Para saber mais acerca do Weak Password Test (WPT), leia as secções abaixo ou veja um breve vídeo acerca do Weak Password Test (WPT).

Introdução ao WPT

O WPT é uma ferramenta gratuita que inspeciona o seu Active Directory (AD) para detetar palavras-passe de utilizador suscetíveis a possíveis ataques relacionados com palavras-passe.

O WPT liga-se ao seu AD para obter a sua tabela de palavras-passe utilizando palavras-passe com hash e algoritmos de encriptação. Depois, a ferramenta analisa as palavras-passe em relação a dez potenciais vulnerabilidades das palavras-passe.

Os resultados indicarão quais são as contas de utilizador que não passaram no teste e porquê. Esta informação pode permitir-lhe aumentar os requisitos de complexidade das palavras-passe da sua organização, formar os seus utilizadores sobre práticas de palavras-passe seguras ou adotar outras medidas para melhorar a segurança da sua organização.

Pré-requisitos e requisitos do sistema

Para executar o WPT, seu sistema deve cumprir os seguintes requisitos:

• Windows 10 ou posterior (32 ou 64 bits), Windows Server 2016 ou posterior
• Active Directory (AD), em execução no Windows Server 2008 R2 ou posterior
• Capacidade de aceder ao controlador de domínio (DC)
• Acesso à Internet
• .NET Framework 4.7.2 (será instalado, se necessário)
• Pelo menos dois processadores
• Pelos menos 2 GB de RAM
• Pelo menos 1 GB de espaço na unidade de disco rígido (HDD) disponível no seu sistema
• Controlo de Conta de Utilizador (UAC) ativado

Recomendamos a execução deste teste num sistema diferente do seu controlador de domínio (DC), uma vez que o processo de análise pode gerar temporariamente um tráfego de rede substancial e uma utilização elevada da unidade de processamento central (CPU).

Para a instalação, são necessárias as seguintes informações:

1. A chave de licença que recebeu por e-mail quando se inscreveu no teste.
2. O nome de domínio do seu AD. Por exemplo, OMeuDominio.com ou OMeuDominio.local.
3. O nome do seu DC.
4. As credenciais para se ligar ao seu AD.

Instalação e configuração

Após cumprir os pré-requisitos e requisitos do sistema, pode instalar e configurar o WPT. Para começar, siga os passos abaixo:

1. Inscreva-se para transferir a ferramenta WPT na nossa página do WPT e transfira o ficheiro de instalação do WPT.
2. Verifique o seu e-mail para obter a sua chave de licença única do WPT, que terá de utilizar durante o processo de configuração.
3. Execute o ficheiro de instalação do WPT.
4. Leia e aceite o contrato de licença. Depois, clique em Instalar para concluir a instalação.
5. Clique em Concluir para iniciar o WPT.
6. Introduza a sua chave de licença referente ao Passo 1 e clique em OK.
7. Em Detalhes do Active Directory, introduza os detalhes requeridos do seu Active Directory (AD):
   • O nome de domínio do seu AD
   • O nome do seu controlador de domínio (DC)
8. Em Credenciais, introduza o nome de utilizador e a palavra-passe da conta que criou, com as permissões Replicar alterações do Directory e Replicar todas as alterações do Directory ativadas.
9. Clique em Iniciar teste para começar o seu teste.
10. O teste irá analisar as contas do seu AD para detetar palavras-passe fracas. Dependendo do tamanho do seu AD e do desempenho da estação de trabalho, este processo pode demorar um minuto ou mais.
11. Os seus resultados estarão visíveis no ecrã assim que o teste estiver concluído. Para compreender cada vulnerabilidade, leia a secção seguinte.

Compreender os seus resultados

Os resultados do WPT indicarão quantas contas estavam vulneráveis e que tipo de vulnerabilidade afetou cada conta. As secções abaixo ajudá-lo-ão a navegar pelos resultados e a compreender os tipos de vulnerabilidades de palavras-passe encontrados.

Navegar pelos seus resultados

As contas do seu Active Directory (AD) serão apresentadas através de uma lista, em linhas individuais. Em cada linha, uma ou mais marcas de verificação indicam as vulnerabilidades específicas encontradas para essa conta em particular. Também pode pesquisar por uma conta em específico ao introduzir caracteres na caixa de pesquisa.

Um gráfico circular compara o número e o tipo de vulnerabilidades encontradas e pode ser utilizado para determinar as vulnerabilidades de palavras-passe mais comuns da sua organização.

Pode filtrar os resultados por tipo de falha se pretender analisar uma vulnerabilidade específica. Para o fazer, clique no tipo de falha específico no lado esquerdo da janela e apenas as contas com esse tipo de falha permanecerão na lista.

