PasswordIQ von KnowBe4 ist im Diamond-Abonnement enthalten und ermöglicht die Überwachung von Schwachstellen bei den Passwörtern Ihrer Nutzer:innen. Mit dem PasswordIQ-Client werden die passwortbezogenen Einstellungen von Active Directory (AD) auf Schwachstellen geprüft und die Passwörter der Nutzer:innen mit verschiedenen Listen und Datenbanken gestohlener und schwacher Passwörter abgeglichen. Anschließend kommuniziert der Client mit KSAT, um die Scanergebnisse auf dem Dashboard anzuzeigen.
Navigieren Sie in den Kontoeinstellungen zu Kontointegrationen > PasswordIQ, um PasswordIQ zu aktivieren. Aktivieren Sie dann das Kontrollkästchen PasswordIQ aktivieren.
In den nachfolgenden Abschnitten erfahren Sie, wie Sie den Client installieren, Scans ausführen und die Ergebnisse anzeigen.
Voraussetzungen
Für eine Installation des PasswordIQ-Clients müssen folgende Voraussetzungen erfüllt sein:
- Sie haben Zugriff auf einen Computer, der die nachfolgenden Anforderungen erfüllt:
- Das Betriebssystem des Computers ist Windows 10 oder höher (32 Bit oder 64 Bit) oder Windows Server 2016 oder höher.
- Der Computer verwendet .NET Framework-Version 4.7.2 oder höher. Wenn der Computer mindestens Version 4.5.1 von .NET Framework verwendet, jedoch eine ältere Version als 4.7.2, wird Version 4.7.2 durch den Setup-Assistenten installiert. Wenn der Computer eine ältere .NET Framework-Version als 4.5.1 verwendet, wird der Setup-Assistent nicht geöffnet.
- Der Computer verfügt über mindestens zwei Prozessoren.
- Der Computer verfügt über mindestens 2 GB RAM.
- Auf dem Systemlaufwerk des Computers ist mindestens 1 GB Festplattenspeicher frei.
- Die Benutzerkontensteuerung ist in den entsprechenden Einstellungen des Computers aktiviert.
- Sie haben Zugriff auf eine lokale AD-Version, die auf Windows Server 2008 R2 oder höher ausgeführt wird.
Hinweis: Wenn Sie über mehrere AD-Domains verfügen, muss für jede Domain eine andere Instanz des Clients installiert werden.
- Sie haben Zugang zu einem AD-Domainadministratorkonto oder einem AD-Konto, das zum Administratorkonto hochgestuft werden kann. Das Konto muss über die Berechtigungen Verzeichnisänderungen replizieren und Alle Verzeichnisänderungen replizieren verfügen. Weitere Informationen finden Sie im Microsoft-Artikel über die Berechtigung zum Replizieren von Verzeichnisänderungen.
- Sie müssen KSAT-Administratorin oder -Administrator sein oder über eine Sicherheitsrolle mit Lese-/Schreibzugriff für PasswordIQ verfügen.
Schwachstellen
Mit dem PasswordIQ-Client werden die Passwörter aller Nutzerinnen und Nutzer auf 11 Schwachstellen geprüft. Die gefundenen Schwachstellen werden dann an KSAT gesendet.
