Como usar o PasswordIQ

Compartilhar

Este artigo é útil?

Última atualização:

Manual do produto PasswordIQ

Disponível para assinaturas do nível Diamante e do SAT Advanced, o PasswordIQ da KnowBe4 permite que você monitore as vulnerabilidades de senha dos seus usuários. O cliente do PasswordIQ verifica as vulnerabilidades das configurações relacionadas às senhas do Active Directory (AD) e compara as senhas dos seus usuários com senhas violadas e fracas de várias listas e bancos de dados. Em seguida, o cliente se comunica com o KSAT para exibir os resultados da verificação no seu painel.

Para habilitar o PasswordIQ, navegue até Integrações da conta > PasswordIQ nas Configurações da conta. Em seguida, marque a caixa de seleção Habilitar PasswordIQ.

Observação: para usar o PasswordIQ, você precisará da versão local do AD. O PasswordIQ é incompatível com o Microsoft Entra ID.

Veja as seções abaixo para aprender a instalar o cliente, executar verificações e exibir seus resultados.

Importante: o PasswordIQ nunca exibe nem divulga as senhas dos usuários. No AD, todas as senhas são criptografadas e armazenadas em um formato de hash e, portanto, as versões de senha sem hash são inacessíveis para o PasswordIQ e para a KnowBe4.

Requisitos

Para instalar o cliente do PasswordIQ, você precisa atender aos seguintes requisitos listados:

Importante: recomendamos que você instale o cliente em um computador diferente daquele usado como seu controlador de domínio. O processo de verificação pode gerar tráfego na rede e um alto uso da unidade de processamento do computador (Computer Processing Unit, CPU). Para ter melhores resultados, instale o cliente em uma máquina virtual ou um servidor que possa ficar em execução continuamente.
  • É necessário ter acesso a um computador que atenda a estes requisitos:
    • O sistema operacional do computador deve ser o Windows 10 ou posterior, de 32 ou 64 bits, ou o Windows Server 2016 ou posterior.

    • O computador deve ter uma versão 4.7.2 ou posterior do .NET Framework.

      Observação: se o computador não tiver a versão 4.7.2 do .NET Framework, o Assistente de Instalação irá instalá-la para você.
    • O computador deve ter pelo menos 4 GB de RAM.
    • É necessário que a unidade do sistema do computador tenha, pelo menos, 1 GB de espaço disponível na unidade de disco rígido (HDD).
    • O Controle de Conta de Usuário (User Account Control, UAC) precisa estar habilitado nas configurações do UAC do computador.

  • É necessário ter acesso a um AD local executado no Windows Server 2008 R2 ou em uma versão posterior.

    Observação: se você tiver vários domínios do AD, precisará instalar uma instância diferente do cliente para cada um deles.
  • É necessário ter acesso a um administrador de domínio do AD ou a uma conta do AD que possa ser elevada para o status de administrador. Essa conta precisa ter as permissões Replicando alterações no diretório e Replicando todas as alterações no diretório. Para obter mais informações, consulte o artigo da Microsoft Replicando a permissão de alterações no diretório.
  • É necessário ser um administrador do KSAT ou ter uma função de segurança com acesso de Leitura/gravação no PasswordIQ.

Vulnerabilidades

O cliente do PasswordIQ verifica a existência de 11 vulnerabilidades para cada usuário e informa as vulnerabilidades encontradas para o KSAT. Além disso, nosso relatório de Nível de risco usa essas vulnerabilidades como fatores de risco ao calcular o seu nível de risco. Para obter mais informações, consulte o Guia do mecanismo SmartRisk™ e de nível de risco.

Para obter mais informações sobre essas vulnerabilidades, consulte a tabela a seguir:

