Archief - De topics van lang geleden

Word-password veilig ???

13-05-2002, 14:28 door Anoniem, 8 reacties
Collega's,

Er heerst bij onze organisatie een verwoede strijd over hoe om te gaan met privacygevoelige gegevens (wij zijn een jeugdhulpverleningsinstelling). Nu komt een extern adviesbureau met het advies voor de thuiswerkers om de dossiers van cliënten (in Word-formaat) te beveiligen met het Word-password en daarmee te waarborgen dat daarmee de zeer privacygevoelige gegevens voor "vreemden" ontoegankelijk zijn, als onze gebruikers maar minimaal 6 posities gebruiken. Volgens zijn gegevens is een systeem hier minimaal 5 dagen mee bezig om dit te kraken, en dat vindt hij acceptabel. Ik niet ! Het is mij bekend dat voor het kraken van dit soort wachtwoorden programmatuur op de markt is, echter deze is slechts in demo-variant verkrijgbaar, en aangezien ik de oplossing ver van mij werp wens ik hier niet voor te betalen. Zijn er hier mensen die met dit soort programmatuur ervaring hebben, en zoja klopt zijn stelling ? Hoe gaan jullie met dit soort zaken om ?

Bij voorbaat dank voor jullie reactie,

met vriendelijke groet,
Denis de Vries
Hoofd ICT

GSJ Lindenhout
Reacties (8)
14-05-2002, 18:47 door Anoniem
Originally posted by Unregistered
Nu komt een extern adviesbureau met het advies voor de thuiswerkers om de dossiers van cliënten (in Word-formaat) te beveiligen met het Word-password en daarmee te waarborgen dat daarmee de zeer privacygevoelige gegevens voor "vreemden" ontoegankelijk zijn, als onze gebruikers maar minimaal 6 posities gebruiken. Volgens zijn gegevens is een systeem hier minimaal 5 dagen mee bezig om dit te kraken, en dat vindt hij acceptabel. Ik niet !

Ik weet niet wat voor een extern "adviesburo" je daarvoor ter hand hebt genomen. Dat bureau werkt waarschijnlijk nog met een 8086 XT computer uit 1980 omdat dergelijke wachtwoorden tegenwoordig in enkele -seconden- zijn te kraken. Dit is niet zozeer mijn eigen conclusie maar is dat de trend dat in zo'n 1.800.000 pagina's staat te lezen via een gemiddelde searchengine (word AND password).

Het feit dat zoveel pagina's zijn te vinden omtrent MS-Word en het kraken van z'n wachtwoorden geeft al aan hoe onveilig het Microsoft-product ook op dat gebied is.
Zodoende kan gerechtvaardigd worden geconcludeerd dat zo'n Wordpassword alles behalve veilig is voor vertrouwelijke documenten.
Thuiswerkers vallen buiten het bereik van een bekwame ICT en/of security beheerder, er is immers geen controle. Zegt genoeg over de "veiligheid" van zulks vertrouwelijke documenten.

Wanneer dergelijke documenten worden uitgewisseld tussen de thuiswerkers en uw instantie via het internet over e-mail zouden dergelijke documenten versleuteld moeten worden verzonden (een sterkte van 1024 bit is momenteel gangbaar, 2048 bit of hoger is beter afhankelijk van de inhoud) waar u PGP (Pretty Good Privacy) voor kunt gebruiken dat ook direct kan worden ingezet voor verificatie (of de afzender inderdaad correct is, en of het document onaangetast is).

Verder kan ik er op afstand weinig van zeggen, e.e.a. is afhankelijk van het exacte gebruik, de aanwezige technologie en de mate van gewenste veiligheid.
18-05-2002, 23:11 door Anoniem
Nu komt een extern adviesbureau met het advies voor de thuiswerkers om de dossiers van cliënten (in Word-formaat) te beveiligen met het Word-password en daarmee te waarborgen dat daarmee de zeer privacygevoelige gegevens voor "vreemden" ontoegankelijk zijn, als onze gebruikers maar minimaal 6 posities gebruiken. Volgens zijn gegevens is een systeem hier minimaal 5 dagen mee bezig om dit te kraken, en dat vindt hij acceptabel. Ik niet ! Het is mij bekend dat voor het kraken van dit soort wachtwoorden programmatuur op de markt is, echter deze is slechts in demo-variant verkrijgbaar, en aangezien ik de oplossing ver van mij werp wens ik hier niet voor te betalen.

6 tekens is inderdaad wat weinig, maar bedenk wel dat sommige wachtwoorden van 6 tekens misschien minder snel te kraken zijn dan een ander wachtwoord van 8 tekens. Het is bij word waarschijnlijk moeilijk om te zorgen dat users zich aan richtlijnen voor goede wachtwoorden houden omdat je (voor zover ik weet) geen regels daarvoor kunt opstellen, je hebt dus kans dat gebruikers straks het wachtwoord 'password' kiezen en dat wordt dan ook dmv een simpele woordenlijst in enkele seconden gekraakt.
25-05-2002, 09:53 door pierpanda
Word documenten beveilig ik met encryptiesoftware van ThunderCrypt (S-crypto). De versleutelingsoftware maakt het nagenoeg onmogelijk om de bestanden na het kraken van een wachtwoord uit te lezen. U kunt contact opnemen Thunderstore via het volgende adres:

ThunderStore
Ant. van der Heydenstraat 2
5527 BV HAPERT
The Netherlands
Tel: +31 (0)497 383505
Fax: +31 (0)497 388440

Office Wijchen
Saltshof 10-06
6604 EA WIJCHEN
The Netherlands

Web: http://www.thunderstore.com
Email: [email]sales@thunderstore.com[/email]

========================

Groeten,
Pierpanda.
29-05-2002, 16:38 door suntac
Mensen mensen, wat een mooie oplossingen allemaal,... maar wat is er gebeurd met het simpel versleutelen met PGP?

En de beveiliging van MS,..... inderdaad niet echt een degelijk verhaal dus ik zou dat niet gaan gebruiken.


SUNTAC
31-05-2002, 13:48 door pierpanda
PGP bleek nog niet zo lang geleden een lek te bevatten. Daarom gebruik ik liever ThunderCrypt.

Pierpanda
02-06-2002, 16:47 door Anoniem
Als jullie een AD (w2k) server draaien en de thuiswerkers maken gebruik van pc's van de werk gever (laptops) en daar draaid w2k prof op en in ze hangen in het domain, dan zou je het beste EFS kunnen gebruiken, standaard 56bit en dat is opzich voldoende tenzijn het een kwestie van leven of dood is. Dan kun je de highencryptie pack van de MS site downloaden (128bit).
02-06-2002, 19:10 door Anoniem
Originally posted by HermeS
Als jullie een AD (w2k) server draaien en de thuiswerkers maken gebruik van pc's van de werk gever (laptops) en daar draaid w2k prof op en in ze hangen in het domain, dan zou je het beste EFS kunnen gebruiken, standaard 56bit en dat is opzich voldoende tenzijn het een kwestie van leven of dood is. Dan kun je de highencryptie pack van de MS site downloaden (128bit).

Vanaf Service Pack 2 is Windows 2000 altijd 128-bit, dus hoef je niet meer moeilijk te doen met encryption packs.
03-06-2002, 13:59 door Anoniem
bedankt, weer wat geleerd!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.