Para obtener más información sobre Weak Password Test (WPT), lea las secciones siguientes o vea un breve video sobre Weak Password Test (WPT).

Introducción a WPT

WPT es una herramienta gratuita que examina su Active Directory (AD) en busca de contraseñas de usuario que sean susceptibles a ataques relacionados con contraseñas.

WPT se conecta a su AD para recuperar su tabla de contraseñas utilizando contraseñas hash y algoritmos de cifrado. A continuación, la herramienta analiza las contraseñas en función de diez posibles vulnerabilidades.

Sus resultados mostrarán qué cuentas de usuario no pasaron la prueba y por qué. Esta información puede permitirle aumentar los requisitos de complejidad de las contraseñas de su organización, capacitar a sus usuarios sobre prácticas de contraseñas seguras o tomar otras medidas para contribuir a la seguridad de su organización.

Requisitos y requisitos previos del sistema

Para ejecutar WPT, su sistema debe cumplir los siguientes requisitos:

• Windows 10 o posterior (32 o 64 bits), Windows Server 2016 o posterior
• Active Directory (AD), que se ejecute en Windows Server 2008 R2 o posterior
• Capacidad de acceso al controlador de dominio (DC)
• Acceso a Internet
• .NET Framework 4.7.2, se instalará si es necesario
• Al menos dos procesadores
• Al menos 2 GB de RAM
• Al menos 1 GB de espacio en el disco duro (HDD) disponible en la unidad de su sistema
• Control de cuentas de usuario (UAC) habilitado

Recomendamos ejecutar esta prueba en un sistema que no sea su DC, ya que el proceso de análisis puede generar temporalmente un tráfico de red y un uso de la unidad central de procesamiento (CPU) significativos.

Para la instalación, necesitará la siguiente información:

1. La clave de licencia que recibió por correo electrónico al registrarse para la prueba.
2. El nombre de dominio de su AD. Por ejemplo, MiDominio.com o MiDominio.local.
3. El nombre de su DC.
4. Las credenciales para conectarse a su AD.

Instalación y configuración

Una vez que haya cumplido con los requisitos y requisitos previos del sistema, puede instalar y configurar WPT. Para comenzar, siga estos pasos:

1. Regístrese para descargar la herramienta WPT en nuestra página de WPT y descargue el archivo de instalación de WPT.
2. Busque su clave de licencia única de WPT en su correo electrónico, que deberá utilizar durante el proceso de configuración.
3. Ejecute el archivo de instalación de WPT.
4. Revise y acepte el acuerdo de licencia. Luego, haga clic en Instalar para completar la instalación.
5. Haga clic en Finalizar para iniciar WPT.
6. Ingrese su clave de licencia del Paso 1 y haga clic en Aceptar.
7. En Detalles de Active Directory, ingrese los detalles requeridos de su Active Directory (AD):
   • El nombre de dominio de su AD.
   • El nombre de su controlador de dominio (DC).
8. En Credenciales, ingrese el nombre de usuario y la contraseña de la cuenta que creó, que tiene habilitados los permisos Replicar cambios de directorio y Replicar todos los cambios de directorio.
9. Haga clic en Comenzar prueba para iniciar su prueba.
10. La prueba analizará sus cuentas de AD en busca de contraseñas débiles. Según el tamaño de su AD y el rendimiento de la estación de trabajo, este proceso puede tardar un minuto o más.
11. Sus resultados se mostrarán en la pantalla tan pronto como se complete la prueba. Para comprender cada vulnerabilidad, lea la siguiente sección.

Comprender sus resultados

Los resultados de WPT indicarán cuántas cuentas vulnerables se detectaron y qué vulnerabilidad afectó a cada una de ellas. Las siguientes secciones lo ayudarán a analizar los resultados y comprender los tipos de vulnerabilidades de contraseñas encontrados.

Analizar sus resultados

Sus cuentas de Active Directory (AD) se presentarán como filas individuales. En cada fila, una o más marcas de verificación indican las vulnerabilidades específicas que se encontraron para esa cuenta en particular. También puede buscar una cuenta específica ingresando caracteres en el cuadro de búsqueda.

Un gráfico circular compara la cantidad y el tipo de vulnerabilidades encontradas y puede usarse para determinar las vulnerabilidades de contraseñas más comunes de su organización.

Puede filtrar los resultados por tipo de error si desea analizar una vulnerabilidad específica. Para hacerlo, haga clic en el tipo de error específico en el lado izquierdo de la ventana y solo las cuentas con ese tipo de error permanecerán en la lista.

A continuación, se muestra información adicional sobre la interfaz de usuario de WPT:

1. Puede filtrar los resultados por tipo de error haciendo clic en la barra lateral en el lado izquierdo de la página.
2. Puede buscar cuentas de AD específicas en la barra de búsqueda.
3. Las marcas de verificación en cada fila indican el tipo de vulnerabilidad de contraseña encontrada para cada cuenta.
4. Puede exportar los resultados como una hoja de cálculo de Excel o un archivo PDF.
5. Haga clic en Volver a ejecutar la prueba para ejecutar WPT nuevamente. Le recomendamos que guarde sus resultados actuales antes de hacer clic en este botón.

