Test Słabego Hasła (WPT)

Udostępnij

Czy ten artykuł jest pomocny?

Ostatnia aktualizacja:

Test Słabego Hasła (WPT) — instrukcja

Aby poznać Test Słabego Hasła (ang. Weak Password Test, WPT), przeczytaj poniższe sekcje lub obejrzyj krótki film przedstawiający Test Słabego Hasła (WPT).

Wprowadzenie do WPT

WPT to nieodpłatne narzędzie, które ocenia Twój katalog Active Directory (AD), wskazując hasła użytkowników, które są podatne na ataki związane z hasłami.

WPT łączy się z katalogiem AD, aby pozyskać tabelę haseł za pomocą skróconych haseł i algorytmów szyfrujących. Następnie narzędzie analizuje hasła pod kątem dziesięciu potencjalnych luk w hasłach.

W wynikach zobaczysz, które konta użytkowników nie przeszły tego testu i dlaczego. Te informacje pomogą Ci podnieść wymagania organizacji dotyczące złożoności haseł, przeszkolić użytkowników w zakresie bezpiecznych praktyk związanych z hasłami lub podjąć inne działania na rzecz rozwoju bezpieczeństwa Twojej organizacji.

Wymagania systemowe i warunki wstępne

Aby uruchomić WPT, Twój system musi spełniać następujące wymagania:

  • Windows 10 lub nowszy (32 lub 64-bitowy), Windows Server 2016 lub nowszy,
  • usługa Active Directory (AD) uruchomiona na serwerze Windows Server 2008 R2 lub nowszym,
  • dostęp do kontrolera domeny (ang. domain controller, DC),
  • dostęp do Internetu,
  • .NET Framework 4.7.2 do zainstalowania w razie potrzeby,
  • co najmniej dwa procesory,
  • co najmniej 2 GB pamięci RAM,
  • co najmniej 1 GB wolnego miejsca na dysku systemowym,
  • włączona obsługa kontroli konta użytkownika (ang. User Account Control, UAC).

Zalecamy przeprowadzanie tego testu na systemie innym niż DC, ponieważ proces skanowania może czasowo wygenerować znaczący ruch w sieci i obciążyć CPU.

Na potrzeby instalacji potrzebne są następujące informacje:

  1. Klucz licencyjny przesłany do Ciebie mailem po rejestracji do testu.
  2. Nazwa domeny Twojego katalogu AD, np. MojaDomena.com lub MojaDomena.local.
  3. Nazwa Twojego DC.
  4. Dane uwierzytelniające do połączenia z usługą AD.
Ważne: aby poprawnie przeprowadzić test, dane uwierzytelniające użyte do połączenia usługi AD z WPT muszą mieć włączone pozwolenia Replicating Directory Changes (Powielanie zmian katalogu) i Replicating Directory Changes All (Powielanie zmian katalogu dla wszystkich). Te pozwolenia umożliwią Ci uzyskanie kopii tabeli haseł na potrzeby analizy.

Instalacja i konfiguracja

Po spełnieniu wymagań systemowych i warunków wstępnych, możesz zainstalować i skonfigurować WPT. Aby rozpocząć, wykonaj poniższe czynności.

  1. Zarejestruj się, aby pobrać narzędzie WPT na naszej stronie WPT i pobierz plik instalacyjny WPT.
  2. Sprawdź skrzynkę e-mail, aby pozyskać swój unikalny klucz licencyjny WPT, który będzie Ci potrzebny podczas konfiguracji.
  3. Uruchom plik instalacyjny WPT.
  4. Przeczytaj i zaakceptuj umowę licencyjną. Następnie kliknij Install (Instaluj), aby ukończyć instalację.
  5. Kliknij Finish (Zakończ), aby uruchomić WPT.
  6. Wpisz swój klucz licencyjny z Kroku 1 i kliknij OK.
  7. W sekcji Active Directory Details (Informacje o usłudze Active Directory) wpisz wymagane informacje z katalogu Active Directory (AD):
    • nazwę domeny Twojego katalogu AD,
    • nazwę kontrolera domeny (DC).
  8. W sekcji Credentials (Dane uwierzytelniające) wpisz nazwę użytkownika i hasło dla utworzonego przez Ciebie konta z włączonymi pozwoleniami Replicating Directory Changes (Powielanie zmian katalogu) i Replicating Directory Changes All (Powielanie zmian katalogu dla wszystkich).
  9. Kliknij Start Test (Uruchom test), aby przeprowadzić test.
  10. Test przeanalizuje Twoje konta AD pod kątem obecności słabych haseł. W zależności od rozmiaru AD i wydajności komputera ten proces może zająć minutę lub dłużej.
  11. Wyniki zostaną wyświetlone na ekranie, gdy tylko test się zakończy. Aby zrozumieć znaczenie każdej luki, przeczytaj kolejną sekcję.

