A Weak Password Test (WPT) használatával kapcsolatos információkért tájékozódjon az alábbi szakaszokból, vagy tekintsen meg egy rövid Weak Password Test (WPT)-videót.

A WPT bemutatása

Az ingyenes WPT az Active Directory-adatbázist (AD) vizsgálja olyan felhasználói jelszavakat keresve, amelyek ki vannak téve a jelszavakat célzó kibertámadásoknak.

A WPT az AD-adatbázishoz csatlakozik, hogy hashelt jelszavak és titkosítási algoritmusok használatával lekérje a jelszótáblázatot. Az eszköz ezt követően a jelszavakat tíz, jelszóval kapcsolatos sebezhetőségi szempontból elemzi.

Az eredmények megmutatják, hogy mely fiókok buktak meg a teszten, és azt is, miért. Az információk birtokában a szervezete szigorúbb követelményeket szabhat meg a jelszavak összetettségével kapcsolatban, oktatásban részesítheti felhasználókat a jelszavakkal kapcsolatos biztonságos gyakorlatokról, illetve egyéb módokon is felléphet a szervezet biztonsága érdekében.

Rendszerkövetelmények és előfeltételek

A WPT futtatásához elengedhetetlen, hogy a rendszere megfeleljen az alábbi követelményeknek:

• Windows 10 vagy újabb verzió (32 vagy 64 bites), Windows Server 2016 vagy újabb verzió
• Active Directory (AD), Windows Server 2008 R2 vagy újabb rendszeren
• Hozzáférés a tartományvezérlőhőz (domain controller, DC)
• Internet-hozzáférés
• .NET Framework 4.7.2, szükség esetén telepítve
• Legalább kettő processzor
• Legalább 2 GB RAM
• Legalább 1 GB rendelkezésre álló tárhely a merevlemezen (HDD), a rendszer meghajtóján
• Engedélyezett Felhasználói fiókok felügyelete (User Account Control, UAC) funkció

Azt javasoljuk, hogy ezt a tesztet a DC-jétől eltérő rendszeren futtassa, mivel a keresési folyamat ideiglenesen jelentős hálózati forgalommal és CPU (központi feldolgozóegység)-használattal járhat.

A telepítéshez a következő információkra lesz szüksége:

1. A tesztre való regisztrációkor e-mailben kapott licenckulcs
2. Az AD domainneve, pl. MyDomain.com vagy MyDomain.local
3. A DC neve
4. Az AD-hez való kapcsolódáshoz használható hitelesítő adatok

Telepítés és beállítás

Ha teljesülnek a rendszerkövetelmények és az előfeltételek, telepítheti és beállíthatja a WPT-t. A kezdéshez kövesse az alábbi lépéseket:

1. A WPT eszköz letöltéséhez regisztráljon WPT-oldalunkon, és töltse le a WPT telepítőfájlját.
2. Keresse ki az e-mailjéből az egyedi WPT-licenckulcsát, amelyre szüksége lesz a telepítési folyamat során.
3. Futtassa a WPT telepítőfájlját.
4. Tekintse át és fogadja el a licencszerződést. Ezután kattintson az Install (Telepítés) gombra a telepítő futtatásához.
5. Kattintson a Finish (Befejezés) gombra a WPT elindításához.
6. Adja meg az 1. lépésben kapott licenckulcsát, és kattintson az OK gombra.
7. Az Active Directory Details (Az Active Directory részletei) szakaszban adja meg az Active Directory (AD)-adatbázis szükséges adatait:
   • Az AD domainnevét
   • A tartományvezérlő (DC) nevét
8. A Credentials (Hitelesítő adatok) részben adja meg a Replicating Directory Changes (Directory-módosítások replikációja) és a Replicating Directory Changes All (Directory-módosítások replikációja – Mind) engedéllyel rendelkező, Ön által létrehozott fiókhoz tartozó felhasználónevet és jelszót.
9. A teszt indításához kattintson a Start Test (Teszt indítása) gombra.
10. A teszt elvégzi az AD-fiókok elemzését gyenge jelszavakat keresve. Az AD méretétől és a munkaállomás teljesítményétől függően ez a folyamat néhány percig vagy annál tovább is eltarthat.
11. Az eredmények a teszt lefutását követően a képernyőn fognak megjelenni. Az egyes sebezhetőségekkel kapcsolatos további részleteket a következő szakaszban találja.