Weitere Informationen zu diesen Schwachstellen finden Sie in der folgenden Tabelle:
Schwachstelle | Beschreibung |
---|---|
Weak Password (Schwaches Passwort) | Das Passwort stimmt mit einem Passwort in einer der Listen schwacher Passwörter überein. Damit ist es sehr generisch oder einfach zu erraten. Die Wahrscheinlichkeit ist höher als bei anderen Passwörtern, dass das Passwort erraten wird und Cyberkriminelle Zugriff auf das Konto erlangen. |
Shared Password (Gemeinsam genutztes Passwort) | Das Passwort stimmt mit dem Passwort mindestens eines:einer anderen Nutzer:in in AD überein. Das Passwort ist wahrscheinlich sehr generisch oder einfach, sodass Cyberkriminelle mit höherer Wahrscheinlichkeit Zugriff auf das Konto erlangen. |
Clear Text Password (Unverschlüsseltes Passwort) | Das Passwort ist mit umkehrbarer Verschlüsselung in AD gespeichert. Das Passwort kann entschlüsselt werden, sodass Cyberkriminelle mit höherer Wahrscheinlichkeit Zugriff auf das Konto erlangen. |
Empty Password (Leeres Passwort) | Das Passwort enthält keine Zeichen. Der:die Nutzer:in meldet sich somit am Konto an, indem er:sie das Passwortfeld leer lässt. Beliebige Personen einschließlich Cyberkriminelle können auf das Nutzerkonto zugreifen. |
DES-Only Encryption (Nur-DES-Verschlüsselung) | Das Konto verwendet DES (Data Encryption Standard) zum Verschlüsseln des Passworts. DES ist eine veraltete Verschlüsselungsmethode, da das Passwort nur mit einem 56-Bit-Schlüssel verschlüsselt wird. Dagegen werden bei neueren Verschlüsselungsmethoden längere und somit sicherere Schlüssel verwendet. Die Wahrscheinlichkeit ist höher als bei anderen Passwörtern, dass das Passwort erraten wird und Cyberkriminelle Zugriff auf das Konto erlangen. |
Breached Password (Kompromittiertes Passwort) | Das Passwort wurde bei einer Datenschutzverletzung in Verbindung mit Ihrem AD-Konto offengelegt. Der:die Nutzer:in verwendet aktiv ein Passwort, das für Cyberkriminelle zugänglich ist. |
Password Not Required (Kein Passwort erforderlich) | Es ist nicht erforderlich, sich mit einem Passwort beim Konto anzumelden. Beliebige Personen einschließlich Cyberkriminelle können sich beim Nutzerkonto anmelden. |
Password Never Expires (Passwort läuft niemals ab) | Der Passwort-Timeout des Kontos ist auf Null gesetzt. Aufgrund dieser Einstellung läuft das Passwort auch dann niemals ab, wenn das Kontrollkästchen Passwort läuft niemals ab in den Nutzereigenschaften deaktiviert ist. PasswordIQ prüft die Einstellungen für den Ablauf von Passwörtern in den Domain-Richtlinien Ihrer Organisation, in den detaillierteren Passwortrichtlinien und in den Nutzereigenschaften. Passwörter, die nicht oft geändert werden, haben ein höheres Risiko, von Cyberkriminellen gecrackt zu werden. |
LM-Hash Password (LM-Hash-Passwort) | Das Konto verwendet einen LAN Manager (LM)-Hashwert. Bei einem LM-Hashwert wird das Passwort in Großbuchstaben umgewandelt und auf 14 Zeichen begrenzt, die in zwei Gruppen von je sieben Zeichen aufgeteilt werden. Durch diesen Prozess wird das Passwort geschwächt, sodass Cyberkriminelle es leichter knacken können. |
AES-Verschlüsselung | Das Konto verwendet keine AES-Schlüssel (Advanced Encryption Standard) zum Verschlüsseln des Passworts. Bei AES werden Passwörter mit einem 128-Bit- oder 256-Bit-Schlüssel verschlüsselt. Passwörter mit AES-Verschlüsselung sind daher weniger anfällig für Angriffe. |
Missing Pre-Authentication (Fehlende Vorab-Authentifizierung) | Das Konto erfordert keine Vorab-Authentifizierung, sodass es möglicherweise nicht vor Angriffen durch Erraten des Passworts geschützt ist. Bei der Vorab-Authentifizierung wird ein Zeitstempel der Anmeldeanforderung mit einem Schlüssel verschlüsselt, der auf dem Passwort des:der Nutzer:in basiert. Dieser Prozess schützt vor Angriffen durch Erraten des Passworts, da jeder Anmeldeversuch aufgezeichnet wird. |
Im nachfolgenden Abschnitt Beheben von Schwachstellen erfahren Sie, wie Sie solche Schwachstellen beheben.
Kopieren des API-Tokens
Zum Verknüpfen des PasswordIQ-Clients und der KSAT-Konsole benötigen Sie das Produkt-API-Token.
Gehen Sie wie folgt vor, um das API-Token zu kopieren:
- Melden Sie sich bei Ihrem KSAT-Konto an.