Vulnerabilidade Descrição Nível de gravidade do Nível de risco
Senha fraca A senha corresponde a uma senha de uma das nossas listas de senhas fracas. Portanto, ela é comum e fácil de descobrir. É provável que um criminoso cibernético descubra a senha e acesse a conta do usuário. Médio
Senha compartilhada A senha corresponde a, pelo menos, à senha de algum outro usuário no seu AD. É possível que a senha seja comum ou simples e, portanto, é provável que um criminoso cibernético possa acessar a conta do usuário. Médio
Senha com texto não criptografado A senha é armazenada com criptografia reversível no seu AD. A senha pode ser descriptografada e, portanto, é provável que um criminoso cibernético possa acessar a conta do usuário. Alto
Senha em branco A senha não contém nenhum caractere e, portanto, o usuário faz login na conta deixando o campo de senha em branco. Qualquer pessoa pode acessar a conta do usuário, inclusive os criminosos cibernéticos. Alto
Criptografia somente DES A conta usa o Padrão de Criptografia de Dados (Data Encryption Standard, DES) para criptografar a senha do usuário. O DES é um método de criptografia ultrapassado, pois criptografa a senha apenas com uma chave de 56 bits, enquanto os métodos mais recentes de criptografia usam chaves mais longas, que são muito mais seguras. É provável que um criminoso cibernético descubra a senha e acesse a conta do usuário. Médio
Senha violada A senha foi exposta em uma violação de dados que está conectada à sua conta do AD. O usuário está ativamente usando uma senha que está acessível aos criminosos cibernéticos. Alto
Senha não necessária A conta não exige que um usuário digite uma senha ao fazer login. Qualquer pessoa pode fazer login na conta, inclusive os criminosos cibernéticos. Alto
A senha nunca expira A configuração de expiração de senha da conta é definida como zero. Por causa dessa configuração, mesmo que a caixa de seleção A senha nunca expira nas propriedades do usuário esteja desmarcada, a senha nunca expirará. O PasswordIQ verificará as configurações de expiração de senha nas políticas de domínio, nas políticas de senha refinadas e nas propriedades do usuário da organização. Os criminosos cibernéticos têm mais facilidade de adivinhar as senhas que não são trocadas com frequência. Médio
Senha hash do LM A conta usa um hash do Gerenciador de LAN (LAN Manager, LM). Um hash do LM converte a senha em letras maiúsculas, limita essa senha a 14 caracteres e divide os 14 caracteres dela em dois grupos de sete letras. Esse processo enfraquece a senha, possibilitando que os criminosos cibernéticos a violem. Médio
Criptografia AES A conta não usa o Padrão de Criptografia Avançado (Advanced Encryption Standard, AES) para criptografar a senha do usuário. O AES criptografa as senhas com uma chave de 128 ou 256 bits. Sendo assim, as senhas que usam a criptografia AES são menos vulneráveis a ataques. Médio
Pré-autenticação ausente A conta não exige pré-autenticação e, portanto, pode estar desprotegida das tentativas de descoberta de senhas. A pré-autenticação criptografa a marca de data e hora da solicitação de login, usando uma chave que tem como base a senha do usuário. Esse processo oferece proteção contra tentativas de descoberta de senhas, pois grava cada tentativa de login na conta. Médio

Para saber mais sobre como solucionar essas vulnerabilidades, consulte a seção Como solucionar suas vulnerabilidades, abaixo.

Como copiar o token de API

Para conectar o cliente do PasswordIQ ao console do KSAT, você precisará do seu token de API do produto.

Para criar e copiar seu token de API, siga as etapas abaixo:

  1. Faça login na sua conta do KSAT.
  2. Navegue até a guia PasswordIQ.
  3. Clique em Configuração do cliente do PasswordIQ.
  4. No campo Nome do token, digite um nome para o token.
  5. Selecione uma Data de vencimento para o token.
  6. Selecione um usuário.
  7. Clique em Criar token.

  8. Na janela pop-up exibida do token de API do produto, clique no token de API do PasswordIQ para copiá-lo. Você precisará desse token para concluir a configuração na seção Como instalar o cliente, abaixo.

    Importante: depois de fechar essa janela, você não conseguirá visualizar esse token novamente.

  9. Clique em OK.

Como instalar o cliente

Antes de instalar o cliente do PasswordIQ, verifique se o seu computador atende aos requisitos na seção Requisitos, acima. Depois, copie o token de API seguindo as instruções na seção Como copiar o token de API, acima.

Para instalar o cliente, siga estas etapas:

  1. Faça login na sua conta do KSAT.
  2. Navegue até a guia PasswordIQ.

  3. Na etapa 2 das instruções de Boas-vindas do PasswordIQ, clique no link Cliente do PasswordIQ.

    Baixar cliente

  4. Clique no botão Sim na janela pop-up.

    PNG de pop-up do Windows

  5. Clique no botão Próximo.
  6. Depois de ler o Acordo de licença do software, clique no botão Aceitar para aceitar os termos e as condições.

  7. Se o seu computador usa um servidor proxy para acessar a Internet, marque a caixa de seleção Usar um servidor proxy e preencha os campos. Para obter mais informações, veja a captura de tela e a lista a seguir. Se o seu computador não usa um servidor proxy para acessar a internet, ignore esta etapa.

    Informações do servidor proxy

    1. Endereço IP ou nome: digite o endereço IP ou o nome do servidor proxy. Você pode encontrar essas informações nas configurações do servidor proxy do seu computador, que estão em Rede e Internet > Proxy.
    2. Número da porta: digite o número da porta do servidor proxy. Você pode encontrar essas informações nas configurações do servidor proxy do seu computador, que estão em Rede e Internet > Proxy.
  8. Clique no botão Próximo.

