Per informazioni sul Weak Password Test (WPT), leggi le sezioni in basso o guarda un breve video dedicato al Weak Password Test (WPT).

Introduzione al Weak Password Test (WPT)

Il Weak Password Test (WPT) è uno strumento gratuito che esamina Active Directory (AD) alla ricerca delle password degli utenti che potrebbero essere soggette ad attacchi legati alle password.

Il Weak Password Test si connette ad AD per recuperare la tabella delle password utilizzando password con hash e algoritmi di crittografia. Lo strumento analizza le password mettendole a confronto con dieci potenziali vulnerabilità delle password.

I risultati mostrano quali account utente non hanno superato il test e perché. Sulla base di queste informazioni potrai decidere di aumentare la complessità dei requisiti delle password della tua organizzazione, di organizzare attività di formazione per gli utenti sulla sicurezza delle password o di avviare altre azioni per migliorare la sicurezza della tua organizzazione.

Requisiti e prerequisiti del sistema

Per eseguire il Weak Password Test, il tuo sistema deve soddisfare i seguenti requisiti:

• Windows 10 o versione successiva (32 o 64 bit), Windows Server 2016 o versione successiva.
• Active Directory (AD), in esecuzione su Windows Server 2008 R2 o versione successiva
• Possibilità di accedere al controller di dominio (DC)
• Accesso a Internet
• .NET Framework 4.7.2 (verrà installato se necessario)
• Almeno due processori
• Almeno 2 GB di RAM
• Almeno 1 GB di spazio disponibile sull’hard disk (HDD) del sistema
• Controllo dell’account utente (UAC) abilitato

Ti consigliamo di eseguire il test su un sistema diverso dal tuo PC, in quanto il processo di scansione potrebbe generare temporaneamente un traffico di rete significativo e un elevato utilizzo dell’unità di elaborazione centrale (CPU).

Per l’installazione sono necessarie le seguenti informazioni:

1. La chiave di licenza ricevuta via e‑mail al momento dell’iscrizione al test.
2. Il nome di dominio di AD. Ad esempio, MioDominio.com o MioDominio.local.
3. Il nome di DC.
4. Le credenziali per connettersi ad AD.

Installazione e configurazione

Se i requisiti e i prerequisiti di sistema sono soddisfatti, puoi installare e configurare il Weak Password Test. Per iniziare, effettua le seguenti operazioni.

1. Registrati alla nostra pagina Weak Password Test e scarica il file di installazione del Weak Password Test.
2. Recupera la chiave di licenza del Weak Password Test che riceverai via e‑mail e che dovrai utilizzare durante il processo di configurazione.
3. Avvia il file di installazione di WPT.
4. Leggi e accetta il contratto di licenza. Quindi fai clic su Install (Installa) per completare l’installazione.
5. Fai clic su Finish (Fine) per avviare il Weak Password Test.
6. Inserisci la chiave di licenza al passaggio 1 e fai clic su OK.
7. In Dettagli Active Directory, inserisci i dettagli richiesti relativi alla tua istanza di Active Directory (AD):
   • Il nome del dominio di AD.
   • Il nome del controller di dominio (DC).
8. In Credenziali, inserisci nome utente e password dell’account che hai creato e corrispondenti a un utente dotate delle autorizzazioni Replica delle modifiche alla directory e Replica di tutte le modifiche directory.
9. Fai clic su Start Test (Avvia il test) per avviare il test.
10. Il test analizzerà i tuoi account AD alla ricerca di password deboli. A seconda delle dimensioni di AD e delle prestazioni della workstation, questo processo potrebbe richiedere un minuto o più.
11. Al termine del test, i risultati verranno visualizzati sullo schermo. Per comprendere quali sono le vulnerabilità presenti, leggi la sezione successiva.

Comprendere i risultati

I risultati del Weak Password Test indicano quanti account sono vulnerabili e quali sono le potenziali vulnerabilità dei diversi account. Le sezioni in basso ti aiuteranno a esaminare i risultati e a capire i diversi tipi di vulnerabilità delle password.

Spostarsi tra i risultati

Gli account di Active Directory (AD) sono elencati in righe singole. Su ogni riga, uno o più segni di spunta indicano le vulnerabilità specifiche trovate per quel particolare account. Puoi anche cercare un account specifico inserendo dei caratteri nella casella di ricerca.

Un grafico a torta rappresenta il numero e il tipo di vulnerabilità trovate e può essere utilizzato per determinare le vulnerabilità delle password più presenti all’interno dell’organizzazione.

Se desideri esaminare una specifica vulnerabilità, puoi filtrare i risultati per tipo di infrazione. Per farlo, fai clic sul tipo di infrazione specifico sul lato sinistro della finestra: l’elenco mostrerà solo gli account in cui è presente quel tipo di infrazione.

