Acrobat 9: PDF-Passwort ist schneller zu knacken

Büroprogramme Der Software-Hersteller Adobe verwendet in Acrobat 9 einen neuen Algorithmus, mit dem ein PDF-Dokument mit einem Passwort gesichert werden kann. Dieser ist leichter zu knacken als zuvor. mehr...

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
BKA hat gedrängelt
 
Wozu verschlüsselt man PDFs? Haltet mich für blöd, aber um Daten sicher zu speichern gibt es bessere Lösungen. Ist genauso blöd, wie nicht druckbare PDF-Dokumente zu erstellen.
 
@bgmnt: Tja, gute Frage. Mein erster Gedanke war, man verschlüsselt sie aus dem gleichen Grund aus dem man auch alles andere verschlüsselt: Um die Information nur demjenigen zugänglich zu machen, den sie etwas angeht. Nach reiflichem Überlegen kommen mir aber Zweifel, schliesslich hast du persönlich offenbar keinen Bedarf, PDFs zu verschlüsseln, also kann es ja auch für den Rest der Welt keinen Sinn machen. Und da es deiner Meinung nach bessere Lösungen gibt, heisst das wohl auch das diese Lösungen für alle anderen besser sind, v.a. für den Produktivbetrieb. Gut das du das festgestellt hast, jetzt können endlich Millionen Firmen von PDFs abrücken und kompliziertere und unverständlichere Systeme einführen.
 
@bgmnt: Es gibt Adobe-Kunden, die so eine paranoia haben, dass ihnen Daten, die sie bei irgendjemand zeigen müssen, inhaltlich kopiert werden, sodass diese besser schlafen können, wenn sie sich einbilden, "die Daten sind ja geschützt". Natürlich ist es Unsinn, aber es gibt halt genug Leute, die bei Adobe so was gefordert/erwünscht haben, deswegen wurde es implementiert.
 
@bgmnt: Wenn ich ein PDF mit einem 12-stelligen Passwort versehe was ist daran dann unsicher? Wir verschlüsseln unsere Gehaltszettel damit. Das Dokument mit einem Packprogramm zu extrahieren, dann zu öffnen und nachher wieder zu löschen wäre zu umständlich.
 
@Manuel147: Oder die Festplatte oder Teile der Festplatte verschlüsseln, und ha, es geht ganz einfach und kostenlos mit TrueCrypt. Zudem ist das insgesamt auch sicherer. Und zum Verschicken sind Archive völlig ausreichend. Meiner Einschätzung nach.
@ishc: Du antwortest so, daß Lofotes Antwort mit der Paranoia nur bestätigt wird. Und was ich meine ist einfach: Würden einfach alle anderen tausend Möglichkeiten, die frei und überall verfügbar sind, genutzt, so bräuchte man nicht bei jeder Datei eine Veschlüsselung einführen. Ich halte es lediglich für Humbug alles mit Extrafunktionen in der Hinsicht auszustatten, während alle bestehenden Möglichkeiten nicht annähernd genutzt werden. Und im Endeffekt liegen die Daten doch irgendwo im Rohformat vor, wo sie dann doch durch andere Unvorsichtigkeiten wieder ausgelesen werden können. Es ist einfach nur paradox. Wenn ich meine Festplatte verschlüssele, dann ist das sicherer und ich muß nur einmal ein Paßwort eingeben und kann arbeiten wie sonst auch. Aber naja, wer es braucht. Aus meiner Sicht ist es absolut überflüssig und völlig entgegen dem Zweck von PDFs, denn für mich sind die zum Rumzeigen da, und nicht für das Aufbewahren von Geheimnissen.
 
@bgmnt: Würde mich echt mal interessieren wie ihr alle auf den Trichter kommt das mit TrueCrypt irgendwas sicher verschlüsselt wäre. Für einen DAU bestimmt. Aber für den braucht man nur die Dateiendung ändern von PDF auf CTZ und er kommt nicht mehr weiter. Truecrypt ist ein Haufen Mist für manche Clientel Ihr verzichtet damit auf Performance für Sicherheit die nicht gegeben ist. Wenn irgendein Trojaner Zugriff auf eure Betriebsystemgesteuerten Schreib- und Lesezugriffe hat und euer 12mal verschlüsseltes TrueCrypt-Laufwerk gemountet ist: liest und schreibt er da im klartext rum wie er will. TrueCrypt macht nur Sinn für Laptops, die mal verschwinden könnten. Aber für Homeuser die den ganzen Tag eh nur mit dem Adminaccount rumsurfen ist das nicht nur overkill sondern auch unnötig.

@bgmnt: Sorry, verklickt. Sollte nicht als direkt Antwort auf deinen Beitrag gemeint sein.
 
@bgmnt: Das ist aber nicht das Gleiche! Wenn er sich das PDF zB nach Hause schickt ist es schon wieder vorbei mit Verschlüsselung. Was wenn er zB vergisst seine Arbeitsstation zu sperren? Was ist zB mit mobilen Endgeräten, wie Handys? Klar gibt es tausend Möglichkeiten für die unteschiedlichsten Anforderungen. Die Frage ist halt nur ob sich diese auch in die bestehende Landschaft integrieren lassen und ob die Gesamtlösung auch wirklich anwenderfreundlich ist.
 
