinh viên thực hiện : Lê Văn Chinh
Nguyễn Mạnh Cường
Vũ Tài Cương

AT150306
AT150107
AT150606

Hà Nội, Ngày 05 tháng 09 năm 2021


Nhận xét của giảng viên bộ môn


LỜI MỞ ĐẦU
Dữ liệu là một tài sản vô cùng quan trọng trong thời buổi hiện nay, việc chúng
ta bảo vệ những thơng tin của mình là vơ cùng cần thiết. Chúng ta có nhiều cách
đơn giản để bảo vệ thơng tin của mình. Một cách đơn giản và phổ biến hiện nay
là chúng ta đặt mật khẩu cho những ứng dụng mình cần bảo vệ.


Đặt mật khẩu là một điều đơn giản nhưng việc chúng ta đặt mật khẩu như thế
nào để tránh được các cuộc tấn cơng thì chúng ta phải tìm hiểu thêm.Hiện nay,
chúng ta thấy các cuộc tấn công nhắm vào mật khẩu đơn giản ngày một nhiều, vì
vậy việc đặt mật khẩu sao cho an tồn và bảo về là một điều vơ cùng quan trọng
Ở đề tài này, nhóm chúng em sẽ chỉ ra tác hại của việc đặt mật khẩu đơn giản
bằng cách sử dụng các cuộc tấn công mật khẩu trên một số ứng dụng cơ bản.
Thêm vào đó, chúng em sẽ chỉ ra một số phương thức đặt mật khẩu khi sử dụng
các phần mềm đó. Và cuối cùng là chỉ ra cách để đặt mật khẩu một cách an toàn.


MỤC LỤC


I.

Chức năng đặt mật khẩu của các ứng dụng cơ bản

1. Microsoft office
1.1. Cơ chế đặt mật khẩu
• Có 3 cơ chế đặt mật khẩu như sau:
+ Password to open: Mật khẩu để mở file.
+ Password to modify: Nếu chỉ nhập mật khẩu ở ơ này thì người dùng vẫn
xem được nội dung file văn bản (bằng cách mở Read Only), chỉ khi chỉnh
sửa và lưu lại thì người dùng mới phải nhập mật khẩu.
+ Protect document: không cho copy và chỉnh sửa.
• Tḥt tốn bảo mật mật khẩu:
+ Microsoft Office 95: Mã hóa yếu chuyển mật khẩu thành mã hóa 16-bit;
có thể giải mã tức thì
+ Office 97 và 2000: Độ dài mã hóa lên tới 40-bit; giải mã tức thì
+ Office XP và 2003: Độ dài mã hóa vẫn 40-bit nhưng Microsoft bổ sung

tùy chọn bảo vệ thuật tốn mã hóa tùy chỉnh; tốc độ giải mã tùy thuộc vào
thuật tốn đó
+ Office 2007: Mã hóa AES, tích hợp SHA1; khó khơi phục mật khẩu
+ Office 2013: Vẫn sử dụng AES-128, nhưng cập nhật thuật toán hash lên
SHA-2; mặc định sử dụng SHA-512; cực kỳ khó khơi phục mật khẩu
1.2. Các bước đặt mật khẩu
• Đặt mật khẩu pasword hoặc password to modify
- Bước 1: Vào biểu tượng Office, chọn Save as.

-

Bước 2: Hiển thị giao diện tùy chọn lưu file. Tại đây người dùng
nhấn vào nút Tools rồi chọn General Options
5




-

Bước 3: Để tạo mật khẩu mở file Word người dùng nhập mật khẩu
tại Password to open. Tạo mật khẩu thay đổi tài liệu người dùng
nhập mật khẩu tại Password to modify (có thể đặt 1 loại mật khẩu).

-

Bước 4: Xác nhận lại 2 lần mật khẩu rồi chọn Save.

Đặt mật khẩu không cho copy chỉnh sửa
- Bước 1: chọn vào mục Review rồi nhấn tiếp vào công cụ Protect

Document, rồi nhấn chọn tiếp Restrict Formatting and Editing.
6


-

Bước 2: Nếu người dùngkhông cho phép thay đổi nội dung,
nhưng cho phép đổi định dạng thì người dùng sử dụng tùy
chọn Formatting restrictions, rồi tích chọn vào Limit formatting to a
selection of styles và chọn Yes, Start Enforcing Protection.

Khi đó hiển thị hộp thoại để người dùng nhập mật khẩu bảo mật, nhấn OK
để lưu lại.

