home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #26 / NN_1992_26.iso / spool / alt / security / 4757 < prev    next >
Encoding:
Text File  |  1992-11-06  |  1.9 KB  |  42 lines

  1. Newsgroups: alt.security
  2. Path: sparky!uunet!utcsri!torn!nott!netfs!manitou.cse.dnd.ca!dcrawfor
  3. From: dcrawfor@manitou.cse.dnd.ca (David Crawford)
  4. Subject: Re: Cracking Word Perfect's passwords
  5. Message-ID: <1992Nov5.224653.16761@manitou.cse.dnd.ca>
  6. Organization: Canadian System Security Centre
  7. References: <dbarber.720940916@crash.cts.com> <1992Nov5.185648.12304@das.harvard.edu>
  8. Date: Thu, 5 Nov 92 22:46:53 GMT
  9. Lines: 31
  10.  
  11. In article <1992Nov5.185648.12304@das.harvard.edu> adam@endor.uucp (Adam Shostack) writes:
  12. >In article <dbarber.720940916@crash.cts.com> dbarber@crash.cts.com (David C. Barber) writes:
  13.  
  14. >>I've heard that at least one company has a special program to
  15. >>crack Word Perfect's password locked/scrambled files.  My question
  16. >>is: Is this ability limited to just one company, or are there
  17. >>several WP cracker programs running around?
  18.  
  19. >
  20. >There is at least one available from the net, that was posted a few
  21. >months back.
  22.  
  23. I can vouch for the usefulness of the program that was posted.  I am
  24. currently using it as part of my security awareness program to 
  25. demonstrate the weaknesses associated with the use of such protection 
  26. schemes.  The nice thing about this is that the author provides the
  27. C code to automate the cryptographic analysis (known plain text attack) of the
  28. WordPerfect protection scheme that was published in Cryptologia in 1990. 
  29.  
  30. There is at least one commercial package available.  My staff found a 
  31. crippled demo version of a package that "broke" WP5.0 password protected
  32. files with (I believe) 8 character passwords.  We did not pursue 
  33. the procurement of the package and I now do not remember either the
  34. firm or the package name. 
  35.  
  36. It certainly buttresses the argument for "approved encryption" where
  37. there is a strict confidentiality requirement.
  38.  
  39. Dave Crawford        The opinions expressed herein are those of the author
  40. dcrawfor@cse.dnd.ca    and are not to be construed as an official Government
  41.             of Canada or Department of National Defence position.
  42.