Az eredmények értelmezése

A WPT-eredmények jelezni fogják, hogy hány fiók minősült sebezhetőnek, illetve hogy az egyes fiókok milyen jellegű sebezhetőségben érintettek. Az alábbi szakaszok segítenek az eredmények áttekintésében, valamint a talált, jelszóval kapcsolatos sebezhetőségek típusainak értelmezésében.

Az eredmények áttekintése

Az Active Directory (AD)-fiókok külön sorokként jelennek meg. Minden sorban egy vagy több pipa jelzi az adott fióknál talált konkrét sebezhetőségeket. Konkrét fiókokra is rákereshet, ha karaktereket gépel a keresőmezőbe.

A talált sebezhetőségek számát és típusát egy kördiagram veti össze, amely segíthet meghatározni a szervezet leggyakoribb jelszóval kapcsolatos sebezhetőségeit.

Az eredményeket szűrheti a hiba típusa szerint, ha egy adott sebezhetőséget szeretne elemezni. Ehhez kattintson a kívánt hibatípusra a bal oldali ablakban. Ekkor csak az adott típushoz tartozó fiókokra szűkül a lista.

Az alábbiakban további információkat talál a WPT kezelőfelületével kapcsolatban:

1. A bal oldali oldalsávra kattintva hibatípus szerint szűrheti az eredményeket.
2. A keresősávban konkrét AD-fiókokra kereshet rá.
3. Az egyes sorokban lévő pipák az adott fióknál talált sebezhetőségi típusokat jelzik.
4. Az eredményeket Excel-táblázatként vagy PDF-fájlként exportálhatja.
5. Kattintson a Rerun Test (Teszt ismételt futtatása) gombra a WPT újbóli elindításához. Azt javasoljuk, mentse az aktuális eredményeket, mielőtt erre a gombra kattintana.

Hibatípusok

A WPT tíz olyan különböző hibatípust keresve elemzi az adatokat, amelyek sebezhetővé tehetik a szervezetet. Ezek részletezése alább látható.

1. Gyenge jelszó: Ez a hiba azt jelzi, hogy az érintett fiók jelszava megtalálható a gyenge jelszavakat tartalmazó szótárunkban. Az ilyen jelszavak nagyon gyakoriak, könnyen kitalálhatók, vagy korábbi adatsértések eredményeként hozzáférhetővé váltak a hackerek számára.
2. Több helyen használt jelszó: Ez a hiba azt jelzi, hogy az érintett fiók jelszavát legalább egy másik fiók is használja.
3. Üres jelszó: Ez a hiba olyan fiókokra vonatkozik, amelyekben nincs beállítva jelszó.
4. Tiszta szöveges jelszó: Ez a hiba olyan jelszavakra utal, amelyeket egy Active Directory (AD)-adatbázis tiszta szöveges formában tárol. Ez azt jelenti, hogy a felhasználók AD-jelszavai visszafordítható titkosítással szerepelnek.
5. Nincs szükség jelszóra: Ez a hiba azokra a fiókokra értendő, amelyek nem követelik meg jelszó használatát.
6. A jelszó sosem jár le: Ez a hiba azt jelzi, hogy az adott fióknál a jelszó lejárati ideje nullára van állítva. E miatt a beállítás miatt a jelszó akkor sem jár le soha, ha a felhasználói beállításokban nincs is bejelölve Password never expires (A jelszó sosem jár le) jelölőmező. A WPT ellenőrzi a szervezet tartományirányelveiben található, a részletes jelszóirányelvekben és a felhasználói beállításokban lévő jelszólejárati beállításokat is.
7. LM-hashelt jelszó: Ez a hiba azt jelzi, hogy az érintett fiók LAN Manager-hasht használ, amely egy elavult módszer. Az ilyen jelszavak sebezhetők a nyers erőt használó támadásokkal szemben, és gyorsan feltörhetők.
8. Nincs beállítva AES-titkosítás: Ez a hiba azt jelzi, hogy a fiók nem használ Advanced Encryption Standard (AES) technológiát a felhasználó jelszavának titkosításához. Az AES egy 128 vagy 256 bites kulccsal titkosítja a jelszavakat. Az AES-titkosítást használó jelszavak kevésbé vannak kitéve a támadások kockázatának.
9. Csak DES-titkosítás: Ez a hiba azt jelzi, hogy az érintett fiókok a már nem használatos Data Encryption Standard (DES) mechanizmussal vannak titkosítva. Előfordulhat, hogy egy régi szoftver az oka, amely nem tudja, hogyan reagáljon az AES-re.