7


Nếu người dùngkhông muốn người khác thay đổi bất kỳ nội dung nào,
bao gồm cả định dạng thì nên sử dụng mục 2 Editing restrictions rồi tích chọn
vào Allow only this type of editing in the document để kích hoạt chức năng
này.
Tiếp đến hiển thị danh sách để người dùng lựa chọn:
Tracked changes: Chỉ được phép thực hiện thay đổi có để lại nhận
biết.
• Comments: Chỉ được phép thêm vào các ghi chú trong văn bản.
• Filling in forms: Chỉ được phép thay đổi các đối tượng trong biểu
mẫu.
• No changes (read only): Không cho phép thay đổi bất cứ điều gì trong
văn bản, chỉ cho phép đọc.
Tại đây người dùng sẽ lựa chọn Filling in forms rồi nhấn tiếp Yes, Start

Enforcing Protection để bắt đầu thiết lập.


8


Hiển thị giao diện để người dùng nhập mật khẩu bảo mật nội dung, nhấn OK để
lưu lại.
2. WinRar
2.1. Chức năng đặt mật khẩu
Ở WinRar có các như sau:
-

Organize passwords: Lưu lại các password để có thể sử dụng lại nhiều

-

lần
Set password: Đặt mật khẩu cho từng file rar (có thể sử dụng các
password trong Organize password)

-

+

How Does WinRAR Check a Password ?
WinRar khơng check password, thay vào đó mật khẩu phải vượt qua hàm

băm và các mộ mã khóa AES-128/256 bit, và sau đó sử dụng mã đó làm khóa để
mã hóa file dữ liệu.

+

Từ RAR 5.0, WinRAR đã phát hiện được mật khẩu sai trước khi phải giải

nén bởi nó lưu trữ một hàm băm mật khẩu đặc biệt. (được tạo từ hàm băm một
chiều).
Khi nhập mật khẩu, RAR sẽ so sánh hàm băm của nó với hàm băm được
lưu trữ, nếu khơng khớp, nó sẽ từ chối mật khẩu.
(thông tin lấy từ )

9


Nếu người dùng nhập đúng mật khẩu thì người dùng sẽ được truy cập vào
file rar cịn khơng thì hệ thống sẽ báo và không cho người dùng truy cập

2.2. Các bước đặt mật khẩu
-

Bước 1: Chọn file cần đặt mật khẩu

-

Bước 2: Chọn Tools -> Convert Archives hoặc có thể bấm tổ hợp
Alt+Q

10


-


Bước 3: Chọn Compression

Sau đó chọn set password
11


Bước 4: Đặt mật khẩu

-

+ Ở đây người dùng có thể chọn “Encrypt File Names” để mã

hóa mọi thơng tin từ tên file, kích cỡ, các thành phần trong
file và một số thành phần khác.
+ Sau khi đặt xong mật khẩu sẽ mất một chút thời gian để

WinRAR mã hóa mật khẩu càng mạnh thì thời gian mã hóa
càng lâu

3. Adobe Acrobat ( Adobe PDF)
Adobe Acrobat là một hệ thống các phần mềm ứng dụng và dịch vụ Web
được phát triển bởi Adobe Systems nhằm mục đích xem, tạo, thao tác, in,
quản lý các tệp PDF và một tính năng vơ cực hữu ích nữa đó là giúp
người dùng đặt mật khẩu để bảo mật nội dung cho file PDF.
*

Các bước đặt mật khẩu
12



-

Bước 1: Mở file PDF, lựa chọn mục Secure bên trên thanh Menu, rồi
chọn Encrypt with Password để tiến hành các bước đặt mật khẩu cho
dữ liệu PDF

Xuất hiện hộp thoại mới, chọn Yes để tiếp tục

-

Bước 2: Ngay sau đó, giao diện Password Security - Settings xuất
hiện. Phần Compatibility, người dùngchọn các phiên bản Acrobat để
có được các thuật tốn mã hóa mật khẩu tốt hơn.

13


-

Tiếp theo, người dùng sẽ tích chọn vào các mục sau:
+

Require a password to opent document: yêu cầu nhập mật khẩu để
mở file PDF ngay với các phần mềm đọc PDF khác. Người dùngnhập
mật khẩu vào mục Document Open Password.

+

Restrict editing and printing of the document. A password will be

required in order to change these permission settings: nhập mật
khẩu để có thể chỉnh sửa file PDF. Điền mật khẩu vào ô Change
Permission Pasword.

Cuối cùng nhấn OK để lưu lại thiết lập ( chú ý mật khẩu mở file PDF phải
khác với mật khẩu cho phép chỉnh sửa file) .

-

Bước 3: Phần mềm sẽ yêu cầu nhập lại mật khẩu mở file PDF

14


Và nhập lại mật khẩu chỉnh sửa file PDF

-

Bước 4: Bây giờ, người dùng thử mở lại file PDF đã có mật khẩu và
sẽ được yêu cầu nhập mật khẩu nếu muốn mở file (cho dù người
dùng sử dụng chương trình khác để mở file này,vẫn cần đến mật
khẩu)

II. Cơng cụ phá mật khẩu tương ứng
1. Microsoft thực nghiệm
1.1. Công cu
- Sử dụng công cụ “Office password recovery”
15



-

Cơ chế phá khóa: có 3 cơ chế cơ bản
+ Dictionary attack: Tấn công dựa trên từ điển.
+ Mask attack: Tấn công dựa trên thông tin đã biết.
+ Brute force attack: tấn cơng dị mật khẩu.

