Weak Password Test (WPT)

Compartilhar

Este artigo é útil?

Última atualização:

Manual do produto Weak Password Test (WPT)

Para conhecer o Weak Password Test (WPT), leia as seções abaixo ou assista a um rápido vídeo do Weak Password Test (WPT).

Introdução ao WPT

O WPT é uma ferramenta gratuita que examina o Activity Directory (AD) em busca de senhas de usuários suscetíveis a ataques relacionados a senhas.

O WPT se conecta ao AD para recuperar sua tabela de senhas usando senhas com hash e algoritmos de criptografia. Em seguida, a ferramenta analisa as senhas em relação a dez possíveis vulnerabilidades de senha.

Seus resultados mostrarão quais contas de usuários falharam no teste e por quê. Essas informações capacitam você a aumentar os requisitos de complexidade de senha da organização, treinar os usuários nas práticas de senha seguras ou adotar outras medidas que ajudem a manter a segurança da organização.

Requisitos e pré-requisitos do sistema

Para executar o WPT, o sistema deve atender aos seguintes requisitos:

  • Windows 10 ou posterior (32 ou 64 bits), Windows Server 2016 ou posterior
  • Active Directory (AD) em execução no Windows Server 2008 R2 ou posterior
  • Capacidade de acessar o Controlador de Domínio (Domain Controller, DC)
  • Acesso à internet
  • .NET Framework 4.7.2 (será instalado, se necessário)
  • Pelo menos dois processadores
  • Pelo menos 2 GB de RAM
  • Pelo menos 1 GB de espaço em Disco Rígido (Hard Disk Drive, HDD) disponível na unidade do sistema
  • Controle de Conta de Usuário (User Account Control, UAC) habilitado

Recomendamos que esse teste seja executado em um sistema que não seja o DC, já que o processo de varredura pode gerar temporariamente um tráfego de rede significativo e uso considerável da unidade de processamento central.

Para a instalação, você precisará das seguintes informações:

  1. A chave de licença que recebeu via e-mail após a inscrição no teste.
  2. O nome de domínio do seu AD. Por exemplo, MyDomain.com ou MyDomain.local.
  3. O nome do seu DC.
  4. As credenciais para se conectar ao seu AD.
Importante:para que o teste seja executado corretamente, as credenciais usadas para se conectar ao AD com o WPT devem ter as permissões Replicar alterações no diretório e Replicar todas as alterações no diretório. Com essas permissões, você pode acessar uma cópia da tabela de senhas para análise.

Instalação e configuração

Depois de atender aos requisitos e pré-requisitos do sistema, você pode instalar e configurar o WPT. Para começar, siga estas etapas:

  1. Inscreva-se para baixar a ferramenta WPT na nossa página WPT e baixe o arquivo de instalação.
  2. Confira seu e-mail para recuperar a chave de licença exclusiva do WPT, que você deverá usar durante o processo de configuração.
  3. Execute o arquivo de instalação do WPT.
  4. Leia e aceite o acordo de licença. Depois, clique em Instalar para concluir a instalação.
  5. Clique em Concluir para iniciar o WPT.
  6. Insira a chave de licença da Etapa 1 e clique em OK.
  7. Em Detalhes do Active Diretory, insira as informações obrigatórias do Active Directory (AD):
    • O nome de domínio do seu AD
    • O nome do seu controlador de domínio (DC)
  8. Em Credenciais, insira o nome de usuário e a senha da conta que você criou, que tem as permissões Replicar alterações no diretório e Replicar todas as alterações no diretório.
  9. Clique em Iniciar teste para iniciar seu teste.
  10. O teste analisará suas contas do AD para verificar a presença de senhas fracas. Dependendo do tamanho do AD e do desempenho da estação de trabalho, esse processo poderá demorar mais de um minuto.
  11. Seus resultados serão exibidos na tela assim que o teste for concluído. Para entender cada vulnerabilidade, leia a próxima seção.

Como entender os resultados

Os resultados do WPT indicarão quantas contas estavam vulneráveis e qual vulnerabilidade afetava cada uma. As seções abaixo ajudarão você a navegar pelos resultados e a entender os tipos de vulnerabilidades de senha encontradas.

Como navegar pelos resultados

Suas contas do Active Directory (AD) serão listadas em linhas individuais. Em cada linha, uma ou mais marcas de seleção indicam as vulnerabilidades específicas encontradas para a conta em questão. Você também pode pesquisar uma conta específica ao inserir os caracteres na caixa de pesquisa.

Um gráfico de pizza compara o número e o tipo de vulnerabilidade encontrada e pode ser usado para determinar as vulnerabilidades de senha mais comuns da sua organização.

Filtre os resultados por tipo de falha se quiser analisar uma vulnerabilidade específica. Para isso, clique no tipo de falha específico à esquerda da janela; somente contas com esse tipo permanecerão na lista.

