Weak Password Test (WPT)

शेयर करें

क्या यह आलेख आपके काम का है?

अंतिम अद्यतन:

Weak Password Test (WPT) उत्पाद मैन्युअल

Weak Password Test (WPT) के बारे में जानने के लिए, नीचे मौजूद अनुभाग पढ़ें या एक छोटा Weak Password Test (WPT) वीडियो देखें।

WPT का परिचय

WPT एक मुफ़्त टूल है जो आपकी गतिविधि डायरेक्ट्री (AD) में ऐसे उपयोगकर्ता पासवर्ड की जाँच करता है, जिनके ज़रिए पासवर्ड-संबंधित हमले किए जा सकते हैं।

WPT आपके AD के साथ कनेक्ट होकर, हैश किए गए पासवर्ड और एन्क्रिप्शन एल्गोरिदम का इस्तेमाल करके आपकी पासवर्ड तालिका हासिल करता है। इसके बाद यह टूल, पासवर्ड से जुड़ी 10 संभावित कमियों के आधार पर उन पासवर्ड का मूल्यांकन करता है।

आपके परिणामों में दिखेगा कि कौन-से उपयोगकर्ता खाते टेस्ट में पास नहीं हो सके और क्यों। इस जानकारी की मदद से आप अपने संगठन की पासवर्ड की जटिलता संबंधी ज़रूरी शर्तों को बढ़ा सकते हैं, अपने उपयोगकर्ताओं को सुरक्षित पासवर्ड इस्तेमाल करने का प्रशिक्षण दे सकते हैं या अपने संगठन की सुरक्षा को बेहतर करने के लिए अन्य कार्रवाइयाँ कर सकते हैं।

सिस्टम की ज़रूरतें और ज़रूरी शर्तें

WPT चलाने के लिए, आपके सिस्टम में ये चीज़ें होना ज़रूरी है:

  • Windows 10 या उसके बाद के वर्जन (32 या 64 बिट), Windows Server 2016 या उसके बाद के वर्जन
  • सक्रिय डायरेक्ट्री (AD), जो Windows Server 2008 R2 या उसके बाद के वर्जन पर चलती हो
  • डोमेन कंट्रोलर (DC) को एक्सेस करने की क्षमता
  • इंटरनेट एक्सेस
  • .NET Framework 4.7.2, ज़रूरत पड़ने पर इंस्टॉल किया जाएगा
  • कम से कम दो प्रोसेसर
  • कम से कम 2GB रैम
  • आपकी सिस्टम ड्राइव पर कम से कम 1GB की हार्ड डिस्क ड्राइव (HDD) जितनी जगह
  • उपयोगकर्ता खाता नियंत्रण (UAC) चालू

हमारा सुझाव है कि यह टेस्ट आप अपने DC के अलावा किसी अन्य सिस्टम पर चलाकर देखें, क्योंकि स्कैनिंग की प्रक्रिया से कुछ समय के लिए काफ़ी ज़्यादा नेटवर्क ट्रैफ़िक जनरेट हो सकता है और सेंट्रल प्रोसेसिंग यूनिट (CPU) का इस्तेमाल बढ़ सकता है।

इंस्टॉल करने के लिए, आपको निम्न जानकारी चाहिए होगी:

  1. टेस्ट के लिए साइन अप करने पर आपको जो लाइसेंस की भेजी गई थी, वह।
  2. आपके AD के डोमेन का नाम। उदाहरण के लिए, MyDomain.com या MyDomain.local।
  3. आपके DC का नाम।
  4. आपके AD से कनेक्ट करने के लिए क्रेडेंशियल्स।
महत्वपूर्ण:टेस्ट सफलतापूर्वक चल जाए, इसके लिए ज़रूरी है कि आप अपने AD को WPT से कनेक्ट करने के लिए जिन क्रेडेंशियल्स का इस्तेमाल कर रहे हैं, उनमें डायरेक्ट्री के बदलावों की नकल बनाई जा रही है और डायरेक्ट्री के सभी बदलावों की नकल बनाई जा रही है अनुमतियाँ दी गई होनी चाहिए। इन अनुमतियों से आप आकलन के लिए, अपनी पासवर्ड तालिका की एक कॉपी हासिल कर सकेंगे।