  9. No campo Token de API, cole o token de API que você copiou na seção Como copiar o token de API, acima.

    Tela do token de API

  10. Clique no botão Próximo.

  11. Nos campos Nome de usuário e Senha, digite as credenciais de login de uma conta de serviço do AD que atenda às permissões necessárias. O cliente usa essa conta de serviço para executar todas as verificações programadas.

    Observação: se essa conta não tiver a permissão Fazer logon como um serviço, o cliente atribuirá essa permissão à conta automaticamente.

  12. Clique no botão Próximo para concluir a instalação.

Executando verificações

Depois de instalar o cliente do PasswordIQ, você poderá iniciar a verificação do seu AD em relação às vulnerabilidades. Sua primeira verificação precisa ser executada a partir do cliente. Depois da primeira verificação, você pode executar outras verificações e criar uma programação de verificação no seu painel. Para obter mais informações, consulte a seção Executando verificações do artigo Como usar o painel do PasswordIQ.

Observação: para proteger suas informações relacionadas a senhas, os dados que o PasswordIQ coleta durante as verificações nunca são armazenados permanentemente no disco rígido do seu computador. Esses dados são armazenados apenas temporariamente na memória de acesso aleatório (Random Access Memory, RAM) do computador.

Para executar sua primeira verificação, siga estas etapas:

  1. Abra o cliente do PasswordIQ.

  2. Na seção Verificação rápida, clique no botão Verificar agora.

    Observação: o PIQ tem configurações adicionais que você pode acessar ao clicar no ícone de engrenagem, no canto superior direito da janela. Nas configurações Avançadas, você pode optar por incluir duas vulnerabilidades opcionais na verificação: Criptografia AES não definida ou A senha nunca expira.

    Botão Verificar agora

  3. Depois que a verificação for concluída com êxito, clique no botão Exibir painel para exibir os resultados da sua verificação no KSAT.

    Botão Exibir painel

Configurações

No cliente do PasswordIQ, você pode personalizar suas configurações ao clicar no ícone de configurações, no canto superior direito do cliente. No modal que será exibido, você verá duas guias: Geral e Avançada. Para obter mais informações sobre essas guias, confira as subseções abaixo.

Geral

Na guia Geral, é possível editar duas seções: Token de API e Servidor proxy. Essas seções incluem as configurações que você definiu quando iniciou o cliente do PIQ pela primeira vez.

No campo Token de API, é possível alterar o token de API que você inseriu no console do KSAT. Para salvar as alterações, clique em Validar token de API.

No campo Servidor proxy, é possível alterar o servidor proxy que seu computador usa para conectar-se à internet. Marque a caixa de seleção Usar um servidor proxy, caso esteja desmarcada, e insira o nome ou o endereço IP que você deseja usar. No campo Número da porta, insira o número da porta do seu servidor proxy. Para salvar as alterações, clique em Validar configurações de proxy.

Avançada

Na guia Avançada, é possível editar duas seções: Controlador de domínio personalizado e Unidades organizacionais personalizadas. Na seção Controlador de domínio personalizado, é possível escolher qualquer controlador de domínio que você deseja que o PasswordIQ verifique. Basta inserir o nome do computador ou o endereço IP no campo Controlador de domínio personalizado.

Na seção Unidades organizacionais personalizadas, é possível selecionar uma ou mais unidades organizacionais no menu suspenso para que sejam verificadas pelo PasswordIQ.

Exibindo seus resultados

Como é possível exibir apenas resultados limitados do cliente do PasswordIQ, recomendamos que você use a sua conta do KSAT para exibir e analisar os resultados. Para navegar para o painel, vá até a guia PasswordIQ do console do KSAT.

Para ver os resultados da sua verificação, você pode usar o painel padrão ou criar painéis personalizados. Para obter mais informações, consulte o artigo Como usar o painel do PasswordIQ.

Usando grupos inteligentes para usuários detectados

Você pode usar os grupos inteligentes para inscrever nas campanhas de phishing ou treinamento os usuários que tiveram vulnerabilidades detectadas. Por exemplo, é possível usar o critério Evento do PasswordIQ para inscrever usuários com senhas fracas no módulo de treinamento Como criar senhas fortes - Treinamento de conscientização em segurança.

Para obter mais informações sobre o Grupos inteligentes, consulte a Visão geral dos grupos inteligentes.

Como solucionar suas vulnerabilidades

Depois de ver seus resultados, você poderá trabalhar com seus usuários para solucionar suas vulnerabilidades de senha. Para obter mais informações, consulte o artigo Como solucionar suas vulnerabilidades de senha.

Este artigo foi útil?

Usuários que acharam isso útil: 21 de 21

Não encontrou o que estava procurando?

Fale com o suporte