Abaixo encontram-se informações adicionais sobre a interface de utilizador do WPT:

1. Pode filtrar os seus resultados por tipo de falha ao clicar na barra lateral no lado esquerdo da página.
2. Pode pesquisar por contas do AD específicas na barra de pesquisa.
3. As marcas de verificação em cada linha indicam o tipo de vulnerabilidade de palavra-passe encontrada para cada conta.
4. Pode exportar os seus resultados como uma folha de cálculo do Excel ou um ficheiro PDF.
5. Clique em Repetir o teste para executar o WPT novamente. Recomendamos que guarde os seus resultados atuais antes de clicar neste botão.

Tipos de falha

O WPT analisa os seus dados para procurar dez tipos diferentes de falha que podem deixar a sua organização vulnerável a um ataque, tal como descrito abaixo.

1. Palavra-passe fraca: esta falha indica que a palavra-passe da conta afetada corresponde a uma das que constam do nosso dicionário de palavras-passe fracas. Estas palavras-passe são muito comuns, fáceis de adivinhar ou já foram disponibilizadas a atacantes devido a anteriores violações de dados.
2. Palavra-passe partilhada: esta falha indica que a conta afetada partilha uma palavra-passe com, pelo menos, uma outra conta.
3. Palavra-passe inexistente: esta falha inclui as contas que não possuem uma palavra-passe definida.
4. Palavra-passe em texto não encriptado: esta falha inclui as palavras-passe que são armazenadas em texto não encriptado num Active Directory (AD). Isto significa que as palavras-passe do AD dos utilizadores são armazenadas utilizando encriptação reversível.
5. Palavra-passe não exigida: esta falha inclui as contas que têm a capacidade de não possuir uma palavra-passe.
6. Palavra-passe sem validade: esta falha indica que a conta tem o tempo limite da palavra-passe definido como zero. Devido a esta definição, mesmo que a caixa de verificação Palavra-passe sem validade nas propriedades do utilizador esteja desmarcada, a sua palavra-passe nunca expirará. O WPT verificará as definições de validade das palavras-passe nas políticas de domínio da sua organização, políticas de palavras-passe detalhadas e propriedades do utilizador.
7. Palavra-passe com hash LM: esta falha indica que a conta afetada utiliza um hash de gestor de rede local (LAN), um método considerado antiquado. Estas palavras-passe são vulneráveis a ataques de pesquisa de chave e podem ser rapidamente decifradas.
8. Encriptação AES não definida: esta falha indica que a conta não utiliza a norma AES (Advanced Encryption Standard) para encriptar a palavra-passe do utilizador. A norma AES encripta as palavras-passe com uma chave de 128 ou 256 bits. As palavras-passe que utilizam a encriptação AES são menos vulneráveis a ataques.
9. Encriptação apenas DES: esta falha indica que as contas afetadas foram configuradas utilizando o mecanismo da norma DES (Data Encryption Standard), que foi descontinuado. Tal pode ser o resultado de um software antigo que não sabe como reagir à norma AES.

10. Pré-autenticação em falta: esta falha indica que as contas afetadas têm a pré-autenticação (um mecanismo de segurança) desativada. Quando ativada, a pré-autenticação cria um pedido de autenticação encriptada para que as tentativas de autenticação na conta sejam registadas.

    Esta conta pode estar em risco de sofrer um ataque de pesquisa de chave. Os ataques de pesquisa de chave podem ocorrer offline e são difíceis de detetar.

Definições

Existem diferentes definições que podem ser escolhidas para que possa personalizar o WPT. Leia as subsecções abaixo para obter mais informações.

Vulnerabilidade opcionais

Pode ativar ou desativar duas vulnerabilidades de palavras-passe na sua análise do WPT: Encriptação AED não definida ou Palavra-passe sem validade. Para aceder a estas definições, clique no ícone de engrenagem no canto superior direito da janela.

Palavras-passe personalizadas

O WPT utiliza uma enorme biblioteca de palavras-passe para determinar se a palavra-passe de um utilizador é fraca. Se existirem palavras-passe específicas que pretenda incluir na análise do WPT, pode importar um ficheiro de texto que inclua essas palavras-passe. Para aceder a esta definição, clique no ícone de engrenagem no canto superior direito da janela.

Antes de importar o seu ficheiro de texto, certifique-se de que o mesmo tem menos de 10 MB e que inclui apenas uma palavra-passe em cada linha do ficheiro.

Idioma

Pode alterar o idioma do WPT ao clicar no nome do idioma no canto inferior direito da janela.

Segurança

O seu Active Directory (AD) e as informações de utilizador estão protegidos durante a utilização do WPT. Os resultados do teste apenas identificam as contas de utilizador que falharam no teste e porquê, para que possa tomar medidas.

Abaixo encontram-se detalhes sobre a forma como os seus dados são tratados durante o WPT:

• Nenhuma das informações do seu AD serão transmitidas à KnowBe4 a qualquer altura do teste.
• Os dados extraídos do seu AD estão encriptados.
• O WPT não apresenta as palavras-passe de nenhuma das contas de utilizador do seu AD.
• As palavras-passe no AD encontram-se num formato de hash e o mesmo não será visível durante o teste.
• As informações recolhidas durante o teste são guardadas na memória local e não no disco.