Password per PDF: i due tipi e come rimuoverle o aggiungerne una.
7 min di lettura
Nella tua casella di posta elettronica arrivano due file PDF. Il primo si rifiuta di aprirsi finché non inserisci una password. Il secondo si apre correttamente, puoi leggere tutte le pagine, ma il pulsante di stampa è disabilitato e copiare il testo non produce alcun risultato. Entrambi i file sono «protetti da password», eppure si comportano in modo completamente diverso. La spiegazione è che il formato PDF supporta due password distinte, ciascuna con una funzione specifica. Una volta che sai con quale delle due hai a che fare, tutto diventa chiaro: perché alcuni file PDF protetti si sbloccano immediatamente senza password, perché altri non possono essere aperti senza la password corretta e come proteggere efficacemente un tuo documento.
I due tipi di password per i file PDF
Le specifiche del formato PDF definiscono due password distinte che possono essere impostate su un documento, sia insieme che separatamente. Solitamente vengono chiamate rispettivamente password utente e password del proprietario, e confonderle è la causa principale di molti problemi relativi ai file PDF protetti.
La password utente, a volte definita password di apertura, è quella che la maggior parte delle persone associa alla protezione dei documenti. Quando viene impostata, il contenuto del documento viene crittografato e un utente deve disporre della password per decrittografarlo e visualizzarne il contenuto. In assenza della password, il file diventa effettivamente illeggibile: pagine, testo e immagini sono tutti trasformati in testo cifrato. Questa è la password utilizzata negli estratti conto bancari, nelle buste paga e nei documenti fiscali, ed è per questo che tali file richiedono l’inserimento della password ogni volta che vengono aperti.
La password del proprietario, a volte chiamata anche password per le autorizzazioni, svolge una funzione diversa. Non impedisce a nessuno di aprire o visualizzare il file. Invece, consente all’autore di disattivare determinate azioni: stampa, copia del testo, modifica, compilazione dei campi del modulo, aggiunta di annotazioni. Il file si apre normalmente per tutti, ma i lettori PDF che rispettano le impostazioni disabilitano i pulsanti limitati. Se vi è mai capitato di avere un file PDF che si visualizza correttamente ma che si rifiuta di essere stampato, avete incontrato la password del proprietario.
Un documento può avere entrambi i tipi di password, solo uno dei due o nessuno. Il comportamento del documento indica quale delle tre situazioni si verifica: se all’apertura viene richiesta una password, significa che si tratta di una password utente; se il file si apre ma impedisce la stampa o la copia, significa che è presente solo una password di proprietario.
Quali sono gli effetti reali delle restrizioni (meno di quanto si pensi).
Ecco la parte che sorprende: le restrizioni relative alla password dell’utente non sono applicate tramite la crittografia. Si tratta di una serie di flag di autorizzazione memorizzati all’interno del file e spetta a ciascun programma di lettura PDF rilevarli e rispettarli. Adobe Acrobat lo fa, così come fanno la maggior parte dei programmi di visualizzazione più diffusi. Tuttavia, la restrizione è una richiesta rivolta al software, e non una barriera matematica, motivo per cui nel mondo PDF questi flag sono definiti come indicativi.
Confrontiamo questo con la password dell’utente. Quando viene impostata una password aperta, il contenuto del documento viene effettivamente crittografato e, nei PDF moderni, ciò significa che viene utilizzata una crittografia avanzata, come AES. Non esiste alcuna opzione per ignorare la protezione; senza la password corretta, semplicemente non è possibile visualizzare alcun contenuto leggibile. I PDF più vecchi utilizzavano il cifrario RC4, molto meno sicuro, e quelli ancora più datati utilizzavano chiavi a 40 bit, facilmente decifrabili oggi, ma gli strumenti attuali utilizzano la crittografia AES-256.
Questa asimmetria è l’elemento chiave di tutta la questione. L’utilizzo di una password aperta in un documento PDF moderno, abbinata a una frase di accesso complessa, rappresenta una vera e propria misura di sicurezza. Un blocco basato esclusivamente sui permessi è più simile a un cartello che invita a non fare qualcosa: può essere utile per mantenere gli utenti onesti all’interno del flusso di lavoro previsto, ma non costituisce una barriera seria e non può essere considerato un elemento affidabile per garantire la riservatezza. Se un documento deve rimanere privato, è necessario crittografarlo utilizzando una password aperta; non limitarsi a disabilitare il pulsante di copia.
Perché i file PDF con restrizioni si aprono senza richiedere una password?
Questa è la domanda che la maggior parte delle persone si pone, di solito con un certo scetticismo: come può un programma rimuovere la password del mio file PDF senza che io debba digitarla? Nel caso di file protetti solo con restrizioni, in realtà non c’è alcun codice segreto da decifrare.
Quando un file PDF è protetto solo con una password di amministratore, ogni utente deve comunque essere in grado di aprire e visualizzare il file senza dover inserire alcuna password. Ciò significa che, per sua stessa natura, il contenuto può essere decrittografato senza la password di amministratore; altrimenti, il file non potrebbe essere aperto affatto. La password di amministratore serve solo a controllare i permessi. Uno strumento che riscrive il documento senza il livello di crittografia non sta violando alcuna misura di sicurezza crittografica. Sta semplicemente facendo ciò che qualsiasi utente farebbe già per visualizzare le pagine, per poi salvare il risultato senza i relativi flag.