Abaixo, há mais informações sobre a interface de usuário do WPT:

  1. Para filtrar os resultados por tipo de falha, clique na barra lateral à esquerda da página.
  2. Pesquise por contas do AD específicas na barra de pesquisa.
  3. As marcas de seleção em cada linha indicam o tipo de vulnerabilidade de senha encontrado para cada conta.
  4. Exporte os resultados como uma planilha do Excel ou um arquivo PDF.
  5. Clique em Reexecutar teste para executar o WPT novamente. Recomendamos que você salve os resultados atuais antes de clicar nesse botão.

Tipos de falha

O WPT analisa os dados para procurar 10 tipos de falha diferentes que podem deixar sua organização vulnerável a um ataque, conforme detalhado abaixo.

  1. Weak Password (Senha fraca): Essa falha indica que a senha da conta afetada corresponde a uma das senhas listadas em nosso dicionário de senhas fracas. Essas senhas são muito comuns, fáceis de adivinhar ou foram disponibilizadas aos invasores como resultado de violações de dados anteriores.
  2. Shared Password (Senha compartilhada): Essa falha indica que a conta afetada compartilha a senha com pelo menos uma outra conta.
  3. Empty Password (Senha em branco): Essa falha inclui contas que não têm uma senha definida.
  4. Clear Text Password (Senha com texto não criptografado): Essa falha inclui senhas armazenadas em texto não criptografado em um Active Directory (AD). Isso significa que as senhas do AD dos usuários são armazenadas usando criptografia reversível.
  5. Password Not Required (Senha não necessária): Essa falha inclui contas que podem não ter senha.
  6. Password Never Expires (A senha nunca expira): Essa falha indica que a configuração de expiração de senha da conta é definida como zero. Por causa dessa configuração, mesmo que a caixa de seleção A senha nunca expira nas propriedades do usuário esteja desmarcada, a senha nunca expirará. O WPT verificará as configurações de expiração de senha nas políticas de domínio, nas políticas de senha refinadas e nas propriedades do usuário da organização.
  7. LM Hash Password (Senha hash do LM): Essa falha indica que a conta afetada usa um hash de gerenciador de Rede de Área Local (Local Area Network, LAN), que é um método antiquado. Essas senhas são vulneráveis a ataques de força bruta e podem ser rapidamente reveladas.
  8. AES Encryption Not Set (Criptografia AES não definida): Essa falha indica que a conta não usa chaves do Padrão de Criptografia Avançado (Advanced Encryption Standard, AES) para criptografar a senha do usuário. O AES criptografa as senhas com uma chave de 128 ou 256 bits. As senhas que usam criptografia AES são menos vulneráveis a ataques.
  9. DES-Only Encryption (Criptografia somente DES): Essa falha indica que as contas afetadas foram configuradas usando o mecanismo descontinuado do Padrão de Criptografia de Dados (Data Encryption Standard, DES). Isso pode ser resultado de um software antigo que não sabe como reagir ao AES.

  10. Missing Pre-Authentication (Pré-autenticação ausente): Essa falha indica que a pré-autenticação, um mecanismo de segurança, está desativado nas contas. Quanto habilitada, a pré-autenticação cria uma solicitação de autenticação criptografada para que as tentativas de autenticar a conta sejam registradas.

    Essa conta pode estar em risco de um ataque de força bruta. Os ataques de força bruta podem ocorrer off-line e são difíceis de detectar.

Configurações

Há diferentes configurações que você pode escolher para permitir a personalização do WPT. Para obter mais informações, confira as subseções abaixo.

Vulnerabilidades opcionais

Você pode habilitar ou desabilitar duas vulnerabilidades de senha pela verificação do WPT: Criptografia AES não definida ou A senha nunca expira. Para acessar essas configurações, clique no ícone de engrenagem no canto superior direito da janela.

Senhas personalizadas

O WPT usa uma grande biblioteca de senhas para determinar se a senha de um usuário é fraca. Se houver senhas específicas que você gostaria de incluir na verificação do WPT, importe um arquivo de texto que inclua essas senhas. Para acessar essa configuração, clique no ícone de engrenagem no canto superior direito da janela.

Antes de importar o arquivo de texto, verifique se ele tem menos de 10 MB e se você incluiu apenas uma senha em cada linha dele.

Idioma

Você pode alterar o idioma do WPT ao clicar no nome do idioma, no canto inferior direito da janela.

Segurança

Suas informações de usuário e do Active Directory (AD) são mantidas em segurança durante o uso do WPT. Os resultados do teste só identificam as contas de usuários que falharam no teste e os respectivos motivos, para que você possa adotar medidas.

A seguir, confira mais informações sobre como seus dados são processados durante o uso do WPT:

  • Nenhuma das informações do seu AD serão transmitidas à KnowBe4 em nenhum momento do teste.
  • Os dados extraídos do AD são criptografados.
  • O WPT não exibe as senhas de nenhuma das contas de usuário do seu AD.
  • As senhas no AD estão em formato de hash, que não fica visível durante o teste.
  • As informações obtidas durante o teste são salvas na memória local, e não no disco.

Este artigo foi útil?

Usuários que acharam isso útil: 17 de 19

Não encontrou o que estava procurando?

Fale com o suporte