*1 Excel RC4 Encryption Algorithm http://auntitled.blogspot.jp/2010/12/excel-rc4-encryption-algorithm.html [blogspot.jp] > "salt", "verifier", and "verifierHash" can be extracted from FILEPASS record in Excel file. > Can you see it? The "real_key" is only 5 bytes (40 bits). If you can find this key, no need to use password. > The key space of real_key is 240. It is possible to do brute forcing.
パスワードの強度について規定していたのか気になる (スコア:4, 興味深い)
>もし個人情報を格納する際はパスワードを設定することを科していた
パスワード暗号化の強度について規定していたのかが気になります。
というのも、ExcelやMicrosoft Wordの2003以前の形式(xlsやdoc)のパスワード暗号化は、もの凄く弱いので (*1)。
Office 2007以降はマトモですが、それでも短いパスワードだと危険です。
また、zip圧縮も、新しいAES-256暗号化なら安心ですが、古いZip 2.0 (Legacy)はかなり弱いです。
*1 Excel RC4 Encryption Algorithm
http://auntitled.blogspot.jp/2010/12/excel-rc4-encryption-algorithm.html [blogspot.jp]
> "salt", "verifier", and "verifierHash" can be extracted from FILEPASS record in Excel file.
> Can you see it? The "real_key" is only 5 bytes (40 bits). If you can find this key, no need to use password.
> The key space of real_key is 240. It is possible to do brute forcing.
Re: (スコア:0)
補足。まともなファイル暗号化が必要なら、PGPを使ってください。
Re:パスワードの強度について規定していたのか気になる (スコア:2, 興味深い)
今回の場合は、もともとのシステムがあまりにも使いにくいという理由で、上司が権限を行使して個人情報を勝手に抜き出して使っていた、という流れなので、そもそもファイルの暗号化がどうとか言う話では無いと思います。
検証されるべきは、
ではないかと。
Re:パスワードの強度について規定していたのか気になる (スコア:2)
> 上司が権限を行使して
> 本当にシステムが使いにくいものだったのか
それのソースはどこなんですかね?
> その上司にすべき教育は正しく行なわれていたのか、
教育を行っていても変わらなかったような?
Re:パスワードの強度について規定していたのか気になる (スコア:2)
生データをexcelで加工すれば簡単にいろいろできるからね。
Re:パスワードの強度について規定していたのか気になる (スコア:1)
「上司が権限を行使した」んじゃなくて「上司の権限を行使した」という報道もあり。
上司のパスワード、みんなが知ってたってw
Re: (スコア:0)
> 補足。まともなファイル暗号化が必要なら、PGPを使ってください。
いつサポートがされなくなるかわからん技術は使わない。
Re: (スコア:0)
それはパスワードの強度じゃなくて暗号の強度ですよね…。
暗号の強度も問題がありますが、どちらかというとパスワード自体の強度がどう規定されていたのかが気になる。
パスワードを設定しさえすれば良い、という運用だとしたら、たとえば作った日付とか、nenkin2015とかのきわめて弱いパスワードで運用していた可能性がありますね。
その場合、公式発表には「パスワードで暗号化してあるから心配するな」と言うでしょうけど、実際はPCをちょっと回してれば解けてしまう…。
今回の事態が、手間を惜しんで手抜きした結果生じていることから、複雑なパスワードを都度作成して対応している、という可能性は薄いと思うので、気になります。
Re: (スコア:0)
> パスワード暗号化の強度について規定していたのかが気になります。
してないし、まともな運用もしてなかったってニュースになっているので読んできてください。