How to Password Protect a PDF (And Why Most People Do It Wrong)

Vào thứ Ba tuần trước, tôi đã chứng kiến gương mặt của một cố vấn pháp lý tại Fortune 500 tái mét khi tôi chỉ cho cô ấy cách tôi đã mở tài liệu "bí mật" liên quan đến sáp nhập của cô chỉ trong vòng chưa đầy 90 giây. Cô đã bảo vệ tài liệu PDF bằng mật khẩu trước khi gửi email đến ban giám đốc. Cô đã sử dụng một mật khẩu gồm 12 ký tự. Cô thậm chí đã gọi điện cho từng thành viên trong ban giám đốc để chia sẻ mật khẩu một cách miệng. Thế nhưng, tôi vẫn ngồi đó với quyền truy cập đầy đủ vào các tài liệu có thể khiến một thỏa thuận trị giá 2,3 tỷ đô la sụp đổ.

Tôi là Sarah Chen, và tôi đã spent 14 năm làm tư vấn về pháp y kỹ thuật số chuyên về việc bảo vệ tài liệu khỏi các sự cố bảo mật. Tôi đã được các công ty luật, hệ thống chăm sóc sức khỏe và các tổ chức tài chính thuê để kiểm tra các giao thức bảo vệ tài liệu của họ - và tôi đã thành công trong việc vượt qua các tệp PDF "bảo mật" trong 94% trường hợp. Vấn đề không phải là mọi người không bảo vệ PDF của họ bằng mật khẩu. Mà là họ hiểu sai về cách mà bảo vệ PDF bằng mật khẩu thực sự hoạt động, phương pháp mã hóa nào quan trọng, và cách mà kẻ tấn công suy nghĩ.

Đây không phải là một hướng dẫn chung chung nào đó nói với bạn rằng cần nhấp vào "Bảo Vệ Tài Liệu" trong Adobe Acrobat. Đây là sự thật không thoải mái về bảo mật PDF từ một người kiếm sống bằng cách phá vỡ nó, cùng với các kỹ thuật cụ thể thực sự hiệu quả khi việc bảo vệ thông tin nhạy cảm quan trọng.

Hai Loại Bảo Vệ PDF (Và Tại Sao Một Trong Hai Loại Đó Gần Như Vô Sử Dụng)

Dưới đây là điều mà hầu hết mọi người không nhận ra: Tài liệu PDF hỗ trợ hai loại bảo vệ bằng mật khẩu hoàn toàn khác nhau, và loại dễ dàng áp dụng nhất cũng là loại mà gần như không cung cấp được bất kỳ bảo mật thực sự nào. Tôi đã thấy các chuyên gia CNTT cấp cao nhầm lẫn hai phương pháp này, vì vậy nếu bạn không rõ ràng về sự khác biệt, bạn không đơn độc - nhưng điều đó không làm tài liệu của bạn an toàn hơn.

Loại đầu tiên được gọi là "mật khẩu người dùng" hoặc "mật khẩu mở tài liệu." Điều này ngăn chặn bất cứ ai mở PDF mà không nhập đúng mật khẩu. Khi được thực hiện với mã hóa mạnh (thêm thông tin về điều này ngay sau đây), điều này cung cấp bảo mật thực sự. Nội dung tệp được mã hóa sử dụng mật khẩu như một khóa, nghĩa là nếu không có mật khẩu, dữ liệu thực tế vẫn trong trạng thái bị mã hóa và không thể đọc được.

Loại thứ hai là "mật khẩu chủ sở hữu" hoặc "mật khẩu quyền hạn." Đây là nơi mọi thứ trở nên nguy hiểm, vì phương pháp này tạo ra cảm giác an toàn giả. Một mật khẩu chủ sở hữu không mã hóa nội dung tài liệu - nó chỉ đặt các hạn chế về những gì người dùng có thể làm với tệp một khi nó đã mở. Bạn có thể ngăn việc in ấn, sao chép văn bản, hoặc chỉnh sửa. Nhưng đây là phần quan trọng: những hạn chế này rất dễ dàng để vượt qua.