Objaśnienie otrzymanych wyników

Twoje wyniki WPT wskażą jak wiele kont jest zagrożonych i jakie luki występują w przypadku każdego z nich. Poniższe sekcje pomogą Ci poruszać się po otrzymanych wynikach i zrozumieć rodzaje wykrytych luk w hasłach.

Struktura otrzymanych wyników

Twoje konta Active Directory (AD) będą wyszczególnione jako pojedyncze wiersze. W każdym wierszu jeden lub więcej znaczników będzie wskazywać konkretne luki dla danego konta. Możesz także wyszukać określone konto, wprowadzając znaki w polu wyszukiwania.

Diagram kołowy przedstawia porównanie liczby i rodzaju znalezionych luk i może służyć do określenia najbardziej powszechnych luk w hasłach dla Twojej organizacji.

Możesz filtrować wyniki według rodzaju niepowodzenia, jeśli chcesz przeanalizować konkretną lukę. Aby to zrobić, kliknij określony rodzaj niepowodzenia po lewej stronie okna, a na liście pozostaną wyłącznie konta, których ono dotyczy.

Poniżej znajdziesz dodatkowe informacje o interfejsie użytkownika WPT.

  1. Możesz filtrować wyniki według rodzaju niepowodzenia, klikając panel boczny po lewej stronie.
  2. Możesz wyszukać konkretne konta AD, korzystając z paska wyszukiwania.
  3. Znaczniki w każdym wierszu wskazują rodzaj luki w haśle wykryty dla każdego z kont.
  4. Możesz eksportować swoje wyniki jako arkusz kalkulacyjny programu Excel lub plik PDF.
  5. Kliknij Rerun Test (Uruchom ponownie test), aby jeszcze raz przeprowadzić test WPT. Zalecamy, aby przed kliknięciem tego przycisku zapisać bieżące wyniki.

Typy niepowodzeń

WPT analizuje Twoje dane, aby wykryć dziesięć rodzajów niepowodzeń, które mogą uczynić Twoją organizację podatną na ataki. Szczegóły poniżej.

  1. Weak Password (Słabe hasło): to niepowodzenie wskazuje, że dane hasło do konta odpowiada jednemu z wyników na liście słabych haseł. Te hasła są bardzo powszechne, łatwe do odgadnięcia albo dostępne dla hakerów na skutek naruszenia bezpieczeństwa danych, do którego doszło w przeszłości.
  2. Shared Password (Współdzielone hasło): to niepowodzenie wskazuje, że dane konto współdzieli hasło z co najmniej jednym innym kontem.
  3. Empty Password (Puste hasło): to niepowodzenie obejmuje konta, dla których nie ustawiono hasła.
  4. Clear Text Password (Hasło z jawnym tekstem): to niepowodzenie wskazuje na hasła, które są przechowywane w katalogu Active Directory (AD) w postaci jawnego tekstu. Oznacza to, że hasła użytkowników AD są przechowywane przy użyciu odwracalnego szyfrowania.
  5. Password Not Required (Hasło niewymagane): to niepowodzenie obejmuje konta, do których nie jest wymagane przypisanie hasła.
  6. Password Never Expires (Hasło nigdy nie wygasa): to niepowodzenie wskazuje, że czas wygaśnięcia hasła do konta jest ustawiony na zero. Z powodu takiego ustawienia, nawet jeśli pole wyboru Password never expires (Hasło nigdy nie wygasa) we właściwościach użytkownika nie jest zaznaczone, takie hasło nigdy nie wygaśnie. WPT sprawdzi ustawienia dotyczące wygasania haseł w zasadach domeny Twojej organizacji, bardziej szczegółowych zasadach i właściwościach użytkownika.
  7. LM Hash Password (Hasło skrócone LM): to niepowodzenie wskazuje, że konto korzysta ze skrótu managera Local Area Network (LAN), co jest przestarzałą metodą. Takie hasła są podatne na ataki typu brute force i można je szybko złamać.
  8. AES Encryption Not Set (Szyfrowanie AES nie ustawione): to niepowodzenie wskazuje, że konto nie wykorzystuje normy Advanced Encryption Standard (AES) do szyfrowania hasła użytkownika. AES szyfruje hasła z użyciem 128- lub 256-bitowego klucza. Hasła, które korzystają z szyfrowania AES są mniej podatne na ataki.
  9. DES-Only Encryption (Tylko szyfrowanie DES): to niepowodzenie wskazuje, że określone konta zostały skonfigurowane z użyciem mechanizmu Data Encryption Standard (DES). Może tak być z uwagi na stare oprogramowanie, które nie potrafi obsłużyć AES.

