Weak Password Test (WPT)

Delen

Hebt u iets aan dit artikel?

Laatst bijgewerkt:

Weak Password Test (WPT): producthandleiding

Lees de onderstaande secties of bekijk een video over Weak Password Test (WPT) voor meer informatie hierover.

Inleiding tot WPT

WPT is een gratis tool die uw Active Directory (AD) analyseert op wachtwoorden die gevoelig zijn voor aanvallen.

WPT maakt verbinding met uw AD om wachtwoordgegevens op te halen en verifieert deze met gehashte wachtwoorden en versleutelingsalgoritmen. Vervolgens onderzoekt de tool deze wachtwoorden op tien mogelijke kwetsbaarheden.

De resultaten geven aan welke accounts de test niet hebben doorstaan en waarom. Met deze inzichten kunt u de wachtwoordvereisten binnen uw organisatie aanscherpen, gebruikers informeren over veilig wachtwoordgebruik of andere stappen nemen voor een betere beveiliging.

Systeemvereisten en voorwaarden

Uw systeem moet aan de volgende vereisten voldoen om WPT uit te voeren:

  • Windows 10 of later (32- of 64-bit), Windows Server 2016 of later
  • Active Directory (AD), draaiend op Windows Server 2008 R2 of later
  • Toegang tot de domeincontroller (DC)
  • Internettoegang
  • .NET Framework 4.7.2 (wordt geïnstalleerd indien nodig)
  • Ten minste twee processors
  • Ten minste 2 GB RAM
  • Ten minste 1 GB vrije schijfruimte op de systeemschijf
  • Gebruikersaccountbeheer (UAC) ingeschakeld

We raden aan deze test uit te voeren op een ander systeem dan de DC, omdat het scannen tijdelijk veel netwerkverkeer en CPU-belasting kan veroorzaken.

Voor installatie hebt u de volgende informatie nodig:

  1. De licentiesleutel die u per e-mail hebt ontvangen bij de aanmelding voor de test
  2. De domeinnaam van uw AD, bijvoorbeeld MyDomain.com of MyDomain.local
  3. De naam van uw DC
  4. De inloggegevens om verbinding te maken met uw AD
Belangrijk:Voor een succesvolle test moeten de inloggegevens die u gebruikt om verbinding te maken met de AD via WPT de machtigingen Replicating Directory Changes (machtiging om directorywijzigingen te repliceren) en Replicating Directory Changes All (machtiging om alle directorywijzigingen te repliceren) geactiveerd hebben. Met deze machtigingen kunt u een kopie van de wachtwoordgegevens ophalen voor analyse.

Installatie en instellen

Zodra uw systeem voldoet aan de vereisten en voorwaarden kunt u WPT installeren en instellen. Volg de onderstaande stappen om aan de slag te gaan:

  1. Meld u via de WPT-pagina aan voor de WPT-tool en download het WPT-installatiebestand.
  2. Vervolgens e-mailen we u een unieke WPT-licentiecode die u nodig hebt tijdens de installatie.
  3. Open het WPT-installatiebestand.
  4. Bekijk en accepteer de licentieovereenkomst. Klik daarna op Install (Installeren) om de tool te installeren.
  5. Klik op Finish (Voltooien) om WPT te starten.
  6. Voer uw licentiecode in en klik op OK.
  7. Vul onder Active Directory Details de benodigde informatie van uw AD in:
    • De domeinnaam van uw AD
    • De naam van uw DC
  8. Voer onder Credentials (Verificatiegegevens) de gebruikersnaam en het wachtwoord in van het account met de machtigingen Replicating Directory Changes en Replicating Directory Changes All.
  9. Klik op Start Test om de test te starten.
  10. De test analyseert de accounts in uw AD op zwakke wachtwoorden. Dit kan even duren, afhankelijk van de grootte van uw AD en de snelheid van uw systeem.
  11. De resultaten verschijnen zodra de test is voltooid. In de volgende sectie vindt u meer uitleg over de kwetsbaarheden.

Inzicht in de resultaten

De WPT-resultaten geven aan welke accounts kwetsbaar zijn en welke kwetsbaarheden van invloed zijn op elk account. In de onderstaande secties vindt u meer informatie, zodat u de resultaten beter kunt begrijpen en de verschillende typen wachtwoordkwetsbaarheden kunt herkennen.

Navigeren door uw resultaten

De accounts in uw Active Directory zijn in aparte rijen verdeeld. In elke rij geven vinkjes aan welke specifieke kwetsbaarheden zijn gevonden voor elk account. U kunt via het zoekvak (Search) naar specifieke accounts zoeken.

Een cirkeldiagram geeft een vergelijking van het aantal en het type kwetsbaarheden waarmee u de meest voorkomende kwetsbaarheden binnen uw organisatie kunt vaststellen.

Wilt u een specifieke kwetsbaarheid analyseren, dan kunt u de resultaten filteren op fouttype. Klik hiervoor op een specifiek fouttype aan de linkerkant. Alleen de accounts met die kwetsbaarheid verschijnen dan.

Hieronder vindt u meer uitleg over de gebruikersinterface van WPT:

  1. U kunt uw resultaten op fouttype filteren door op een kwetsbaarheid in de linkerzijbalk te klikken.
  2. U kunt specifieke accounts in uw AD zoeken in de zoekbalk.
  3. De vinkjes in elke rij geven het type wachtwoordkwetsbaarheid aan dat voor elk account is gevonden.
  4. U kunt uw resultaten als een Excel-spreadsheet of een PDF-bestand exporteren.
  5. Klik op Rerun Test (Test opnieuw uitvoeren) om WPT nogmaals uit te voeren. Sla wel uw huidige resultaten op voordat u dit doet.