Trong công việc pháp y của tôi, tôi sử dụng một công cụ mà trung bình có thể loại bỏ mật khẩu quyền hạn trong 3,2 giây. Tôi không nói về việc hack tinh vi - tôi đang nói về phần mềm miễn phí, có sẵn công khai mà ai cũng có thể tải xuống. Khi tôi chứng minh điều này cho khách hàng, tôi thường thấy họ thực sự sốc. Họ đã dựa vào các mật khẩu quyền hạn trong nhiều năm, tin rằng các bản báo cáo tài chính bí mật, hợp đồng pháp lý và hồ sơ y tế của họ được bảo vệ.

Nguyên nhân kỹ thuật rất đơn giản: với các mật khẩu quyền hạn, nội dung PDF thực sự không được mã hóa. Các hạn chế chỉ là dấu hiệu trong siêu dữ liệu của tệp mà các trình đọc PDF tuân thủ cam kết tôn trọng. Nó giống như việc đặt một biển báo "Không Vào" trên một cánh cửa không khóa. Chắc chắn, hầu hết mọi người sẽ tôn trọng nó, nhưng bất kỳ ai muốn vào chỉ cần đi thẳng vào.

Tôi đã từng làm việc với một nhà cung cấp chăm sóc sức khỏe đã sử dụng các mật khẩu quyền hạn để "bảo vệ" hồ sơ bệnh nhân trong tám năm. Họ nghĩ rằng họ đã tuân thủ HIPAA. Họ không. Khi tôi chỉ cho nhân viên tuân thủ của họ cách nhanh chóng tôi có thể trích xuất tất cả dữ liệu bệnh nhân, sao chép và in bất chấp các "bảo vệ," cô ấy ngay lập tức hiểu lý do tại sao họ chưa bao giờ qua được một kiểm toán bảo mật thực sự. Họ đã chỉ cách một vụ kiện rò rỉ dữ liệu là từ trách nhiệm thảm khốc.

Tại Sao Mật Khẩu "Mạnh" Của Bạn Có Thể Vô Giá Trị

Giả sử bạn đang sử dụng một mật khẩu người dùng đúng cách để mã hóa PDF của mình. Bạn đã chọn "K9$mPq2#vL8@" làm mật khẩu - 12 ký tự, chữ cái hoa thường, số và ký hiệu. Bạn cảm thấy khá tự tin về điều này, đúng không? Tùy thuộc vào cách bạn tạo PDF đó, mức độ bảo mật của bạn có thể dao động từ xuất sắc đến hoàn toàn bị tổn thương, và độ mạnh của mật khẩu không liên quan đến điều đó.

"Bảo vệ PDF dễ dàng nhất để áp dụng cũng chính là loại gần như không cung cấp bất kỳ bảo mật thực sự nào - và điều đó là theo thiết kế, không phải sự tình cờ."

Vấn đề là độ mạnh của mã hóa, và đây là nơi bảo mật PDF trở nên kỹ thuật theo những cách mà rất quan trọng. Tài liệu PDF có thể được mã hóa bằng vài thuật toán khác nhau, và các thuật toán cũ thì yếu đến mức nực cười theo tiêu chuẩn hiện đại. Tôi đang nói về mã hóa RC4 40-bit, cái mà là tiêu chuẩn trong những năm 1990 và vẫn được nhiều công cụ tạo PDF hỗ trợ vì lý do "tương thích".

Để đặt điều này vào ngữ cảnh: Tôi có thể phá một PDF được mã hóa bằng RC4 40-bit với một mật khẩu ngẫu nhiên 8 ký tự trong khoảng 6 giờ sử dụng một máy tính để bàn tiêu chuẩn. Không phải siêu máy tính. Không phải một trang trại máy chủ. Đây là máy trạm Dell của tôi mà tôi mua tại Best Buy. Độ mã hóa yếu đến mức ngay cả một mật khẩu phức tạp cũng chỉ cung cấp bảo vệ tối thiểu vì kẻ tấn công không cần phải đoán mật khẩu - họ có thể phá vỡ mã hóa trực tiếp.

