Usar PasswordIQ

Manual del producto PasswordIQ

PasswordIQ de KnowBe4, que está disponible para suscripciones Diamante, le permite supervisar las vulnerabilidades de las contraseñas de sus usuarios. El cliente PasswordIQ busca vulnerabilidades en la configuración relacionada con la contraseña de Active Directory (AD) y compara las contraseñas de sus usuarios con contraseñas vulneradas y débiles de varias listas y bases de datos. Luego, el cliente se comunica con KSAT para mostrar los resultados del análisis en su tablero.

Para habilitar PasswordIQ, vaya a Account Integrations (Integraciones de cuenta)PasswordIQ en su Configuración de la cuenta. Luego, seleccione la casilla de verificación Enable PasswordIQ (Habilitar PasswordIQ).

Nota:Para usar PasswordIQ, necesitará la versión local de AD. PasswordIQ es incompatible con Microsoft Entra ID.
Importante:PasswordIQ nunca mostrará ni informará las contraseñas de sus usuarios. En AD, todas las contraseñas se cifran y almacenan en formato hash, por lo que PasswordIQ y KnowBe4 no pueden acceder a las versiones sin hash de las contraseñas.

Consulte las secciones que aparecen a continuación para obtener información sobre cómo instalar el cliente, ejecutar análisis y ver los resultados.

Requisitos

Para instalar el cliente PasswordIQ, deberá cumplir con los requisitos que se enumeran a continuación:

Importante: Recomendamos instalar el cliente en una computadora diferente a la computadora que usa como su controlador de dominio. El proceso de análisis puede generar un nivel alto de tráfico de red y uso de unidades de procesamiento de computadora (CPU). Para obtener los mejores resultados, instale el cliente en una máquina virtual o un servidor que pueda ejecutarse continuamente.
  1. Tiene acceso a una computadora que cumple con los siguientes requisitos:
    • El sistema operativo de la computadora es Windows 10 o posterior (32 bits o 64 bits), o Windows Server 2016 o posterior.
    • La computadora usa .NET Framework versión 4.7.2 o posterior. Si la computadora usa una versión de .NET Framework que es al menos 4.5.1 pero anterior a 4.7.2, el asistente de configuración instalará la versión 4.7.2 por usted. Sin embargo, si la computadora usa una versión de .NET Framework anterior a la 4.5.1, el asistente de configuración no se abrirá.
    • La computadora tiene al menos dos procesadores.
    • La computadora tiene al menos 2 GB de RAM.
    • La unidad del sistema de la computadora tiene al menos 1 GB de espacio disponible en la unidad de disco duro (hard disk drive, HDD).
    • El Control de cuentas de usuario (User Account Control, UAC) está habilitado en la configuración de Control de cuentas de usuario de la computadora.
  2. Tiene acceso a un AD local que se ejecuta en Windows Server 2008 R2 o una versión posterior.
    Nota: Si tiene varios dominios de AD, deberá instalar una instancia diferente del cliente para cada dominio.
  3. Tiene acceso a un administrador de dominio de AD o una cuenta de AD que se puede elevar como administrador. Esta cuenta debe tener los permisos Replicar cambios de directorio y Replicar todos los cambios de directorio. Para obtener más información, consulte el artículo Permiso Replicar cambios de directorio de Microsoft.
  4. Debe ser administrador de KSAT o tener una función de seguridad con acceso de lectura/escritura a PasswordIQ.

Vulnerabilidades

El cliente PasswordIQ analiza cada usuario en busca de 11 vulnerabilidades e informa las vulnerabilidades que encuentra a KSAT.

Para obtener más información sobre estas vulnerabilidades, consulte la siguiente tabla:

Vulnerabilidad Descripción
Contraseña débil La contraseña coincide con una contraseña de una de nuestras listas de contraseñas débiles, por lo que es común o fácil de adivinar. Es más probable que un ciberdelincuente adivine la contraseña y acceda a la cuenta del usuario.
Contraseña compartida La contraseña coincide con al menos la contraseña de otro usuario en su AD. Es probable que la contraseña sea común o simple, por lo que es más probable que un ciberdelincuente acceda a la cuenta del usuario.
Contraseña no cifrada La contraseña se almacena con cifrado reversible en su AD. La contraseña se puede descifrar, por lo que es más probable que un ciberdelincuente acceda a la cuenta del usuario.
Contraseña vacía La contraseña no contiene ningún carácter, por lo que el usuario inicia sesión en la cuenta y deja el campo de contraseña en blanco. Cualquiera puede acceder a la cuenta del usuario, incluidos los ciberdelincuentes.
Cifrado solo DES La cuenta utiliza el estándar de cifrado de datos (Data Encryption Standard, DES) para cifrar la contraseña del usuario. DES es un método de cifrado obsoleto porque cifra la contraseña con solo una clave de 56 bits, mientras que los métodos de cifrado más recientes utilizan claves más largas que son más seguras. Es más probable que un ciberdelincuente adivine la contraseña y acceda a la cuenta del usuario.
Contraseña vulnerada La contraseña quedó expuesta en una violación de seguridad de datos que está conectada a su cuenta de AD. El usuario está utilizando activamente una contraseña a la que pueden acceder los ciberdelincuentes.
Contraseña no obligatoria La cuenta no requiere que el usuario ingrese una contraseña cuando inicia sesión. Cualquiera puede iniciar sesión en la cuenta, incluidos los ciberdelincuentes.
La contraseña nunca caduca El tiempo de espera de la contraseña de la cuenta es cero. Debido a esta configuración, incluso si la casilla de verificación La contraseña nunca caduca en las propiedades del usuario no está marcada, su contraseña nunca caducará. PasswordIQ comprobará la configuración de caducidad de las contraseñas en las políticas de dominio de su organización, las políticas de contraseña detalladas y las propiedades de usuario. Es más probable que los ciberdelincuentes adivinen las contraseñas que no se cambian con frecuencia.
Contraseña hash de LM La cuenta utiliza un hash de LAN Manager (LM). Un hash de LM convierte la contraseña a letras mayúsculas, limita la contraseña a 14 caracteres y divide los 14 caracteres en dos grupos de siete caracteres. Este proceso debilita la contraseña, por lo que es más probable que los ciberdelincuentes la descifren.
Cifrado AES La cuenta no utiliza el estándar de cifrado avanzado (AES) para cifrar la contraseña del usuario. El AES cifra las contraseñas con una clave de 128 o 256 bits. Por lo tanto, las contraseñas que utilizan cifrado AES son menos vulnerables a los ataques.
Autenticación previa faltante La cuenta no requiere autenticación previa, por lo que es posible que no esté protegida contra ataques de adivinación de contraseñas. La autenticación previa cifra una marca de tiempo de la solicitud de inicio de sesión mediante una clave que se basa en la contraseña del usuario. Este proceso protege contra ataques de adivinación de contraseñas porque registra cada intento de iniciar sesión en la cuenta.

Para saber cómo puede resolver estas vulnerabilidades, consulte la sección Resolver sus vulnerabilidades a continuación.

Copiar su token de API

Para conectar el cliente de PasswordIQ a su consola de KSAT, necesitará su token de API de producto.

Para crear y copiar su token API, siga estos pasos:

  1. Inicie sesión en su cuenta de KSAT.
  2. Haga clic en la dirección de correo electrónico en la esquina superior derecha de la página y seleccione Configuración de la cuenta.
  3. Vaya a Integraciones de la cuenta > API.
  4. En API de producto, haga clic en API de producto.
  5. Cree un token de API de producto para PasswordIQ. Para obtener más información, consulte nuestro artículo API de producto de KnowBe4.

  6. En la ventana emergente Token de API del producto que se abre, haga clic en el token de API del producto para copiarlo. Necesitará este token para completar esta configuración en la sección Instalar el cliente a continuación. Importante: Después de cerrar esta ventana, no podrá volver a ver este token.

  7. Haga clic en Aceptar.

Instalar el cliente

Antes de instalar el cliente PasswordIQ, verifique que su computadora cumpla con los requisitos en la sección Requisitos anterior. Luego, copie su token de API siguiendo las instrucciones de la sección anterior Copiar su token de API.

Para instalar el cliente, siga estos pasos:

  1. Inicie sesión en su cuenta de KSAT.
  2. Vaya a la pestaña PasswordIQ.
  3. En el paso 2 de las instrucciones Bienvenido a PasswordIQ, haga clic en el vínculo Cliente de PasswordIQ. Descargar cliente
  4. Haga clic en el botón Yes (Sí) en la ventana emergente. Windows Pop-Up PNG (Ventana emergente PNG)
  5. Haga clic en el botón Next (Siguiente).
  6. Después de leer el Acuerdo de licencia de software, haga clic en el botón Accept (Aceptar) para aceptar los términos y condiciones.
  7. Si su computadora usa un servidor proxy para acceder a Internet, seleccione la casilla de verificación Use a Proxy Server (Usar un servidor proxy) y complete los campos. Para obtener más información, consulte la captura de pantalla y la lista a continuación. Si su computadora no utiliza un servidor proxy para acceder a Internet, omita este paso.
    1. Dirección IP o nombre: Introduzca la dirección IP o el nombre del servidor proxy. Puede encontrar esta información en la configuración del servidor proxy de su computadora, que se encuentra en Network & Internet (Red e Internet) > Proxy.
    2. Número de puerto: Introduzca el número de puerto del servidor proxy. Puede encontrar esta información en la configuración del servidor proxy de su computadora, que se encuentra en Network & Internet (Red e Internet) > Proxy.
    Información del servidor proxy
  8. Haga clic en el botón Next (Siguiente).
  9. En el campo Token de la interfaz de programación de aplicaciones (API), pegue el token de API que copió en la sección anterior Copiar su token de API. Pantalla de token API
  10. Haga clic en el botón Next (Siguiente).
  11. En los campos Nombre de usuario y Contraseña, ingrese las credenciales de inicio de sesión de una cuenta de servicio de AD que cumpla con los permisos requeridos. El cliente utilizará esta cuenta de servicio para ejecutar todos los análisis programados.
    Nota: Si a esta cuenta no se le asigna el permiso Iniciar sesión como servicio, el cliente asignará este permiso a la cuenta automáticamente.
    Cuenta de servicio de Windows
  12. Haga clic en el botón Siguiente para completar la instalación.