Fouttypen

WPT onderzoekt uw gegevens op tien verschillende kwetsbaarheden die uw organisatie kwetsbaar maken voor aanvallen, zoals hieronder uitgelegd.

  1. Weak Password (zwak wachtwoord): deze fout geeft aan dat het wachtwoord van het account overeenkomt met een van de zwakke wachtwoorden in onze lijst. Deze wachtwoorden komen vaak voor, zijn makkelijk te raden of zijn eerder gelekt in een inbreuk in verband met gegevens.
  2. Shared Password (gedeeld wachtwoord): deze fout geeft aan dat het account een wachtwoord heeft dat ook voor een ander account wordt gebruikt.
  3. Empty Password (leeg wachtwoord): deze fout geeft aan dat het account geen wachtwoord heeft.
  4. Clear Text Password (wachtwoord in platte tekst): deze fout heeft betrekking op wachtwoorden die in platte tekst zijn opgeslagen in een Active Directory. Dit betekent dat de wachtwoorden van deze gebruikers zijn versleuteld met omkeerbare versleuteling.
  5. Password Not Required (wachtwoord niet vereist): deze fout geeft aan dat accounts kunnen kiezen wel of geen wachtwoord in te stellen.
  6. Password Never Expires (wachtwoord verloopt nooit): deze fout geeft aan dat de wachtwoordverlooptijd van het account op nul staat ingesteld. Door deze instelling zal het wachtwoord nooit verlopen, zelfs als het vakje Password never expires in de eigenschappen van de gebruiker niet is aangevinkt. WPT controleert de instellingen voor wachtwoordverval in de domeininstellingen van uw organisatie, gedetailleerde wachtwoordbeleidsregels en gebruikersinstellingen.
  7. LM Hash Password (LM-hashwachtwoord): deze fout geeft aan dat het account een Local Area Network (LAN)-managerhash gebruikt, een verouderde methode. Deze wachtwoorden zijn kwetsbaar voor brute force-aanvallen en kunnen snel worden gekraakt.
  8. AES Encryption Not Set (AES-versleuteling niet ingesteld): deze fout geeft aan dat de gebruiker geen Advanced Encryption Standard (AES - uitgebreide versleutelingsstandaard) gebruikt om het wachtwoord van het account te versleutelen. AES versleutelt wachtwoorden met een sleutel van 128-bits of 256-bits. Wachtwoorden met AES-versleuteling zijn minder kwetsbaar voor aanvallen.
  9. DES-Only Encryption (alleen DES-versleuteling): deze fout geeft aan dat getroffen accounts zijn ingesteld met de verouderde Data Encryption Standard-methode (DES - gegevensversleutelingsstandaard). Dit kan komen door oudere software die niet compatibel is met AES.

  10. Missing Pre-Authentication (ontbrekende pre-verificatie): deze fout geeft aan dat bij deze accounts de pre-verificatie is uitgeschakeld. Wanneer deze functie is ingeschakeld, wordt een versleuteld verificatieverzoek aangemaakt, waardoor inlogpogingen worden geregistreerd.

    Dit account kan risico lopen op een brute force-aanval. Deze aanvallen kunnen offline plaatsvinden en zijn moeilijk te detecteren.

Instellingen

Er zijn verschillende instellingen waarmee u WPT kunt aanpassen. Hieronder leest u daar meer over.

Optional Vulnerabilities (Optionele kwetsbaarheden)

U kunt twee wachtwoordkwetsbaarheden in uw WPT-scan in- of uitschakelen: AES Encryption Not Set of Password Never Expires. Klik op het tandwieltje rechtsboven om deze instellingen te openen.

Aangepaste wachtwoorden

WPT bepaalt of het wachtwoord van een gebruiker zwak is op basis van een uitgebreide wachtwoordenbibliotheek. Wilt u specifieke wachtwoorden aan de WPT-scan toevoegen, dan kunt u een tekstbestand met deze wachtwoorden importeren. Klik op het tandwieltje rechtsboven om naar deze instelling te gaan.

Het tekstbestand moet kleiner dan 10 MB zijn en op elke regel van het bestand mag maar één wachtwoord staan.

Language (Taal)

U kunt de taal van WPT wijzigen door op uw voorkeurstaal rechtsonder te klikken.

Beveiliging

Uw Active Directory en gebruikersinformatie zijn beveiligd wanneer u WPT gebruikt. Uit de testresultaten komen alleen de gebruikersaccounts naar voren die de test niet doorstaan en waarom, zodat u actie kunt ondernemen.

Hieronder staat hoe uw gegevens worden behandeld tijdens de WPT:

  • Geen van de informatie van uw AD wordt op enig moment tijdens de test naar KnowBe4 verzonden.
  • De opgehaalde gegevens uit uw AD worden versleuteld.
  • WPT toont geen wachtwoorden van de gebruikersaccounts in uw AD.
  • De wachtwoorden in uw AD worden in een gehashte indeling opgeslagen en deze indeling is niet zichtbaar tijdens de test.
  • De verkregen informatie tijdens de test wordt opgeslagen in het lokale geheugen en niet op de harde schijf.

Had u iets aan dit artikel?

Aantal gebruikers dat dit nuttig vond: 17 van 19

Kunt u niet vinden wat u zoekt?

Contact met ondersteuning