10. Hiányzó előhitelesítés: Ez a hiba azt jelzi, hogy az érintett fiókoknál ki van kapcsolva az előhitelesítési biztonsági mechanizmus. Engedélyezés esetén az előhitelesítés titkosított hitelesítési kérelmet hoz létre, így a rendszer naplózza a fiók hitelesítésére tett kísérleteket.

    Ez a fiók veszélyben lehet a nyers erőt alkalmazó támadásokkal szemben. A nyers erőt használó támadások bekövetkezhetnek offline módon, és nehezen észlelhetők.

Beállítások

A WPT személyre szabásához különböző beállítások közül válogathat. A részletekért olvassa el az alábbi alszakaszokat.

Opcionális sebezhetőségek

A WPT-vizsgálatnál két jelszóval kapcsolatos sebezhetőség keresését kapcsolhatja be, illetve ki: AES Encryption No Set (Nincs beállítva AES-titkosítás) vagy Password Never Expires (A jelszó sosem jár le). Ezeknek a beállításoknak a megnyitásához kattintson a képernyő jobb felső sarkában található fogaskerék ikonra.

Egyedi jelszavak

A WPT hatalmas jelszókönyvtárat használ annak meghatározására, hogy a felhasználók jelszavai gyengének minősülnek-e. Ha konkrét jelszavakat szeretne felvenni a WPT-vizsgálatba, importálhatja az ezeket tartalmazó szövegfájlt. A beállítás megnyitásához kattintson az ablak jobb felső sarkában található fogaskerék ikonra.

A szövegfájl importálása előtt győződjön meg arról, hogy a fájl mérete kisebb 10 MB-nál, valamint hogy soronként csak egy jelszót tartalmaz.

Nyelv

A WPT nyelvét a képernyő jobb alsó sarkában található nyelvre kattintva módosíthatja.

Biztonság

Active Directory (AD)-adatbázisát és felhasználói információit biztonságban tudhatja a WPT használata közben. A teszteredmények csak azokat azonosítják, hogy a felhasználói fiókok megbuktak-e a teszten, és ha igen, miért – ennek tudatában megteheti a szükséges intézkedéseket.

Alább arról olvashat részletesebben, hogy hogyan kezeli a rendszer az adatait a WPT használata során:

• A program a teszt során semmilyen információt nem küld el az Ön AD-adatbázisából a KnowBe4 számára.
• Az AD-adatbázisból kinyert adatok titkosítottak.
• A WPT nem jeleníti meg egyetlen AD-beli felhasználói fiók jelszavát sem.
• Az AD-adatbázisban lévő jelszavak kivonatolt formátumúak, amely nem válik láthatóvá a teszt során.
• A teszttel kinyert információkat a helyi memória, nem pedig a lemez tárolja.