  10. Missing Pre-Authentication (Brak wstępnego uwierzytelnienia): to niepowodzenie wskazuje, że określone konta mają wyłączony mechanizm zabezpieczający w postaci wstępnego uwierzytelnienia. Gdy jest ono włączone, tworzy zaszyfrowane żądanie uwierzytelnienia, na skutek którego próby uwierzytelnienia do konta są rejestrowane.

    To konto może być podatne na atak typu brute force. Ataki tego rodzaju można przeprowadzać offline i są trudne do wykrycia.

Ustawienia

Możesz wybrać spośród wielu różnych ustawień, by dostosować WPT do swoich potrzeb. Przeczytaj poniższe podrozdziały, aby uzyskać więcej informacji.

Opcjonalne luki

Dwie następujące luki w hasłach możesz objąć skanem WPT lub z niego wykluczyć: AES Encryption Not Set (Szyfrowanie AES nie ustawione) lub Password Never Expires (Hasło nigdy nie wygasa). Aby przejść do tych ustawień, kliknij ikonę koła zębatego w prawym górnym rogu okna.

Hasła niestandardowe

WPT korzysta z dużej biblioteki haseł, aby określić, czy hasło użytkownika jest słabe. Jeśli są konkretne hasła, które chcesz zawrzeć w skanie WPT, możesz zaimportować plik tekstowy zawierający takie hasła. Aby przejść do tego ustawienia, kliknij ikonę koła zębatego w prawym górnym rogu okna.

Przed zaimportowaniem pliku tekstowego upewnij się, że ma on mniej niż 10 MB i że w każdym wierszu w pliku zawarte jest tylko jedno hasło.

Język

Możesz zmienić język WPT, klikając nazwę języka w prawym dolnym rogu okna.

Bezpieczeństwo

Podczas korzystania z WPT dane dotyczące Twojego katalogu Active Directory (AD) i użytkowników są zabezpieczone. Wyniki testu identyfikują wyłącznie konta użytkowników, które nie przeszły testu, wraz z podaniem przyczyny, aby umożliwić Ci podjęcie działań.

Poniżej znajdziesz więcej informacji o tym, jak przetwarzane są Twoje dane podczas WPT.

  • Żadne dane z Twojego AD nie zostaną przesłane do firmy KnowBe4 na żadnym etapie testu.
  • Dane zaczerpnięte z Twojego AD są szyfrowane.
  • WPT nie wyświetla haseł do żadnych kont użytkowników Twojego AD.
  • Hasła w AD są zapisane w formacie skróconym, który nie będzie widoczny podczas testu.
  • Informacje pozyskane podczas testu są przechowywane w pamięci lokalnej, a nie na dysku.

Czy ten artykuł był pomocny?

Liczba użytkowników, którzy uważają ten artykuł za przydatny: 17 z 19

Nie możesz znaleźć tego, czego szukasz?

Kontakt z pomocą techniczną