Ejecutar análisis

Después de instalar el cliente PasswordIQ, puede comenzar a analizar su AD en busca de vulnerabilidades. Deberá ejecutar su primer análisis desde su cliente. Después de su primer análisis, puede ejecutar análisis y crear un programa de análisis desde su tablero. Para obtener más información, consulte la sección Ejecutar análisis de nuestro artículo Cómo utilizar su tablero de PasswordIQ.

Nota: Para proteger la información relacionada con su contraseña, los datos que recopila PasswordIQ durante los análisis nunca se almacenan permanentemente en el disco duro de su computadora. Estos datos solo se almacenan temporalmente en la memoria de acceso aleatorio (RAM) de su computadora.

Para ejecutar su primer análisis, siga estos pasos:

  1. Abra el cliente PasswordIQ.
  2. En la sección Análisis rápido, haga clic en el botón Analizar ahora.
    Nota: PIQ tiene configuraciones adicionales a las que puede acceder haciendo clic en el ícono de ajustes en la esquina superior derecha de la ventana. En configuración Avanzado, puede optar por incluir dos vulnerabilidades opcionales en su análisis: Cifrado AES no configurado o La contraseña nunca caduca.
     Botón Analizar ahora
  3. Después de que el análisis se complete con éxito, haga clic en el botón Ver tablero para ver los resultados de su análisis en KSAT. Botón Ver tablero

Configuración

En su cliente PasswordIQ, puede personalizar su configuración haciendo clic en el ícono configuración en la esquina superior derecha del cliente. En el modal que se abre, puede ver dos pestañas: General y Avanzado. Para obtener más información sobre estas pestañas, consulte las subsecciones siguientes.

General

En la pestaña General, puede editar dos secciones: Token de API y Servidor proxy. Estas secciones incluyen configuraciones que seleccionó cuando inició el cliente PIQ por primera vez.

En el campo Token de API, puede cambiar el token de API que ingresó desde su consola de KSAT. Para guardar los cambios, haga clic en Validar token de API.

En el campo Servidor proxy, puede cambiar el servidor proxy que utiliza su computadora para conectarse a Internet. Seleccione la casilla de verificación Usar un servidor proxy si está deshabilitada e ingrese el nombre o la dirección IP que desea usar. En el campo Número de puerto, ingrese el número de puerto de su servidor proxy. Para guardar los cambios, haga clic en Validar configuración de proxy.

Avanzada

En la pestaña Avanzado, puede editar dos secciones: Controlador de dominio personalizado y Unidades organizativas personalizadas. En la sección Controlador de dominio personalizado, puede elegir cualquier controlador de dominio que desee que PasswordIQ analice ingresando el nombre de la computadora o la dirección IP en el campo Controlador de dominio personalizado.

En la sección Unidades organizativas personalizadas, puede seleccionar una o más unidades organizativas para que PasswordIQ analice en el menú desplegable.

Ver sus resultados

Debido a que solo puede ver resultados limitados del cliente PasswordIQ, le recomendamos usar su cuenta de KSAT para ver y analizar sus resultados. Para navegar a su tablero, vaya a la pestaña PasswordIQ de su consola de KSAT.

Para ver los resultados de su análisis, puede usar el tablero predeterminado o crear tableros personalizados. Para obtener más información, consulte nuestro artículo Cómo utilizar su tablero de PasswordIQ.

Usar grupos inteligentes para usuarios detectados

Puede usar grupos inteligentes para inscribir a los usuarios a los que se les detectaron vulnerabilidades en campañas de phishing (suplantación de identidad) o de capacitación. Por ejemplo, puede utilizar los criterios de Evento de PasswordIQ para inscribir a los usuarios con contraseñas débiles en el módulo de capacitación Crear contraseñas seguras: Capacitación en concientización sobre seguridad.

Para obtener más información sobre los grupos inteligentes, consulte el artículo Descripción general de los grupos inteligentes.

Resolver sus vulnerabilidades

Después de ver sus resultados, puede trabajar con sus usuarios para resolver las vulnerabilidades de sus contraseñas. Para obtener más información, consulte nuestro artículo Cómo resolver las vulnerabilidades de sus contraseñas

¿No encuentra lo que busca?

Contacte a soporte