- Klicken Sie oben rechts auf Ihre E-Mail-Adresse und wählen Sie Kontoeinstellungen aus.
- Navigieren Sie zu Kontointegrationen > API.
- Klicken Sie unter Produkt-API auf Produkt-API.
-
Erstellen Sie ein Produkt-API-Token für PasswordIQ. Weitere Informationen finden Sie im Artikel Die Produkt-API von KnowBe4.
-
Klicken Sie im Pop-up-Fenster „Produkt-API-Token“ auf das Produkt-API-Token, um es zu kopieren. Sie benötigen dieses Token zum Abschließen der Einrichtung im Abschnitt „Installieren des Clients“ weiter unten. Wichtig: Nachdem Sie dieses Fenster geschlossen haben, können Sie dieses Token nicht mehr anzeigen.
-
Klicken Sie auf OK.
Installieren des Clients
Stellen Sie vor dem Installieren des PasswordIQ-Clients sicher, dass Ihr Computer die Anforderungen im Abschnitt Voraussetzungen weiter oben erfüllt. Kopieren Sie dann das API-Token mithilfe der Anweisungen im Abschnitt Kopieren des API-Tokens weiter oben.
Gehen Sie wie folgt vor, um den Client zu installieren:
- Melden Sie sich bei Ihrem KSAT-Konto an.
- Navigieren Sie zur Registerkarte PasswordIQ.
- Klicken Sie in Schritt 2 der Anweisungen Willkommen bei PasswordIQ auf den Link PasswordIQ-Client.
- Klicken Sie im Pop-up-Fenster auf die Schaltfläche Ja.
- Klicken Sie auf die Schaltfläche Weiter.
- Lesen Sie die Software-Lizenzvereinbarung durch und klicken Sie auf die Schaltfläche Zustimmen, um den Allgemeinen Geschäftsbedingungen zuzustimmen.
- Aktivieren Sie das Kontrollkästchen Einen Proxyserver verwenden und füllen Sie die entsprechenden Felder aus, wenn Ihr Computer einen Proxyserver für den Zugang zum Internet verwendet. Weitere Informationen finden Sie im Screenshot und in der folgenden Liste. Überspringen Sie diesen Schritt, wenn Ihr Computer keinen Proxyserver für den Zugang zum Internet verwendet.
- IP-Adresse oder Name: Geben Sie die IP-Adresse oder den Namen des Proxyservers ein. Sie finden diese Informationen in den Proxyserver-Einstellungen Ihres Computers, d. h. unter Netzwerk und Internet > Proxy.
- Portnummer: Geben Sie die Portnummer des Proxyservers ein. Sie finden diese Informationen in den Proxyserver-Einstellungen Ihres Computers, d. h. unter Netzwerk und Internet > Proxy.
- Klicken Sie auf die Schaltfläche Weiter.
- Fügen Sie im Feld Application Programming Interface (API)-Token das API-Token ein, das Sie im Abschnitt Kopieren des API-Tokens weiter oben kopiert haben.
- Klicken Sie auf die Schaltfläche Weiter.
- Geben Sie in den Feldern Nutzername und Passwort die Anmeldedaten eines AD-Dienstkontos ein, das über die erforderlichen Berechtigungen verfügt. Dieses Dienstkonto wird vom Client zur Ausführung aller geplanten Scans verwendet.
Hinweis: Wenn die Berechtigung Anmelden als Dienst dem Konto nicht zugewiesen ist, wird sie dem Konto automatisch vom Client zugewiesen.
- Klicken Sie auf die Schaltfläche Weiter, um die Installation abzuschließen.
Ausführen von Scans
Nach der Installation des PasswordIQ-Clients können Sie AD auf Schwachstellen prüfen. Der erste Scan muss über den Client ausgeführt werden. Nach dem ersten Scan können Sie über das Dashboard Scans ausführen und einen Scanzeitplan erstellen. Weitere Informationen finden Sie im Abschnitt Ausführen von Scans im Artikel So verwenden Sie das PasswordIQ-Dashboard.
Gehen Sie wie folgt vor, um den ersten Scan durchzuführen:
- Öffnen Sie den PasswordIQ-Client.
