Usare PasswordIQ

Condividi

Questo articolo è utile?

Ultimo aggiornamento:

Manuale del prodotto PasswordIQ

Disponibile per gli abbonamenti con livello Diamante e SAT Advanced, PasswordIQ di KnowBe4 ti permette di monitorare le vulnerabilità delle password dei tuoi utenti. Il client PasswordIQ analizza le vulnerabilità nelle impostazioni relative alle password di Active Directory (AD) e confronta le password degli utenti con quelle violate e deboli di vari elenchi e database. Il client comunica quindi con KSAT per visualizzare i risultati della scansione sulla dashboard.

Per abilitare PasswordIQ, vai su Integrazioni accountPasswordIQ in Impostazioni account. Quindi, seleziona la casella di controllo Abilita PasswordIQ.

Nota: per utilizzare PasswordIQ, è necessaria la versione locale di AD. PasswordIQ non è compatibile con Microsoft Entra ID.

Consulta le sezioni seguenti per scoprire come installare il client, eseguire le scansioni e visualizzare i risultati.

Importante: PasswordIQ non visualizzerà o riporterà mai le password degli utenti. In AD, tutte le password sono crittografate e memorizzate in un formato con hash, quindi le versioni senza hash delle password non sono accessibili con PasswordIQ e KnowBe4.

Requisiti

Per installare il client PasswordIQ, devi soddisfare i requisiti elencati di seguito:

Importante: ti consigliamo di installare il client su un computer diverso da quello che utilizzi come controller di dominio. Il processo di scansione può intensificare il traffico di rete e l’utilizzo dell’unità di elaborazione del computer (CPU). Per ottenere risultati migliori, installa il client su una macchina virtuale o un server che possa funzionare continuativamente.
  • Hai accesso a un computer che soddisfa i seguenti requisiti:
    • Il sistema operativo del computer è Windows 10 o successivo con 32 o 64 bit, o Windows Server 2016 o successivo.

    • Il computer utilizza .NET Framework versione 4.7.2 o successiva.

      Nota: se il tuo computer non dispone di questa versione di Framework, la procedura guida installerà la versione 4.7.2.
    • Il computer ha almeno quattro GB di RAM.
    • L’unità di sistema del computer ha almeno un GB di spazio disponibile su disco rigido (HDD).
    • Il Controllo dell’account utente (UAC) è abilitato nelle impostazioni UAC del computer.

  • Hai accesso a un AD locale in esecuzione su Windows Server 2008 R2 o versione successiva.

    Nota: se hai più domini AD, dovrai installare un’istanza diversa del client per ogni dominio.
  • Hai accesso a un amministratore di dominio AD o a un account AD che può essere elevato ad amministratore. Questo account deve avere le autorizzazioni Replica modifiche directory e Replica tutte modifiche directory. Per maggiori informazioni, consulta l’articolo sulla replica delle modifiche alla directory di Microsoft.
  • Devi essere un amministratore di KSAT o ricoprire un ruolo che si occupa di sicurezza informatica con accesso in Lettura/Scrittura a PasswordIQ.

Vulnerabilità

Il client PasswordIQ esegue una scansione di ogni utente alla ricerca di 11 vulnerabilità e segnala a KSAT le vulnerabilità trovate. Inoltre, il nostro rapporto Punteggio di rischio utilizza queste vulnerabilità come fattori di rischio nel calcolo del tuo punteggio di rischio. Per maggiori informazioni, consulta la nostra Guida a SmartRisk™ Engine e al Punteggio di rischio.

Per maggiori informazioni su queste vulnerabilità, consulta la tabella seguente:

Vulnerabilità Descrizione Livello di gravità del Punteggio di rischio
Password debole La password corrisponde a una password presente in uno dei nostri elenchi di password deboli, quindi è comune o facile da indovinare. Un criminale informatico potrebbe indovinare facilmente la password e accedere all’account dell’utente. Medio
Password condivisa La password corrisponde a quella di almeno un altro utente in AD. La password è probabilmente comune o semplice, quindi un criminale informatico potrebbe avere maggiori probabilità di accedere all’account dell’utente. Medio
Password non crittografata La password viene memorizzata con una crittografia reversibile in AD. La password può essere decrittografata, quindi un criminale informatico potrebbe avere maggiori probabilità di accedere all’account dell’utente. Alto
Password vuota La password non contiene caratteri, quindi l’utente accede all’account lasciando il campo della password vuoto. Chiunque può accedere all’account dell’utente, compresi i criminali informatici. Alto
Crittografia solo DES L’account utilizza il Data Encryption Standard (DES) per crittografare la password dell’utente. DES è un metodo di crittografia obsoleto perché crittografa la password con una chiave di soli 56 bit, mentre i metodi di crittografia più recenti utilizzano chiavi più lunghe e più sicure. Un criminale informatico potrebbe indovinare facilmente la password e accedere all’account dell’utente. Medio
Password violata La password è stata esposta in una violazione dei dati collegata al tuo account AD. L’utente sta utilizzando attivamente una password accessibile ai criminali informatici. Alto
Password non richiesta L’account non richiede che l’utente inserisca una password al momento dell’accesso. Chiunque può accedere all’account, compresi i criminali informatici. Alto
Password senza scadenza Il timeout della password dell’account è impostato su zero. A causa di questa impostazione, anche se la casella di controllo Password senza scadenza nelle proprietà dell’utente è deselezionata, la password non scadrà mai. PasswordIQ controllerà le impostazioni di scadenza della password nei criteri di dominio dell’organizzazione, nei criteri granulari per le password e nelle proprietà dell’utente. Se non si modificano spesso le password, aumenta la probabilità che vengano rilevate dai criminali informatici. Medio
Password LM-Hash L’account utilizza un hash di LAN Manager (LM). Un hash LM converte la password in tutte lettere maiuscole, limita la password a 14 caratteri e divide i 14 caratteri in due gruppi di sette caratteri. Questo processo indebolisce la password e offre ai criminali informatici maggiori probabilità di indovinarla. Medio
Crittografia AES L’account non utilizza l’Advanced Encryption Standard (AES) per crittografare la password dell’utente. Lo standard AES cripta le password con una chiave a 128 o 256 bit. Le password che utilizzano la crittografia AES sono meno vulnerabili agli attacchi. Medio
Autenticazione preliminare mancante L’account non richiede la pre-autenticazione, quindi potrebbe non essere protetto da attacchi di individuazione delle password. La pre-autenticazione crittografa il timestamp (indicazione temporale) della richiesta di accesso utilizzando una chiave basata sulla password dell’utente. Questo processo protegge dagli attacchi di individuazione delle password perché registra ogni tentativo di accesso all’account. Medio

Per sapere come risolvere queste vulnerabilità, consulta la sezione Risoluzione delle vulnerabilità di seguito.

Copia del token API

Per collegare il client PasswordIQ alla tua console KSAT, serve il tuo Token API prodotto.

Per creare e copiare il token API, effettua le seguenti operazioni:

  1. Accedi al tuo account KSAT.
  2. Vai alla scheda PasswordIQ.
  3. Fai clic su Configurazione client PasswordIQ.
  4. Nel campo Nome token, inserisci un nome per il tuo token.
  5. Seleziona una Data di scadenza per il token.
  6. Seleziona un utente.
  7. Fai clic su Crea Token

  8. Nella finestra pop-up Token API prodotto visualizzata, fai clic sul token API PasswordIQ per copiare il token. Questo token ti servirà per completare la configurazione nella sezione Installazione del client in basso.

    Importante: Dopo aver chiuso questa finestra, non potrai più visualizzare questo token.

  9. Fai clic su OK.

Installazione del client

Prima di installare il client PasswordIQ, verifica che il tuo computer soddisfi i requisiti indicati nella sezione Requisiti precedente. Quindi, copia il tuo token API seguendo le istruzioni riportate nella sezione Copia del token API descritta in precedenza.

Per installare il client, effettua le seguenti operazioni:

  1. Accedi al tuo account KSAT.
  2. Vai alla scheda PasswordIQ.

  3. Al punto 2 delle istruzioni Benvenuti in PasswordIQ, fai clic sul link Client PasswordIQ.

    Scarica client

  4. Fai clic sul pulsante nella finestra pop-up.

    PNG finestra pop-up

  5. Fai clic sul pulsante Avanti.
  6. Dopo aver letto il Contratto di licenza software, fai clic sul pulsante Accetta per accettare i termini e le condizioni.

  7. Se il tuo computer utilizza un server proxy per accedere a Internet, seleziona la casella di controllo Usa un server proxy e compila i campi. La schermata e l’elenco in basso contengono ulteriori informazioni al riguardo. Se il tuo computer non utilizza un server proxy per accedere a Internet, ignora questo passaggio.

    Informazioni sul server proxy

    1. Indirizzo o nome IP: inserisci l’indirizzo IP o il nome del server proxy. Puoi trovare queste informazioni nelle impostazioni del server proxy del tuo computer in Rete e Internet > Proxy.
    2. Numero di porta: inserisci il numero di porta del server proxy. Puoi trovare queste informazioni nelle impostazioni del server proxy del tuo computer in Rete e Internet > Proxy.
  8. Fai clic sul pulsante Avanti.

  9. Nel campo Token Application Programming Interface (API), incolla il token API copiato nella sezione Copia del token API precedente.

    Schermata API Token

  10. Fai clic sul pulsante Avanti.

  11. Nei campi Nome utente e Password, inserisci le credenziali di accesso di un account di servizio AD che soddisfi le autorizzazioni obbligatorie. Il client utilizza questo account di servizio per eseguire tutte le scansioni programmate.

