Lesen Sie die nachfolgenden Abschnitte oder sehen Sie sich das Video zum Weak Password Test (WPT) an, um mehr über den Weak Password Test (WPT) zu erfahren.
Einführung zum WPT
Der WPT ist ein kostenloses Tool, mit dem Sie Ihr Active Directory (AD) auf Passwörter von Nutzer:innen untersuchen können, die anfällig für passwortbezogene Angriffe sind.
Der WPT stellt eine Verbindung zu Ihrem AD her, um die Passworttabelle mit gehashten Passwörtern und Verschlüsselungsalgorithmen abzurufen. Das Tool analysiert die Passwörter dann anhand von zehn möglichen Passwortschwachstellen.
In den Ergebnissen wird angezeigt, welche Nutzerkonten den Test nicht bestanden haben und aus welchem Grund. Anhand dieser Informationen können Sie die Anforderungen an die Passwortkomplexität in Ihrer Organisation erhöhen, Ihre Nutzer:innen hinsichtlich sicherer Passwortpraktiken schulen oder andere Maßnahmen für mehr Sicherheit in Ihrer Organisation ergreifen.
Systemvoraussetzungen
Für den WPT gelten die folgenden Systemvoraussetzungen:
- Windows 10 oder höher (32 oder 64 Bit), Windows Server 2016 oder höher
- Active Directory (AD) unter Windows Server 2008 R2 oder höher
- Zugriff auf den Domain Controller (DC)
- Internetzugang
- .NET Framework 4.7.2, wird ggf. installiert
- Mindestens zwei Prozessoren
- Mindestens 2 GB RAM
- Mindestens 1 GB Festplattenspeicher auf dem Systemlaufwerk
- User Account Control (UAC) aktiviert
Wir empfehlen, diesen Test auf einem anderen System als dem DC auszuführen, da der Scanvorgang den Netzwerkverkehr und die CPU-Auslastung vorübergehend deutlich erhöhen kann.
Für die Installation werden die folgenden Informationen benötigt:
- Lizenzschlüssel, den Sie bei der Registrierung für den Test per E-Mail erhalten haben
- Domain Name Ihres AD; zum Beispiel: MyDomain.com oder MyDomain.local
- Name Ihres DC
- Anmeldedaten zum Herstellen einer Verbindung mit Ihrem AD
Installation und Einrichtung
Sobald Sie die Systemvoraussetzungen erfüllt haben, können Sie den WPT installieren und einrichten. Gehen Sie hierzu wie folgt vor:
- Registrieren Sie sich, um das WPT-Tool von der WPT-Seite herunterzuladen, und laden Sie die WPT-Installationsdatei herunter.
- Rufen Sie Ihre E-Mails ab. Sie haben eine E-Mail mit Ihrem eindeutigen WPT-Lizenzschlüssel erhalten, den Sie während der Einrichtung benötigen.
- Führen Sie die WPT-Installationsdatei aus.
- Lesen und akzeptieren Sie die Lizenzvereinbarung. Klicken Sie dann auf Installieren, um die Installation abzuschließen.
- Klicken Sie auf Fertigstellen, um den WPT zu starten.
- Geben Sie den Lizenzschlüssel aus Schritt 1 ein und klicken Sie auf OK.
- Geben Sie unter Active Directory-Details die erforderlichen Details aus Ihrem Active Directory (AD) ein:
- Domain Name Ihres AD
- Name des Domain Controllers (DC)
- Geben Sie unter Anmeldedaten den Nutzernamen und das Passwort für das von Ihnen erstellte Konto ein, für das die Berechtigungen Verzeichnisänderungen replizieren und Alle Verzeichnisänderungen replizieren aktiviert sind.
- Klicken Sie auf Test starten, um den Test zu starten.
- Mit dem Test werden die AD-Konten auf schwache Passwörter hin untersucht. Je nach Umfang Ihres AD und der Computerleistung kann dieser Vorgang eine Minute oder länger dauern.