- Klicken Sie im Abschnitt Schnellscan auf die Schaltfläche Jetzt scannen.
Hinweis: PIQ verfügt über zusätzliche Einstellungen, auf die Sie zugreifen können, indem Sie auf das Zahnradsymbol in der oberen rechten Ecke des Fensters klicken. In den erweiterten Einstellungen können Sie zwei optionale Schwachstellen in den Scan einschließen: AES-Verschlüsselung nicht eingerichtet oder Passwort läuft niemals ab.
- Klicken Sie nach Abschluss des Scans auf die Schaltfläche Dashboard anzeigen, um die Scan-Ergebnisse in KSAT anzuzeigen.
Einstellungen
Im PasswordIQ-Client können Sie die Einstellungen anpassen, indem Sie auf das Einstellungssymbol in der oberen rechten Ecke des Clients klicken. Das daraufhin angezeigte modale Fenster enthält zwei Registerkarten: Allgemein und Erweitert. Weitere Informationen zu diesen Registerkarten finden Sie in den nachfolgenden Unterabschnitten.
Allgemeines
Auf der Registerkarte Allgemein können Sie zwei Abschnitte bearbeiten: API-Token und Proxyserver. Diese Abschnitte enthalten die Einstellungen, die Sie beim erstmaligen Start des PIQ-Clients vorgenommen haben.
Im Feld API-Token können Sie das API-Token ändern, das Sie über Ihre KSAT-Konsole eingegeben haben. Klicken Sie auf API-Token überprüfen, um Ihre Änderungen zu speichern.
Im Feld Proxyserver können Sie den Proxyserver ändern, den Ihr Computer für die Verbindung mit dem Internet verwendet. Aktivieren Sie das Kontrollkästchen Proxyserver verwenden, sofern es deaktiviert ist, und geben Sie den Namen oder die IP-Adresse ein, die Sie verwenden möchten. Geben Sie im Feld Portnummer die Portnummer für Ihren Proxyserver ein. Klicken Sie auf Proxy-Einstellungen überprüfen, um Ihre Änderungen zu speichern.
Erweitert
Auf der Registerkarte Erweitert können Sie zwei Abschnitte bearbeiten: Benutzerdefinierter Domain Controller und Benutzerdefinierte Organisationseinheiten. Im Abschnitt Benutzerdefinierter Domain Controller können Sie einen beliebigen Domain Controller auswählen, der von PasswordIQ gescannt werden soll, indem Sie den Computernamen oder die IP-Adresse in das Feld Benutzerdefinierter Domain Controller eingeben.
Im Abschnitt Benutzerdefinierte Organisationseinheiten können Sie im Drop-down-Menü eine oder mehrere Organisationseinheiten auswählen, die von PasswordIQ gescannt werden sollen.
Anzeigen der Ergebnisse
Da die Anzeige der Ergebnisse im PasswordIQ-Client eingeschränkt ist, wird empfohlen, die Ergebnisse im KSAT-Konto anzuzeigen und zu analysieren. Navigieren Sie zum Aufrufen des Dashboards zur Registerkarte PasswordIQ der KSAT-Konsole.
Zum Anzeigen der Scan-Ergebnisse können Sie entweder das Standarddashboard verwenden oder benutzerdefinierte Dashboards erstellen. Weitere Informationen finden Sie im Artikel So verwenden Sie das PasswordIQ-Dashboard.
Verwenden von Smart Groups für erkannte Nutzer:innen
Mit Smart Groups können Sie Nutzer:innen, bei denen Schwachstellen erkannt wurden, für Phishing- oder Trainingskampagnen registrieren. Sie könnten beispielsweise das Kriterium PasswordIQ-Ereignis dazu verwenden, Nutzer:innen mit schwachen Passwörtern für das Trainingsmodul Erstellen starker Passwörter zu registrieren.
Weitere Informationen zu Smart Groups finden Sie im Artikel Übersicht über Smart Groups.
Beheben von Schwachstellen
Sobald Ihnen die Ergebnisse vorliegen, können Sie gemeinsam mit den Nutzer:innen die Passwortschwachstellen beheben. Weitere Informationen finden Sie im Artikel So beheben Sie Passwortschwachstellen.