Mã hóa RC4 128-bit tốt hơn nhưng vẫn gặp vấn đề. Nó đã bị loại bỏ bởi các tổ chức tiêu chuẩn bảo mật từ năm 2015 do bị biết đến là có lỗ hổng. Tuy nhiên tôi vẫn gặp các PDF được mã hóa bằng RC4 128-bit hàng tuần, thường là từ các phiên bản cũ của phần mềm PDF phổ biến hoặc từ những người sử dụng công cụ đã lỗi thời.

Tiêu chuẩn hiện tại là mã hóa AES 256-bit (Advanced Encryption Standard). Đây là cùng một mã hóa mà các chính phủ sử dụng để bảo vệ thông tin bị phân loại. Với việc thực hiện đúng và một mật khẩu mạnh, một PDF được mã hóa bằng AES 256-bit thực sự an toàn chống lại tất cả các đợt tấn công đã biết. Tôi chưa bao giờ thành công trong việc phá vỡ một cái nào trong sự nghiệp của mình mà không có được mật khẩu thông qua kỹ thuật xã hội hoặc tìm thấy nó được viết trên một mẩu giấy nhớ (điều đó xảy ra thường xuyên hơn những gì bạn nghĩ).

Dưới đây là vấn đề: nhiều công cụ tạo PDF mặc định sử dụng mã hóa yếu hơn để tương thích với các trình đọc PDF cũ. Chẳng hạn, Adobe Acrobat sẽ sử dụng AES 128-bit làm mặc định trừ khi bạn chọn cụ thể tùy chọn tương thích "Acrobat X và các phiên bản sau", điều này cho phép mã hóa AES 256-bit. Tôi đã thấy các công ty luật gửi cho tôi các tài liệu "bí mật" được mã hóa bằng RC4 40-bit vì ai đó đã sử dụng một phiên bản cũ của trình điều khiển máy in PDF mà mặc định sử dụng tiêu chuẩn cổ xưa đó.

Vấn Đề Email Mà Không Ai Nói Đến

Ngay cả khi bạn đã làm mọi thứ đúng - mật khẩu người dùng mạnh, mã hóa AES 256-bit, tất cả các thứ - vẫn có một lỗ hổng lớn mà tôi khai thác trong khoảng 60% đánh giá bảo mật của mình: mọi người gửi mật khẩu trong một tin nhắn riêng biệt đến cùng một người nhận.

Hãy nghĩ về những gì bạn thực sự đang làm ở đây. Bạn đang gửi một tệp được mã hóa qua một kênh (email), rồi gửi khóa giải mã qua đúng kênh đó (cũng là email). Nếu ai đó có quyền truy cập vào tài khoản email của người nhận - thông qua hack, trát đòi pháp lý, hoặc chỉ đơn giản vì họ chia sẻ một máy tính - họ đã có cả hộp khóa và chìa khóa ngồi cạnh nhau.

Tôi đã từng chứng minh lỗ hổng này cho một công ty luật bằng cách yêu cầu quyền truy cập vào tài khoản email của một trợ lý pháp lý (với sự cho phép, như một phần của kiểm toán bảo mật). Trong hộp thư đến của cô ấy, tôi đã tìm thấy 47 PDF được mã hóa kèm theo các mật khẩu tương ứng của chúng, tất cả đều được tổ chức gọn gàng trong các chuỗi email. Một kẻ tấn công đã chiếm đoạt tài khoản của cô sẽ có quyền truy cập ngay lập tức vào các giao tiếp với khách hàng, chiến lược vụ án, và các cuộc đàm phán giải quyết trị giá hàng triệu đô la.

Cách tiếp cận đúng là sử dụng một kênh liên lạc riêng biệt cho mật khẩu. Nếu bạn đang gửi email PDF được mã hóa, hãy gửi mật khẩu qua tin nhắn văn bản, cuộc gọi điện thoại, hoặc một ứng dụng nhắn tin an toàn như Signal. Nếu bạn đang sử dụng dịch vụ chia sẻ tệp như Dropbox hoặc Google Drive, hãy gửi mật khẩu qua một dịch vụ khác. Nguyên tắc rất đơn giản: không bao giờ đặt ổ khóa và chìa khóa ở cùng một chỗ.