@Manuel147: Was ist beim Verschicken vorbei mit Verschlüsselung? PGP? Hab ich schon erwähnt, und gibt es schon lange, ist sicher und frei verfügbar, was will man mehr? Wenn die Leute schon so auf ihre Datensicherheit pochen, dann sollten sie an der richtigen Stelle damit anfangen, und dann nicht bei solchen Kleinigkeiten beginnen. Entweder richtig sicher oder nicht, aber nicht solch halbgare Sachen, da seh ich einfach keinen Sinn dahinter.
@Kammy: Jede Technik und Technologie ist nur so gut, wie die Person die sie anwendet. In dem von Dir genannten Beispiel gebe ich gerne recht, aber es gibt ja auch Menschen, die es richtig anzuwenden wissen (oder nicht Windows benutzen :-)). Und wenn der Rechner entsprechend ausgestattet ist, so gibt es auch keine merklichen Leistungseinbußen (besonders nicht bei einfachen Büroanwendungen). Aber wenn das generelle Sichern des Rechners schon nicht klappt (und Trojaner auf das System gelangen können), dann brauchen sie auch nicht die PDFs verschlüsseln, gell? :-)
 
@Kammy: Wenn man keine Ahnung hat.... Welches Verschlüsselungsverfahren nutzt Truecrypt? Es gibt nicht mal die theoretische Wahrscheinlichkeit Twofish zu knacken. Also wenn du schon so nen Haufen unqualifizierten Müll von dir gibst, dann informier dich vorher.
 
@GreCCoikarus: Wo wir gerade bei einem Haufen unqualifizierten Mist sind. Wie gehts dir? Informiere dich mal wer Truecrypt produziert hat? Ach, nichts gefunden? Wie? Nicht OpenSource? Hmm, "irgendjemand" entwickelt das aus gutem Herzen ohne bei Namen genannt zu werden? Deine o.g. Verschlüsselungsmethoden mögen ja auch sicher sein. Aber von diesem Programm würde ich dennoch Abstand nehmen. Wenn schon paranoid dann aber auch richtig! :D
 
Brut-Force-Attacken ehm Brute-Force-Attacken, obwohl adobe is ja nee Brut für sich :) Edit: dazu kommt noch warum nimmt man die latenzen runter wo man doch weiß das man die nvidia gpus nutzen kann ? schon blöd oder
 
@sorduk: Besser als Pup-Furz-Attacken!
 
"Es gibt keinen rationalen Grund, warum sie das so gemacht haben" das ist cool... einfach mal ausprobiert. Genau das Problem vieler Hersteller... Ein Produkt das läuft und funktioniert sollte man so lassen und an Problemen bzw. Erweiterungen weiterarbeiten und nicht ohne Grund einfach versuchen zu verbessern. Oder wisst Ihr von Beschwerden das Adobe 8 zu langsam war?

P.S.: "Der Software-Hersteller Adobe verwendet in Acrobt 9" Acrobat! :)
 
Tja wenn man 128bit verschlüsselt und 1000ms Zeit zwischen jeder Passwortabfrage einfügt dauert das Knacken eine bestimmte Zeit.
Wenn man aber jetzt 256bit Verschlüsselt und gleichzeitig diese Wartezeit auf 1ms verringert, ist die Wirkung von 256bit quasi = 0 Frage mich sowieso, was da länger dauern soll beim Entschlüsseln, wenn man 1bis 2 Sekunden auf eine Passwortabfrage wartet. Die Beründung die die Angeben ist voll fürn Eimer.
 
Jetzt dauert es also nur noch eine millionen Jahre bis ein vernüftiges Passwort (Groß-/Kleinbuchstaben, Sonderzeichen u. Zahlen) geknackt wird.
 
@shawn777: nöö paar stunden oder tage aber keine jahre
 
@shawn777: Hab erst gestern nen Artikel gelesen, da haben die mit einer normalen Brute-Force Attacke dieses Passwort "Pa$$W0rDcRacK3d" in weniger wie 2 Stunden geknackt. Wenn du jetzt noch richtig deine GPU mit ins Spiel bringst, dann dauert das nicht mal mehr ne Stunde. Passwörter die sich das menschliche Gehirn merken kann, sind heute nicht mehr als sicher anzusehen.
 
@timbowrockt: Den Artikel möchte ich gerne lesen. Bei dem Passwort benötigt man mit 167Mio. Keys/Sec 145851329773 Jahre ( http://www.1pw.de/brute-force.html ) .Kann es irgendwie nicht glauben das sie es nur mit Brute-Force geschafft haben.
 
@sorduk: Kann nicht sein. 2^128 Schlüssel kann man auf keinen Fall in ein paar Stunden oder Tagen durchtesten.
 
@shawn777: Guten Morgen, naja, in dem beispiel wird ja vom schnellsten Rechner ausgegangen. von wann ist dieser artikel? ich stell mir grad das rechenzentrum in cern vor. wie lange würden die für das passwort benötigen? Aber dennoch, ich glaube auch nicht das dieses passwort wie timbowrockt beschreibt in 2h geknackt werden kann. ich tippe auf folgendes: nach genau 00:01:59:10 hat der typ der das passwort zusammengezubbelt hat, dort angerufen und es durchgesagt. also hatten die 00:00:00:50 sekunden zeit das einzugeben und enter zu klicken. das ist meine theorie.
Kommentar abgeben Netiquette beachten!