Adobe geeft toe dat nieuwe PDF-wachtwoordbeveiliging zwakker is

Adobe heeft een kritische wijziging aangebracht in het algoritme dat wordt gebruikt voor het beveiligen van PDF-documenten met een wachtwoord in Acrobat 9, waardoor het veel gemakkelijker is om een ​​wachtwoord te herstellen en bezorgdheid over de veiligheid van documenten veroorzaakt, volgens het Russische beveiligingsbedrijf Elcomsoft.

Elcomsoft is gespecialiseerd in het maken van software die de wachtwoorden voor Adobe-documenten kan herstellen. De software wordt door bedrijven gebruikt om documenten te openen nadat werknemers hun wachtwoorden hebben vergeten, en door wetshandhavingsdiensten bij hun onderzoeken.

Voor de Reader 9- en Acrobat 9-producten heeft Adobe 256-bits AES-codering (Advanced Encryption Standard) geïmplementeerd, hoger dan de 128-bits AES-codering gebruikt in eerdere Acrobat-producten.

[Meer informatie: hoe u malware van uw Windows-pc verwijdert]

De oorspronkelijke 128-bits codering is sterk en in sommige gevallen zou dit jaren duren om alle mogelijke sleutels te testen om een ​​wachtwoord te achterhalen, zei Dmitry Sklyarov, informatiebeveiligingsanalist bij Elcomsoft.

Maar Elcomsoft zei dat de verandering in het onderliggende algoritme voor Acrobat 9 een zwak wachtwoord kraakt - vooral een kort wachtwoord met alleen bovenste en bovenste kleine letters - tot 100 keer sneller dan in Acrobat 8, zei Sklyarov. Ondanks het gebruik van 256-bits codering, ondermijnt de wijziging van het algoritme de beveiliging van een document.

Adobe heeft de versleutelingsalgoritmewijziging op zijn beveiligingsblog bevestigd. Het bedrijf zei dat brute-force-pogingen - waarbij tientallen miljoenen wachtwoordcombinaties worden geprobeerd in de hoop het document te ontgrendelen - sneller toegang kunnen krijgen tot wachtwoorden met minder processorcycli.

De wijzigingen zijn aangebracht om de prestaties te verbeteren, Adobe zei. Maar Sklyarov zei dat zelfs met het 128-bits coderingsalgoritme dat in Acrobat 8 ​​wordt gebruikt, de applicatie snel reageert op zowel correcte als incorrecte wachtwoordinvoer.

"Er is geen rationele reden waarom ze dat deden," zei Sklyarov.

Ondanks de wijziging is er een manier om documenten veilig te houden: bij het instellen van een wachtwoord moeten mensen een combinatie van hoofdletters en kleine letters en andere speciale tekens gebruiken, zoals aanhalingstekens, zei Sklyarov. Als speciale tekens worden gebruikt, moet het wachtwoord uit minimaal acht tekens bestaan. Als er alleen letters worden gebruikt, moet deze minimaal 10 tot 12 tekens bevatten, zei hij.

Adobe heeft hetzelfde advies gegeven. "Met een langere zin en meer diversiteit aan personages, zijn er veel meer permutaties om te raden", aldus de blog. Het bedrijf heeft ook aanbevolen dat de beveiliging van documenten ook kan worden verbeterd door aanvullende toegangscontroles zoals smartcards en biometrische hulpmiddelen.