In basso sono riportate ulteriori informazioni sull’interfaccia utente di Weak Password Test:

1. Puoi filtrare i risultati in base al tipo di infrazione facendo clic sulla barra laterale sul lato sinistro della pagina.
2. Puoi cercare account AD specifici tramite la barra di ricerca.
3. I segni di spunta di ogni riga indicano il tipo di vulnerabilità della password trovata per ogni account.
4. Puoi esportare i risultati in un foglio di calcolo Excel o in un file PDF.
5. Fai clic su Esegui il test per eseguire nuovamente il Weak Password Test. Prima di fare clic su questo pulsante, ti consigliamo di salvare i risultati correntemente visualizzati.

Tipi di infrazione

Il Weak Password Test analizza i dati alla ricerca di dieci diversi tipi di infrazione che potrebbero rendere l’organizzazione vulnerabile a un attacco.

1. Weak Password (Password debole): Questa infrazione indica che la password dell’account interessato corrisponde a una di quelle presenti nel nostro dizionario delle password deboli. Queste password sono molto comuni, facili da indovinare o sono state rese disponibili ai malintenzionati a causa di precedenti violazioni di dati.
2. Shared Password (Password condivisa): Questa infrazione indica che l’account interessato condivide la password con almeno un altro account.
3. Empty Password (Password vuota): Questa infrazione riguarda gli account per i quali non è stata impostata una password.
4. Clear Text Password (Password non crittografata): Questa infrazione riguarda le password memorizzate in chiaro in Active Directory (AD). Ciò significa che le password AD degli utenti sono memorizzate con una crittografia reversibile.
5. Password Not Required (Password non obbligatoria): Questa infrazione riguarda gli account per i quali è possibile non impostare alcuna password.
6. Password Never Expires (Password senza scadenza): Questa infrazione indica che il timeout della password dell’account è impostato su zero. A causa di questa impostazione, anche se la casella di controllo Password senza scadenza nelle proprietà dell’utente è deselezionata, la password non scadrà mai. Il Weak Password Test controllerà le impostazioni di scadenza della password nei criteri di dominio dell’organizzazione, nei criteri granulari per le password a e nelle proprietà dell’utente.
7. LM Hash Password (Password LM-Hash): Questa infrazione indica che l’account interessato utilizza un Local Area Network (LAN) manager hash, che è un metodo obsoleto. Queste password sono vulnerabili agli attacchi di forza bruta e possono essere rapidamente decifrate.
8. AES Encryption Not Set (Crittografia AES non impostata): Questa infrazione indica che l’account non utilizza l’Advanced Encryption Standard (AES) per criptare la password dell’utente. Lo standard AES cripta le password con una chiave a 128 o 256 bit. Le password che utilizzano la crittografia AES sono meno vulnerabili agli attacchi.
9. Crittografia solo DES: Questa infrazione indica che gli account interessati sono stati configurati utilizzando il meccanismo DES (Data Encryption Standard), ormai in disuso. Questo potrebbe essere il risultato di un software obsoleto non in grado di gestire lo standard AES.

10. Missing Pre-Authentication (Autenticazione preliminare mancante): Questa infrazione indica che per gli account interessati è stato disattivato un meccanismo di sicurezza detto preautenticazione. Se si abilita la preautenticazione, viene creata una richiesta di autenticazione crittografata in modo che i tentativi di autenticazione dell’account vengano registrati.

    Questo account potrebbe essere a rischio di un attacco con metodo forza bruta. Gli attacchi di forza bruta possono avvenire offline e sono difficili da rilevare.

Impostazioni

È possibile personalizzare il Weak Password Test modificando diverse impostazioni. Per ulteriori informazioni, leggi le sezioni in basso.

Vulnerabilità facoltative

Puoi abilitare o disabilitare due vulnerabilità delle password tra quelle previste per il Weak Password Test: Crittografia AES non impostata e Password senza scadenza. Per accedere a queste impostazioni, fai clic sull’icona con l’ingranaggio nell’angolo in alto a destra della finestra.

Password personalizzate

Il Weak Password Test utilizza un’ampia libreria di password per determinare se la password di un utente è debole. Se desideri includere nel Weak Password Test delle password specifiche, puoi importare un file di testo contenente tali password. Per accedere a questa impostazione, fai clic sull’icona con l’ingranaggio nell’angolo in alto a destra della finestra.

Prima di importare il file di testo, assicurati che la dimensione del file sia inferiore a 10 MB e che includa una sola password per ogni riga del file.

Lingua

Puoi cambiare la lingua del Weak Password Test facendo clic sul nome della lingua nell’angolo in basso a destra della finestra.

Sicurezza informatica

Durante il Weak Password Test, la tua istanza di Active Directory (AD) e le informazioni sull’utente sono al sicuro. I risultati del test identificano solo gli account utente che non hanno superato il test e il relativo motivo, in modo che tu possa prendere provvedimenti.

L’elenco seguente descrive in dettaglio come vengono gestiti i dati durante il Weak Password Test:

• Nessuna informazione di AD sarà trasmessa a KnowBe4 in nessun momento del test.
• I dati estratti da AD sono crittografati.
• Il Weak Password Test non visualizza le password degli account degli utenti AD.
• Le password di AD sono in formato hash e il formato hash non sarà visibile durante il test.
• Le informazioni ottenute durante il test vengono salvate nella memoria locale e non su disco.