Tipos de error

WPT analiza sus datos para buscar diez tipos de errores diferentes que pueden dejar a su organización vulnerable a ataques, los cuales se detallan a continuación.

1. Contraseña débil: Este error indica que la contraseña de la cuenta afectada coincide con una de las que figuran en nuestro diccionario de contraseñas débiles. Estas contraseñas son muy comunes, fáciles de adivinar o se han puesto a disposición de los atacantes debido a violaciones de seguridad de datos anteriores.
2. Contraseña compartida: Este error indica que la cuenta afectada comparte una contraseña con al menos otra cuenta.
3. Contraseña vacía: Este error incluye cuentas que no tienen una contraseña establecida.
4. Contraseña no cifrada: Este error incluye contraseñas que están almacenadas en texto sin cifrar en Active Directory (AD). Esto significa que las contraseñas de AD de los usuarios se almacenan mediante cifrado reversible.
5. Contraseña no obligatoria: Este error incluye cuentas que tienen la capacidad de no tener una contraseña.
6. La contraseña nunca caduca: Este error indica que la cuenta tiene el límite de tiempo de la contraseña establecido en cero. Debido a esta configuración, incluso si la casilla de verificación La contraseña nunca caduca en las propiedades del usuario no está marcada, su contraseña nunca caducará. WPT comprobará la configuración de caducidad de las contraseñas en las políticas de dominio de su organización, las políticas de contraseña detalladas y las propiedades de usuario.
7. Contraseña hash de LM: Este error indica que la cuenta afectada utiliza un hash de administrador de red de área local (LAN), que es un método anticuado. Estas contraseñas son vulnerables a ataques de fuerza bruta y pueden descifrarse rápidamente.
8. Cifrado AES no configurado: Este error indica que la cuenta no utiliza el estándar de cifrado avanzado (AES) para cifrar la contraseña del usuario. El AES cifra las contraseñas con una clave de 128 o 256 bits. Las contraseñas que utilizan cifrado AES son menos vulnerables a los ataques.
9. Cifrado solo DES: Este error indica que las cuentas afectadas se configuraron utilizando el retirado mecanismo del estándar de cifrado de datos (DES). Esto podría ser el resultado de un software antiguo que no sabe cómo reaccionar ante AES.

10. Autenticación previa faltante: Este error indica que las cuentas afectadas tienen desactivada la autenticación previa, un mecanismo de seguridad. Cuando está habilitada, la autenticación previa crea una solicitud de autenticación cifrada para que se registren los intentos de autenticación en la cuenta.

    Esta cuenta puede estar en riesgo de sufrir un ataque de fuerza bruta. Los ataques de fuerza bruta pueden ocurrir sin conexión y son difíciles de detectar.

Configuraciones

Hay diferentes configuraciones entre las que puede elegir para personalizar su WPT. Lea las subsecciones a continuación para obtener más información.

Vulnerabilidades opcionales

Puede habilitar o deshabilitar dos vulnerabilidades de contraseñas de su análisis de WPT: Cifrado AES no configurado o La contraseña nunca caduca. Para acceder a estas configuraciones, haga clic en el ícono de engranaje en la esquina superior derecha de la ventana.

Contraseñas personalizadas

WPT utiliza una gran biblioteca de contraseñas para determinar si la contraseña de un usuario es débil. Si hay contraseñas específicas que le gustaría incluir en el análisis de WPT, puede importar un archivo de texto que incluya esas contraseñas. Para acceder a esta configuración, haga clic en el ícono de engranaje en la esquina superior derecha de la ventana.

Antes de importar su archivo de texto, asegúrese de que sea de menos de 10 MB y que solo incluya una contraseña en cada línea del archivo.

Idioma

Puede cambiar el idioma de WPT haciendo clic en el nombre del idioma en la esquina inferior derecha de la ventana.

Seguridad

Su Active Directory (AD) y la información de los usuarios se mantienen seguros mientras usa WPT. Los resultados de la prueba solo identifican las cuentas de usuario que no pasaron la prueba y por qué, para que usted pueda tomar medidas.

A continuación, encontrará información detallada sobre el tratamiento de sus datos mientras se ejecuta WPT:

• Ninguna información de su AD se transmitirá a KnowBe4 en ningún momento durante la prueba.
• Los datos extraídos de su AD están cifrados.
• WPT no muestra las contraseñas de ninguna de sus cuentas de usuario de AD.
• Las contraseñas en AD están en formato hash, y el formato hash no será visible durante la prueba.
• La información obtenida durante la prueba se guarda en la memoria local, no en el disco.