Szyfrowanie w dokumentach biurowych Microsoft jest całkiem dobre i bezpieczne pod każdym względem, o ile nie otworzysz dokumentu i nie masz certyfikatu bezpieczeństwa przekazanego przez administratora IT.
Ma kilka słabych punktów
https://docs.microsoft.com/en-us/deployoffice/security/remove-or-reset-file-passwords-in-office
Wcześniej, jeśli pierwotny twórca hasła do pliku zapomniał hasła lub opuścił organizację, plik był niemożliwy do odzyskania. Korzystając z pakietu Office 2016 i klucza escrow, który jest generowany z magazynu certyfikatów kluczy prywatnych Twojej firmy lub organizacji, administrator IT może „odblokować” plik dla użytkownika, a następnie pozostawić plik bez ochrony hasłem lub przypisać nowe hasło plik. Ty, jako administrator IT, jesteś opiekunem klucza depozytowego, który jest generowany z magazynu certyfikatów kluczy prywatnych Twojej firmy lub organizacji. Możesz po cichu wypchnąć informacje o kluczu publicznym do komputerów klienckich za pomocą ustawienia klucza rejestru, które można utworzyć ręcznie lub można utworzyć za pomocą skryptu zasad grupy. Gdy użytkownik później utworzy chroniony hasłem plik Word, Excel lub PowerPoint, ten klucz publiczny jest zawarty w nagłówku pliku. Później informatyk może użyć narzędzia Office DocRecrypt do usunięcia hasła dołączonego do pliku, a następnie opcjonalnie zabezpieczyć plik za pomocą nowego hasła. Aby to zrobić, specjalista IT musi mieć wszystkie następujące elementy:
Menedżer IT lub osoba mająca dostęp do certyfikatów głównych może odszyfrować wszystkie dokumenty. Więc jeśli złośliwy napastnik mógłby uzyskać do niego dostęp, mógłby odszyfrować wszystkie dokumenty chronione hasłem.
Istnieje dodatkowy problem z plikami tymczasowymi pakietu Microsoft Office. W momencie otwarcia pliku w Microsoft Office i wpisaniu prawidłowego hasła Microsoft Office tworzy plik tymczasowy, który wyświetla zawartość.
Każdy przeglądający ten plik może go po prostu zaznaczyć i zobaczyć zawartość w okienku podglądu Eksploratora Windows, o ile ktoś go otworzył.
W większości sieci Windows można po prostu przejść do komputera kolegium i zajrzeć do dokumentów na swoim komputerze lub do dowolnego udziału, na którym mogą mieć te dokumenty.
Więc w swoim własnym, z pozoru może wydawać się bezpieczny, ale na dole ktoś musi po prostu zainfekować stacja robocza z programem, który czeka na otwarcie wszelkich zaszyfrowanych dokumentów, do których ma dostęp, a następnie po prostu odczytuje zawartość pliku tymczasowego. A większość ludzi po prostu pozostawia ten dokument z hasłem otwartym w tle po otwarciu.
Większość menedżerów haseł ma zabezpieczenia, które pozwalają odszyfrować hasło tylko wtedy, gdy jest to potrzebne, a następnie przechować hasło przez krótką chwilę w schowku przed jego nadpisaniem. , minimalizując możliwość ujawnienia hasła.
Dla porównania menedżerowie haseł zapewniają większe bezpieczeństwo.