- Die Ergebnisse werden auf dem Bildschirm angezeigt, sobald der Test abgeschlossen ist. Informationen zu den verschiedenen Arten von Schwachstellen finden Sie im folgenden Abschnitt.
Interpretieren der Ergebnisse
Die WPT-Ergebnisse geben an, wie viele Konten anfällig sind und welche Schwachstellen die einzelnen Konten aufweisen. In den folgenden Abschnitten erfahren Sie, wie Sie durch die Ergebnisse navigieren und die verschiedenen Arten von Passwortschwachstellen interpretieren können.
Navigieren durch die Ergebnisse
Die Active Directory (AD)-Konten werden als einzelne Zeilen angezeigt. In jeder Zeile werden durch ein oder mehrere Häkchen bestimmte Schwachstellen beim betreffenden Konto angezeigt. Sie können auch nach einem bestimmten Konto suchen, indem Sie Zeichen in das Suchfeld eingeben.
In einem Kreisdiagramm werden Anzahl und Art der gefundenen Schwachstellen miteinander verglichen. Dadurch können Sie die häufigsten Passwortschwachstellen in Ihrer Organisation ermitteln.
Sie können die Ergebnisse nach Fehlertyp filtern, wenn Sie eine bestimmte Schwachstelle analysieren möchten. Klicken Sie dazu auf den entsprechenden Fehlertyp auf der linken Seite, sodass nur Konten mit diesem Typ in der Liste angezeigt werden.
Im Folgenden finden Sie weitere Informationen zur WPT-Benutzeroberfläche:
- Sie können die Ergebnisse nach Fehlertyp filtern, indem Sie auf die Seitenleiste auf der linken Seite klicken.
- Sie können in der Suchleiste nach bestimmten AD-Konten suchen.
- Die Häkchen in jeder Zeile geben an, welche Art von Passwortschwachstelle für das jeweilige Konto gefunden wurde.
- Sie können die Ergebnisse als Excel-Arbeitsblatt oder PDF-Datei exportieren.
- Klicken Sie auf Test wiederholen, um den Test erneut auszuführen. Es wird empfohlen, die aktuellen Ergebnisse zu speichern, bevor Sie auf diese Schaltfläche klicken.
Fehlertypen
Der WPT analysiert die Daten und sucht nach zehn verschiedenen Fehlertypen, die Ihre Organisation anfällig für Angriffe machen können (Details siehe unten).
- Weak Password (Schwaches Passwort): Dieser Fehler bedeutet, dass das Passwort des entsprechenden Kontos mit einem der Passwörter im Wörterbuch für schwache Passwörter übereinstimmt. Diese Passwörter werden entweder sehr häufig verwendet, sind leicht zu erraten oder stehen Angreifern und Angreiferinnen aufgrund früherer Datenschutzverletzungen zur Verfügung.
- Shared Password (Gemeinsam genutztes Passwort): Dieser Fehler bedeutet, dass das Passwort des entsprechenden Kontos für mindestens ein weiteres Konto verwendet wird.
- Empty Password (Leeres Passwort): Dieser Fehler bezieht sich auf Konten, für die kein Passwort festgelegt wurde.
- Clear Text Password (Unverschlüsseltes Passwort): Dieser Fehler bezieht sich auf Passwörter, die in Klartext in Ihrem Active Directory (AD) gespeichert sind. Das bedeutet, dass die AD-Passwörter der Nutzer:innen mit umkehrbarer Verschlüsselung gespeichert werden.
- Password Not Required (Kein Passwort erforderlich): Dieser Fehler bezieht sich auf Konten, für die kein Passwort festgelegt werden muss.
- Password Never Expires (Passwort läuft niemals ab): Dieser Fehler bedeutet, dass der Passwort-Timeout des Kontos auf Null gesetzt ist. Aufgrund dieser Einstellung läuft das Passwort auch dann niemals ab, wenn das Kontrollkästchen Passwort läuft niemals ab in den Nutzereigenschaften deaktiviert ist. Der WPT prüft die Einstellungen für den Ablauf von Passwörtern in den Domain-Richtlinien Ihrer Organisation, in den detaillierteren Passwortrichtlinien und in den Nutzereigenschaften.