इंस्टॉल और सेटअप करना

जब आपने सिस्टम की ज़रूरतें और ज़रूरी शर्तें पूरी कर ली हों, तब आप WPT को इंस्टॉल और सेटअप कर सकते हैं। शुरुआत करने के लिए, नीचे दिए गए चरणों का पालन करें:

  1. WPT टूल डाउनलोड करने के लिए हमारे WPT पेज पर साइन अप करें और WPT इंस्टॉलेशन फ़ाइल डाउनलोड करें।
  2. अपने ईमेल में से अपनी विशेष WPT लाइसेंस की हासिल करें, जिसकी ज़रूरत आपको सेटअप की प्रक्रिया के दौरान पड़ेगी।
  3. WPT इंस्टॉलेशन फ़ाइल रन करें।
  4. लाइसेंस अनुबंध को देखें और स्वीकार करें। इसके बाद, इंस्टॉल करें पर क्लिक करके इंस्टॉलेशन पूरा करें।
  5. समाप्त पर क्लिक करके WPT लॉन्च करें।
  6. पहले चरण से देखकर अपनी लाइसेंस की डालें और ठीक है पर क्लिक करें।
  7. सक्रिय डायरेक्ट्री का विवरण में अपनी सक्रिय डायरेक्ट्री (AD) में से ज़रूरी जानकारी डालें।
    • आपके AD के डोमेन का नाम
    • आपके डोमेन कंट्रोलर (DC) का नाम
  8. क्रेडेंशियल्स में, उस खाते का उपयोगकर्ता नाम और पासवर्ड डालें जो आपने बनाया है, जिसमें डायरेक्ट्री में बदलावों की नकल की जा रही है और डायरेक्ट्री में सभी बदलावों की नकल की जा रही है अनुमतियाँ दी गई हैं।
  9. अपना टेस्ट शुरू करने के लिए, टेस्ट शुरू करें पर क्लिक करें।
  10. टेस्ट में आपके AD खातों का आकलन करके देखा जाएगा कि कहीं कोई कमज़ोर पासवर्ड तो नहीं है। आपके AD के आकार और वर्कस्टेशन के प्रदर्शन के आधार पर, इस प्रक्रिया में एक मिनट या उससे ज़्यादा समय लग सकता है।
  11. जैसे ही टेस्ट पूरा हो जाएगा, आपके परिणाम स्क्रीन पर दिखने लगेंगे। हर कमी को समझने के लिए, अगला अनुभाग पढ़ें।

अपने परिणामों को समझना

आपके WPT के परिणामों से पता चलेगा कि कितने खाते खतरे में थे और हर खाते को किस कमी ने प्रभावित किया। नीचे दिए गए अनुभागों से आपको अपने परिणामों को देखने और उनमें पाई गई पासवर्ड संबंधी कमियों के प्रकारों को समझने में मदद मिलेगी।

अपने परिणाम देखना

आपके सक्रिय डायरेक्ट्री (AD) खाते अलग-अलग पंक्तियों के तौर पर लिस्ट किए जाएँगे। हर पंक्ति में, एक या अधिक चेकमार्क होंगे, जिनसे उस खाता विशेष में पाई गई खास कमियाँ बताई गई होंगी। आप खोज बॉक्स में वर्ण लिखकर कोई विशेष खाता भी खोज सकते हैं।

एक पाई चार्ट में पाई गई कमियों की संख्या और प्रकारों में तुलना की जाती है और उसका इस्तेमाल करके, आपके संगठन की पासवर्ड से जुड़ी सबसे आम कमियों का पता चल सकता है।

अगर आप किसी विशेष कमी का आकलन करना चाहते हैं, तो आप विफलता के प्रकार के आधार पर परिणाम फ़िल्टर कर सकते हैं। ऐसा करने के लिए, विंडो में बाईं ओर विफलता के उस विशेष प्रकार पर क्लिक करें। सूची में केवल वही खाते दिखाई देंगे, जिनमें वही प्रकार मौजूद है।

नीचे WPT उपयोगकर्ता इंटरफ़ेस के बारे में अतिरिक्त जानकारी दी गई है:

  1. आप विफलता के प्रकारों के आधार पर अपने परिणामों को फ़िल्टर कर सकते हैं, इसके लिए पेज की बाईं ओर मौजूद साइडबार पर क्लिक करें।
  2. आप खोज बार में विशेष AD खाते भी खोज सकते हैं।
  3. हर पंक्ति में मौजूद चेकमार्क पासवर्ड की कमज़ोरी के हर उस प्रकार को दर्शाता है, जो सभी खातों में मिली है।
  4. आप अपने परिणामों को Excel Spreadsheet या PDF फ़ाइल में एक्सपोर्ट कर सकते हैं।
  5. WPT दोबारा चलाने के लिए फिर से टेस्ट चलाएँ। हमारा सुझाव है कि आप इस बटन पर क्लिक करने से पहले, अपने मौजूदा परिणामों को सेव कर लें।

विफलता के प्रकार

WPT डेटा का आकलन करके विफलता के 10 प्रकार खोजता है जिनसे आपके संगठन पर हमला होने का खतरा हो सकता है, जिनका विवरण नीचे दिया गया है।

  1. कमज़ोर पासवर्ड: इस विफलता से पता चलता है कि प्रभावित खातों का पासवर्ड उनमें से किसी एक पासवर्ड से मेल खाता है, जो हमारी कमज़ोर पासवर्ड डिक्शनरी में मौजूद हैं। ये पासवर्ड या तो बहुत आसान होते हैं जिनका अनुमान लगाना आसान हो, या फिर पुराने डेटा उल्लंघन (डेटा ब्रीच) के दौरान हमलावरों तक पहुँच चुके होते हैं।
  2. शेयर किया गया पासवर्ड: इस विफलता से पता चलता है कि प्रभावित खाते का पासवर्ड किसी दूसरे खाते में भी इस्तेमाल हो रहा है।
  3. खाली पासवर्ड: इस विफलता में वे खाते शामिल हैं, जिनका कोई पासवर्ड सेट नहीं है।
  4. क्लियर टेक्स्ट पासवर्ड: इस विफलता में वे पासवर्ड शामिल हैं, जो किसी सक्रिय डायरेक्ट्री (AD) में क्लियर टेक्स्ट में सेव हैं। इसका मतलब है कि उपयोगकर्ताओं के AD पासवर्ड पलटाए जा सकने वाले एन्क्रिप्शन में स्टोर हैं।
  5. पासवर्ड की ज़रूरत नहीं: इस विफलता में वे खाते शामिल हैं, जो बिना पासवर्ड के भी काम करते हैं।
  6. पासवर्ड कभी एक्सपायर नहीं होगा: यह विफलता उस खाते की ओर संकेत करती है, जिसके पासवर्ड टाइमआउट को शून्य पर सेट किया गया है। इस सेटिंग की वजह से, भले ही पासवर्ड कभी एक्सपायर नहीं होगा चेकबॉक्स को चेक न किया गया हो, फिर भी पासवर्ड कभी एक्सपायर नहीं होगा। WPT आपके संगठन की डोमेन नीतियों में, विस्तृत पासवर्ड नीतियों में और उपयोगकर्ता की विशेषताओं में पासवर्ड के एक्सपायर होने की सेटिंग खोजेगा।
  7. LM हैश पासवर्ड: इस विफलता में पता चलता है कि प्रभावित खाता एक लोकल एरिया नेटवर्क (LAN) मैनेजर हैश का इस्तेमाल करता है, जो कि एक पुराना तरीका है। ये पासवर्ड कठोर हमलों के सामने नहीं टिक पाते और जल्दी ही क्रैक हो जाते हैं।
  8. AES एन्क्रिप्शन सेट नहीं है: इस विफलता में पता चलता है कि खाता उपयोगकर्ता के पासवर्ड को एन्क्रिप्ट करने के लिए एडवांस्ड एन्क्रिप्शन स्टैंडर्ड (AES) का इस्तेमाल नहीं करता। AES 128-बिट या 256-बिट की के साथ पासवर्ड को एन्क्रिप्ट करता है। जिन पासवर्ड में AES एन्क्रिप्शन का इस्तेमाल होता है, वे हमले का शिकार कम होते हैं।
  9. केवल DES एन्क्रिप्शन: इस विफलता में पता चलता है कि प्रभावित खातों को रिटायर हो चुके डेटा एन्क्रिप्शन स्टैंडर्ड (DES) मैकेनिज़्म का इस्तेमाल करके सेटअप किया गया था। यह एक पुराने सॉफ़्टवेयर का परिणाम हो सकता है, जिसे नहीं पता हो कि AES को कैसी प्रतिक्रिया देनी है।