Mơ hình thực hiện

1.2.

Chuẩn bị:
-

Một file word đã được đặt mật khẩu có tên “Test1” mật khẩu là “abc123”

-

Một file word đã được đặt mật khẩu có tên “Test2” mật khẩu gồm 8 ký tự,
có 1 chữ hoa, 4 chữ thường và 3 chữ số.

-

Cách tấn công: Trong lần thực nghiệm này sẽ sử dụng tấn cơng Dictionary
attack để có thể đẩy nhanh tiến độ tấn cơng nhờ vào thơng tin đã có ở trên
phần chuẩn bị.

Ta sẽ có mơ hình như sau:

Q trình thực nghiệm


1.3.

+
+
+
+

Bước 1: chọn Add
Bước 2: chọn thư mục cần phá mật khẩu
Bước 3: chọn 1 trong 3 chế độ mật khẩu cần quét
Bước 4: chọn Start

Kết quả: công cụ quét lần lượt các kí tự từ số đến chữ cái để có thể tìm ra mật
khẩu của file. Sau khi quét đến dãy ký tự trùng khớp với mật khẩu của file thì sẽ
hiển thị kết quả.
16


2. WinRAR thực nghiệm
2.1. Công cu
Sử dụng phần mềm “Rar Password Recover” để giải mã mật khẩu

-

Chức năngphá khóa: có 3 Chức năngcơ bản

-

+ Dictionary attack: Tấn công dựa trên từ điển

+ Một cuộc tấn công từ điển là một kỹ thuật hay phương pháp sử dụng để vi

phạm bảo mật máy tính của một máy được bảo vệ bằng mật khẩu hoặc
máy chủ. Một từ điển nỗ lực tấn công để đánh bại một Chức năngxác thực
bằng cách nhập một cách hệ thống mỗi từ trong một cuốn từ điển như một
mật khẩu hoặc cố gắng để xác định khóa giải mã của một thơng điệp được
mã hóa hoặc tài liệu. các cuộc tấn công từ điển thường thành cơng vì
nhiều người sử dụng và các doanh nghiệp sử dụng các từ thơng thường
như mật khẩu. Những lời nói bình thường có thể dễ dàng tìm thấy trong
một cuốn từ điển, chẳng hạn như một cuốn từ điển tiếng Anh.
+ Mask attack: Tấn công dựa trên thông tin đã biết
+ Dựa vào thông tin đã biết từ mật khẩu việc tấn công sẽ trở nên dễ dàng

cũng như thời gian để có thể phá được mật khẩu cũng nhanh hơn một
cách rõ rệt
+ Là một phương thức cải tiến hơn của brute force attack với điều kiện là

người dùng phải biết được thông tin của mật khẩu
+ Brute force attack: tấn cơng dị mật khẩu: kẻ tấn cơng sử dụng một cơng

cụ mạnh mẽ, có khả năng thử nhiều username và password cùng lúc (từ dễ
đến khó) cho tới khi đăng nhập thành công.

2.2. Mô hình thực hiện.
-

Chuẩn bị:
+

Một file Rar đã được đặt mật khẩu có tên “Test1” mật khẩu là 1 số có 3

chữ số.

+

Một file Rar đã được đặt mật khẩu có tên “Test2” mật khẩu gồm 5 ký tự,
có 2 chữ thường và 3 chữ số.

17


-

Cách tấn công: Trong lần thực nghiệm này, em sẽ sử dụng tấn cơng mask
attack để có thể đẩy nhanh tiến độ tấn cơng nhờ vào thơng tin đã có ở trên
phần chuẩn bị.
Ta sẽ có mơ hình như sau:

-

Hình 2.2.2 Mơ hình thực hiện

2.3. Q trình thực nghiệm
-

Thực nghiệm với file “Test1”

-

/>
-


Thực nghiệm với file “Test2”

-

Tuy nhiên có vẻ là với mật khẩu phức tạp hơn một cách đáng kể thì cơng
cụ này tốn rất nhiều thời gian vẫn chưa tìm được mật khẩu chính xác

18


Hình 2.2.3 Thực nghiệm lần 2

2.4. Kết quả và kết luận
-

-

Kết quả:
+

Với lần thực nghiệm đầu thời gian thực hiện việc tìm ra mật khẩu
rất ngắn

+

Với lần thực nghiệm số hai, thời gian thực hiện việc phá khóa mật
khẩu tốn khá nhiều thời gian