La password di un utente è un discorso completamente diverso. Il contenuto viene crittografato con una chiave derivata da tale password, quindi nessun strumento legittimo può aprire il file senza di essa. Lo strumento di sblocco di FileTinker non cerca mai di forzare, indovinare o provare tutte le combinazioni possibili per le password: se il tuo PDF è protetto da password, devi inserire quella corretta. Chiunque prometta di «recuperare» una password smarrita da un PDF moderno crittografato con AES sta o cercando di forzare password deboli o facendo promesse eccessive.
Quando la revoca di una misura di protezione è legittima e quando non lo è.
Rimuovere la protezione da un file PDF può sembrare una pratica discutibile, finché non si considerano le situazioni in cui le persone ne hanno realmente bisogno: si tratta quasi sempre di esigenze comuni e riguardano documenti di cui sono già in possesso o che hanno tutto il diritto di utilizzare.
Ecco come si presentano i problemi di tutti i giorni: un estratto conto bancario che richiede la password, composta dal numero di conto e dalla data di nascita, ogni volta che viene aperto, e questo vale per sempre, anche all’interno della cartella di archivio. Un modulo governativo che è necessario compilare e restituire, ma per il quale l’opzione di compilazione è stata disattivata. Un documento assicurativo che è necessario stampare per presentare una richiesta di risarcimento, ma la funzione di stampa è disabilitata. I propri vecchi file, protetti anni fa con una password che si ricorda ancora, ma di cui si è stanchi di digitare. In tutti questi casi, è già possibile aprire il documento; si sta semplicemente eliminando un ostacolo da un file che è di proprietà dell’utente e che questi può utilizzare.
È facile riassumere il concetto: rimuovere la protezione dai documenti di cui si è proprietari o sui quali si hanno diritti è legittimo; accedere ai file protetti di qualcun altro non lo è, e nel caso di file con password aperta, non è nemmeno possibile, perché lo strumento richiede la password corretta. Sbloccare un file non concede alcun accesso che non si possedesse già; semplicemente trasforma l’accesso esistente in un accesso più semplice. Se l’autore di un documento lo ha protetto e non si è sicuri di poter rimuovere tale protezione, è meglio chiedere a lui piuttosto che cercare di aggirarla.
Come rimuovere una password o le restrizioni nel browser.
Lo strumento «sblocca PDF» di FileTinker gestisce entrambi i tipi di protezione e funziona interamente sul tuo computer. Dietro le quinte, utilizza qpdf, un motore PDF open source ampiamente diffuso, compilato in WebAssembly, in modo che venga eseguito direttamente nella scheda del tuo browser. Il tuo file non viene mai caricato su nessun server esterno, il che è un aspetto fondamentale: i PDF che gli utenti sbloccano sono proprio quelli contenenti informazioni sensibili e inviarli al server di uno sconosciuto per la decrittazione sarebbe la soluzione peggiore possibile.
Il processo dipende dal tipo di password impostata sul file. Se il file è protetto solo con restrizioni, ovvero si apre ma la stampa, la copia o la modifica sono bloccate, è sufficiente caricarlo: si sbloccherà senza richiedere alcuna password, per le ragioni già illustrate. Se il file è protetto con una password standard, inserire la password che si utilizza normalmente per aprirlo. In caso di password errata, verrà visualizzato un chiaro messaggio di errore, e non si otterrà un risultato incompleto o errato.
In entrambi i casi, il risultato è lo stesso documento, ma senza lo strato di crittografia: le stesse pagine, lo stesso testo, le stesse immagini, nessuna richiesta di password e nessun pulsante disabilitato. Un'ulteriore operazione da prendere in considerazione: se il file contiene un titolo, il nome dell'autore o altre informazioni che preferireste non includere, utilizzate lo strumento di modifica dei metadati PDF per rivederle e rimuoverle.
Come proteggere correttamente un file PDF.
La protezione è l’esatto opposto della mancanza di protezione e, per implementarla correttamente, è necessario trarre insegnamento da tutto quanto detto in precedenza. Lo strumento «protect-pdf» di FileTinker cifra il documento utilizzando l’algoritmo AES-256 e una password scelta dall’utente, il tutto direttamente nel browser. In questo modo, la versione originale non protetta non lascia mai il dispositivo, nemmeno durante la fase di crittografia.
AES-256 è lo standard moderno e affidabile per la crittografia dei file PDF e, se abbinato a una password valida, è praticamente impossibile da decifrare con metodi di forza bruta. L’ultima parte della frase è fondamentale: un attaccante non deve necessariamente violare l’algoritmo AES, ma solo indovinare la password. Una password breve o facilmente intuibile compromette anche il sistema di crittografia più sofisticato.
Alcune regole fondamentali fanno la differenza tra una protezione efficace e una semplice finzione:
- Utilizzate una frase di accesso lunga, non una singola parola. Tre o quattro parole scelte a caso, oppure una combinazione di almeno 16 caratteri, rendono gli attacchi di tipo «forza bruta» impraticabili e inefficaci.
- Evitate di utilizzare come password informazioni contenute nel documento, come la data di nascita, il numero di conto o il nome dell’azienda. Queste sono le prime informazioni che un attaccante cercherà di indovinare in modo automatico.
- Invia la password tramite un canale diverso rispetto a quello utilizzato per inviare il file. Se invii il PDF via e-mail, comunica la password telefonicamente o tramite un’app di messaggistica, ma mai nella stessa e-mail.
- Memorizza la password in un luogo durevole, come un gestore di password. Una password di apertura realmente robusta non prevede una procedura di recupero; perderla significa perdere l'accesso al documento.
- Non affidatevi esclusivamente a restrizioni basate sui permessi per garantire la riservatezza. Se il contenuto deve rimanere privato, è necessario impostare una password con crittografia AES-256, punto.