  10. पूर्व-प्रमाणीकरण मौजूद नहीं है: इस विफलता से पता चलता है कि प्रभावित खातों में, सुरक्षा मैकेनिज़्म, पूर्व प्रमाणीकरण बंद है। इसे चालू किए जाने पर, पूर्व-प्रमाणीकरण एक एन्क्रिप्ट किया गया प्रमाणीकरण अनुरोध बनाता है, ताकि खाते को प्रमाणित करने के प्रयास लॉग में शामिल हो जाएँ।

    इस खाते को कठोर हमले का जोखिम हो सकता है। कठोर हमले ऑफ़लाइन हो सकते हैं और उनकी पहचान करना मुश्किल होता है।

सेटिंग

आप कई अलग-अलग तरह की सेटिंग चुनकर, अपने WPT को कस्टमाइज़ कर सकते हैं। नीचे दिए गए उपअनुभागों को पढ़कर ज़्यादा जानकारी पाएँ।

वैकल्पिक कमज़ोरियाँ

आप अपने WPT स्कैन में पासवर्ड की दो कमज़ोरियों को चालू या बंद कर सकते हैं: AES एन्क्रिप्शन सेट नहीं है या पासवर्ड कभी एक्सपायर नहीं होता। इन सेटिंग को एक्सेस करने के लिए, विंडो में सबसे ऊपर दाएँ कोने में मौजूद गियर आइकन पर क्लिक करें।

कस्टम पासवर्ड

WPT एक बड़ी पासवर्ड लाइब्रेरी का इस्तेमाल करके बताता है कि किसी उपयोगकर्ता का पासवर्ड कमज़ोर है या नहीं। अगर आप WPT स्कैन में कोई विशेष पासवर्ड शामिल करना चाहते हैं, तो आप इन पासवर्ड वाली कोई टेक्स्ट फ़ाइल इंपोर्ट कर सकते हैं। इस सेटिंग को एक्सेस करने के लिए, विंडो में सबसे ऊपर दाएँ कोने में मौजूद गियर आइकन पर क्लिक करें।

अपनी टेक्स्ट फ़ाइल लागू करने से पहले, सुनिश्चित करें कि आपकी फ़ाइल 10MB से कम की हो और फ़ाइल की हर लाइन में आपने एक ही पासवर्ड लिखा हो।

भाषा

आप WPT की भाषा बदलने के लिए, विंडो में सबसे नीचे दाएँ कोने पर मौजूद भाषा के नाम पर क्लिक कर सकते हैं।

सुरक्षा

आपकी सक्रिय डायरेक्ट्री (AD) और उपयोगकर्ता की जानकारी को WPT इस्तेमाल करने के दौरान सुरक्षित रखा जाता है। टेस्ट के परिणाम में सिर्फ़ उन उपयोगकर्ता खातों की पहचान की जाती है जो टेस्ट में विफल हो गए, ताकि आप कार्रवाई कर सकें।

नीचे विस्तार से बताया गया है कि WPT के दौरान आपके डेटा को कैसे हैंडल किया जाता है:

  • आपके AD की किसी भी जानकारी को टेस्ट के दौरान कभी भी KnowBe4 को नहीं दिया जाता।
  • आपके AD से लिया गया डेटा एन्क्रिप्ट होता है।
  • WPT, आपके किसी भी AD उपयोगकर्ता खाते का पासवर्ड नहीं दिखाता।
  • AD में मौजूद पासवर्ड हैश फ़ॉरमेट में होते हैं और हैश फ़ॉरमेट टेस्ट के दौरान नहीं दिखते।
  • टेस्ट के दौरान मिली जानकारी को लोकल मेमोरी में सेव किया जाता है, डिस्क में नहीं।

क्या इस आलेख से आपको मदद मिली?

19 में से 17 के लिए उपयोगी रहा

आप जो खोज रहे हैं वह नहीं मिल रहा?

सहायता टीम से संपर्क करें