Giải thích

+

Khi người dùng sử dụng mật khẩu càng phức tạp thì số trường hợp
phải thực hiện nó nhiều hơn, dẫn đến việc thời gian thực hiện sẽ lâu
hơn so với việc người dùng đặt mật khẩu đơn giản. Điều này giải
19


thích cho việc thời gian thực hiện của thực nghiệm lần 1 ít hơn so
với thực nghiệm lần 2
-

Kết luận:
+

Khi đặt mật khẩu cho một file RAR người dùng nên đặt các mật
khẩu có tính bảo mật cao. (Cách đặt mật khẩu tốt như thế nào sẽ
được nói đến trong phần 3)

3. Adobe Acrobat ( Adobe PDF)
3.1. Mở khóa trực tuyến
Đây là cách đơn giản nhất để mở pass pdf mà khơng cần cài đặt bất
kỳ phần mềm nào, có nhiều website hỗ trợ mở khóa file pdf khơng
cho chỉnh sửa in ấn
* Cơ chế của phương pháp này là bruteforce dị từng kí tự.
Các bước thực hiện:
*

-


Bước 1: Truy cập vào đường link />Bước 2: Nhấn chuột chọn SELECT PDF FILE, có 3 lựa chọn tải file pdf
lên ứng dụng gồm:

+
+
+

Tải file pdf cần mở khóa trên máy tính/laptop người dùng.
Dropbox: Tải file từ ứng dụng lưu trữ trực tuyến Dropbox
Google Drive: Upload file từ ứng dụng Google Drive.

Bước 3: Người dùng có thể tải thêm nhiều file pdf để mở khóa cùng lúc,
sau đó nhấn UNLOCK PDF để hệ thống tự động tìm và unlock file pdf.
20


Bước 4: Thời gian tìm và mở pass file pdf nhanh hay chậm phụ thuộc vào
độ phức tạp của mật khẩu.
Nhận xét :
Ưu điểm cách phá pass pdf online:
+ Đơn giản, dễ sử dụng.
+ Không cần cài đặt phần mềm trên máy tính.
+ Hồn tồn miễn phí.
Nhược điểm:
+ Chỉ mở khóa được những file pdf có độ dài mật khẩu từ 4 ký tự trở

*
-

-


xuống, nếu mật khẩu dài hơn 6 kí tự thời gian phá sẽ lâu và thậm chí
khơng mở được
3.2. Mở khóa bằng phần mềm
+

Chức năng mở khóa:
Dictionary Attack: Cách mở mật khẩu file pdf bằng file từ điển, người dùng

+

cần nhập hoặc upload file từ điển mới sử dụng được tính năng này.
Mask Attack: Là cách mở khóa file pdf hiệu quả nhất, có nhiều lựa chọn

+
-

mà người dùng có thể thiết lập như độ dài mật khẩu, các loại ký tự…
Brute Force: Đây là cách tìm và mở pass pdf tự động.
Phần mềm sử dụng : iSeePassword Dr.PDF

21


Hình 1 Phần mềm iSeePassord

Hình 2: Phần mềm lấy được mật khẩu file

*


Nhận xét
- Ưu điểm cách mở khóa file pdf bằng phần mềm
+ Có thể tìm và mở pass file pdf có độ dài và kích thước phức tạp.
22


Tính bảo mật thơng tin và dữ liệu cao.
Nhược điểm:
+ Người dùng phải trả một khoản phí để sử dụng tính năng mở pass file
+

-

pdf nâng cao.
3.3. Cách đốn mật khẩu
-

Nếu 2 cách trên khơng thành cơng thì người dùng có thể đốn mật khẩu
file pdf đó bằng các loại password phổ biến như 1 -> 8, 1 -> 6, abcxyz,
123abc, abcdef… Hoặc những mật khẩu thông dụng khác.

-

Cách này yếu tố may mắn chiếm tỉ lệ cao, nếu người dùng cố tình đặt
password file pdf bằng những ký tự đặc biệt như @, *,?,~, $… thì xác
suất thành cơng tương đối thấp.

Kết luận chung và khuyến nghị cho người dùng

III.

-

-

Chức năng đặt mật khẩu vơ cùng có ích mà các nhà phát triển phần mềm
đã sáng tạo ra giúp người dùng nâng cao tính an tồn trong các file dữ
liệu với các thuật tốn tiên tiến với tính bảo mật cao.
Nhưng bên cạnh đó, người dùng cần cũng có những lưu ý:
+ Tránh đặt những mật khẩu quen thuộc như “abc123”, “123456”, ngày
tháng năm sinh, …
+ Đặt mật khẩu cần kết hợp giữa ký tự đặc biệt, chữ cái và số để tăng độ
mạnh của mật khẩu

23



Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×