- LM-Hash Password (LM-Hash-Passwort): Dieser Fehler bedeutet, dass das betroffene Konto einen LAN-Manager-Hash (Local Area Network) verwendet. Dabei handelt es sich um eine veraltete Methode. Diese Passwörter sind anfällig für Brute-Force-Angriffe und können schnell geknackt werden.
- AES Encryption Not Set (AES-Verschlüsselung nicht eingerichtet): Dieser Fehler bedeutet, dass das Passwort des Kontos nicht mit AES (Advanced Encryption Standard) verschlüsselt wird. Bei AES werden Passwörter mit einem 128-Bit- oder 256-Bit-Schlüssel verschlüsselt. Passwörter mit AES-Verschlüsselung sind weniger anfällig für Angriffe.
- DES-Only Encryption (Nur-DES-Verschlüsselung): Dieser Fehler bedeutet, dass die betroffenen Konten mit dem veralteten DES-Mechanismus (Data Encryption Standard) eingerichtet wurden. Dies könnte auf alte Software zurückzuführen sein, die kein AES verarbeiten kann.
-
Missing Pre-Authentication (Fehlende Vorab-Authentifizierung) Dieser Fehler bedeutet, dass bei den betroffenen Konten der Sicherheitsmechanismus der Vorab-Authentifizierung deaktiviert ist. Wenn die Vorab-Authentifizierung aktiviert ist, wird eine verschlüsselte Authentifizierungsanfrage erstellt, sodass die Authentifizierungsversuche für das Konto protokolliert werden.
Dieses Konto ist möglicherweise dem Risiko eines Brute-Force-Angriffs ausgesetzt. Brute-Force-Angriffe können offline erfolgen und sind schwer zu erkennen.
Einstellungen
Sie können den WPT über verschiedene Einstellungen anpassen. Weitere Informationen finden Sie in den nachfolgenden Unterabschnitten.
Optionale Schwachstellen
Sie können beim WPT-Scan zwei Passwortschwachstellen aktivieren oder deaktivieren: AES-Verschlüsselung nicht eingerichtet oder Passwort läuft niemals ab. Sie können auf diese Einstellungen über das Zahnradsymbol rechts oben zugreifen.
Benutzerdefinierte Passwörter
Der WPT bestimmt anhand einer großen Passwortbibliothek, ob ein Passwort schwach ist. Wenn Sie bestimmte Passwörter in den WPT-Scan aufnehmen möchten, können Sie eine Textdatei mit diesen Passwörtern importieren. Sie können auf diese Einstellungen über das Zahnradsymbol rechts oben zugreifen.
Vergewissern Sie sich vor dem Importieren, dass die Textdatei höchstens 10 MB groß ist und dass jede Zeile der Datei nur ein Passwort enthält.
Sprache
Sie können die WPT-Sprache ändern, indem Sie auf die Sprachbezeichnung rechts unten klicken.
Sicherheit
Ihre Active Directory (AD)- und Nutzerinformationen bleiben während der Verwendung des WPT geschützt. Die Testergebnisse umfassen nur die Nutzerkonten, die den Test nicht bestanden haben, und den Grund, damit Sie entsprechende Maßnahmen ergreifen können.
Im Folgenden erfahren Sie, wie Ihre Daten während des WPT verarbeitet werden:
- Zu keinem Zeitpunkt während des Tests werden Informationen aus Ihrem AD an KnowBe4 übermittelt.
- Die aus Ihrem AD abgerufenen Daten sind verschlüsselt.
- Der WPT zeigt keine Passwörter von Nutzerkonten Ihres AD an.
- Die Passwörter in AD liegen in einem Hash-Format vor, das während des Tests nicht einsehbar ist.
- Die während des Tests gewonnenen Informationen werden im lokalen Arbeitsspeicher und nicht auf der Festplatte gespeichert.