    Nota: se a questo account non è stata assegnata l’autorizzazione Accedi come servizio, il client la assegna automaticamente.

  12. Fai clic sul pulsante Avanti per completare l’installazione.

Esecuzione delle scansioni

Dopo aver installato il client PasswordIQ, puoi iniziare la scansione di AD alla ricerca delle vulnerabilità. Dovrai eseguire la prima scansione dal tuo client. Dopo la prima scansione, puoi eseguire le scansioni e creare un programma di scansione dalla tua dashboard. Per maggiori informazioni, consulta la sezione Esecuzione delle scansioni del nostro articolo Come utilizzare la dashboard di PasswordIQ.

Nota: per proteggere le informazioni relative alle tue password, i dati raccolti da PasswordIQ durante le scansioni non vengono mai memorizzati in modo permanente sul disco rigido del tuo computer. Questi dati vengono memorizzati solo temporaneamente nella RAM del tuo computer.

Per eseguire la prima scansione, effettua le seguenti operazioni:

  1. Apri il client PasswordIQ.

  2. Nella sezione Scansione rapida, fai clic sul pulsante Scansiona ora.

    Nota: PIQ ha delle impostazioni aggiuntive a cui puoi accedere facendo clic sull’icona a forma di ingranaggio nell’angolo in alto a destra della finestra. Nelle impostazioni Avanzate puoi scegliere di includere nella scansione due vulnerabilità facoltative: Crittografia AES non impostata e Password senza scadenza.

    Pulsante Scansiona ora

  3. Una volta completata correttamente la scansione, fai clic sul pulsante Visualizza dashboard per visualizzare i risultati della scansione in KSAT.

    Pulsante Visualizza dashboard

Impostazioni

Nel tuo client PasswordIQ, puoi personalizzare le tue impostazioni facendo clic sull’icona impostazioni nell’angolo in alto a destra del client. Nella finestra di dialogo visualizzata, potrebbero essere presenti due schede: Generale e Avanzate. Per ulteriori informazioni su queste schede, consulta le sezioni secondarie in basso.

Generale

Nella scheda Generale puoi modificare due sezioni: API Token e Proxy Server. Queste sezioni includono le impostazioni configurate al primo avvio del client PIQ.

Nel campo Token API, puoi modificare il token API inserito tramite la console KSAT. Per salvare le modifiche, fai clic su Convalida token API.

Nel campo Proxy Server puoi modificare il server proxy usato dal tuo computer utilizza per connettersi a Internet. Se non già selezionata, seleziona la casella di controllo Usa un server proxy e inserisci il nome o l’indirizzo IP da usare. Nel campo Numero di porta inserisci il numero di porta del tuo server proxy. Per salvare le modifiche, fai clic su Convalida impostazioni proxy.

Avanzata

Nella scheda Avanzate puoi modificare due sezioni: Controller di dominio personalizzato e Unità dell’organizzazione personalizzate. Nella sezione Controller di dominio personalizzato puoi selezionare qualsiasi controller di dominio che desideri fare analizzare da PasswordIQ inserendo il nome del computer o l’indirizzo IP nel campo Controller di dominio personalizzato.

Nella sezione Unità dell’organizzazione personalizzate, utilizzando il menu a discesa puoi selezionare una o più unità dell’organizzazione da sottoporre a scansione da parte di PasswordIQ.

Visualizzazione dei risultati

Poiché nel client PasswordIQ è possibile visualizzare solo alcuni risultati, ti consigliamo di utilizzare l’account KSAT per visualizzare e analizzare i tuoi risultati. Per accedere alla dashboard, vai alla scheda PasswordIQ della console KSAT.

Per visualizzare i risultati della tua scansione, puoi utilizzare la dashboard predefinita o creare dashboard personalizzate. Per maggiori informazioni, consulta il nostro articolo Come usare la dashboard di PasswordIQ.

Utilizzo dei gruppi smart per gli utenti rilevati

Puoi utilizzare i gruppi smart per iscrivere gli utenti per i quali sono state rilevate vulnerabilità nelle campagne di phishing o di formazione. Ad esempio, puoi utilizzare i criteri Evento PasswordIQ per iscrivere gli utenti con password complesse al modulo di formazione Corso sulla consapevolezza della sicurezza - Creazione di password complesse.

Per maggiori informazioni sui gruppi smart, consulta la Panoramica dei gruppi smart.

Risoluzione delle vulnerabilità

Dopo aver visualizzato i risultati, puoi lavorare con i tuoi utenti per risolvere le vulnerabilità delle loro password. Per maggiori informazioni, leggi il nostro articolo Come risolvere le vulnerabilità delle password.

Questo articolo è stato utile?

Utenti che ritengono sia utile: 21 su 21

Non trovi quello che stai cercando?

Contatta l’assistenza