Weak Password Test (Test för svagt lösenord) (WPT)

Dela

Är den här artikeln till hjälp?

Senast uppdaterad:

Produktmanual för Weak Password Test (Test för svagt lösenord) (WPT)

Läs avsnitten nedan eller titta på en kort video om Weak Password Test (WPT) för att ta reda på mer om Weak Password Test (WPT).

Introduktion till WPT

WPT är ett kostnadsfritt verktyg som undersöker din Active Directory (AD) och letar efter lösenord som är mottagliga för lösenordsrelaterade angrepp.

WPT ansluter till din aktivitetskatalog för att hämta din lösenordstabell med lösenord med hashvärden och krypteringsalgoritmer. Verktyget analyserar sedan lösenorden med avseende på tio möjliga lösenordssvagheter.

Resultaten visar sedan vilka användarkonton som inte klarade testet och varför. Du kan använda den här informationen för att höja organisationens krav på lösenordskomplexitet, utbilda användarna om metoder kring säkra lösenord eller vidta andra åtgärder för att stärka säkerheten för din organisation.

Systemkrav och förhandskrav

Du måste uppfylla följande systemkrav för att köra WPT:

  • Windows 10 eller senare (32 eller 64-bit), Windows Server 2016 eller senare
  • Active Directory (AD) som körs på Windows Server 2008 R2 eller senare
  • Möjlighet att komma åt domänkontrollanten
  • Åtkomst till internet
  • .NET Framework 4.7.2, installeras vid behov
  • Minst två processorer
  • Minst 2 GB RAM
  • Minst 1 GB hårddiskutrymme (HDD) på systemets hårddisk
  • User Account Control (UAC) aktiverat

Vi rekommenderar att köra det här testet på ett system som inte är domänkontrollanten, eftersom skanningsprocessen tidvis kan generera betydlig nätverkstrafik och användning av processorn (CPU).

Du behöver följande information för installationen:

  1. Licensnyckeln som du fick via e-post när du registrerade dig för test.
  2. Domännamnet för din AD. Till exempel MyDomain.com eller MyDomain.local.
  3. Namnet på din domänkontrollant.
  4. Autentiseringsuppgifterna för anslutning till din AD.
Viktigt:För att testet ska kunna köras korrekt behöver autentiseringsuppgifterna som du använder för att ansluta till din AD med WPT ha behörigheterna Replicating Directory Changes (replikera ändringar i katalogen) och Replicating Directory Changes All (replikera alla ändringar i katalogen) aktiverade. Dessa behörigheter gör att du kan få en kopia av din lösenordstabell för analys.

Installation och konfigurering

Du kan installera och konfigurera WPT när du har uppfyllt systemkraven och förhandskraven. Följ stegen nedan för att komma igång:

  1. Registrera dig för att ladda ned WPT-verktyget på din WPT-sida och ladda ned WPT-installationsfilen.
  2. Kontrollera din e-post för att hämta din unika WPT-licensnyckel, som du kommer att behöva under konfigureringen.
  3. Kör WPT-installationsfilen.
  4. Läs och godkänn licensavtalet. Klicka sedan på Install (installera) för att slutföra installationen.
  5. Klicka på Finish (slutför) för att starta WPT.
  6. Ange din licensnyckel från steg 1 och klicka på OK.
  7. Ange informationen som krävs från din Active Directory (AD) på Active Directory Details (Active Directory-information)
    • Domännamnet för din AD
    • Namnet på din domänkontrollant
  8. Gå in på Credentials (autentiseringsuppgifter) och ange användarnamnet och lösenordet för kontot som du skapade, med behörigheterna Replicating Directory Changes (replikera ändringar i katalogen) och Replicating Directory Changes All (replikera alla ändringar i katalogen).
  9. Klicka på Start Test (starta testet) för att starta testet.
  10. Testet analyserar dina AD-konton med avseende på svaga lösenord. Den här processen kan ta några minuter, beroende på storleken på din AD och arbetsstationens prestanda.
  11. Resultaten visas på skärmen så fort testet är slutfört. Läs nästa avsnitt för att få en förståelse för varje svaghet.

Förstå dina resultat

Dina WPT-resultat indikerar hur många konton som är sårbara och vilka sårbarheter det var som påverkade kontona. Använd avsnitten nedan för att navigera dina resultat och förstå typerna av lösenordssvagheter som hittades.

Navigera dina resultat

Dina AD-konton (Active Directory) listas som individuella rader. En eller flera bockar på varje rad indikerar de specifika sårbarheterna som hittades för det specifika kontot. Du kan också söka efter ett specifikt konto genom att skriva i sökrutan.

I ett cirkeldiagram jämförs antalet och typen av sårbarheter som hittas, och detta diagram kan användas för att fastställa de vanligaste lösenordssvagheterna i din organisation.

Om du vill analysera en specifik sårbarhet kan du filtrera resultaten efter feltyp. För att göra detta klickar du på den specifika feltypen till vänster om fönstret, så visas endast konton med den typen i listan.

Nedan finns ytterligare information om användargränssnittet i WPT:

  1. Du kan filtrera dina resultat efter feltyp genom att klicka på sidofältet till vänster på sidan.
  2. Du kan söka efter specifika AD-konton i sökfältet.
  3. Bockarna på varje rad indikerar de specifika sårbarheterna som hittades för varje konto.
  4. Du kan exportera resultaten som ett Excel-kalkylblad eller en PDF-fil.
  5. Klicka på Rerun Test (kör test på nytt) för att köra WPT igen. Vi rekommenderar att du sparar dina aktuella resultat innan du klickar på den här knappen.

Feltyper

WPT analyserar dina data för att leta efter tio olika feltyper som kan göra din organisation sårbar för en attack. Dessa typer beskrivs nedan.

  1. Weak Password (svagt lösenord): Det här felet indikerar att det påverkade kontots lösenord matchade ett av de svaga lösenorden i vår lista. De här lösenorden är antingen väldigt vanliga, lätta att gissa sig till eller har gjorts tillgängliga för angripare på grund av tidigare informationsläckage.
  2. Shared Password (delat lösenord): Det här felet indikerar att det påverkade kontot delar lösenord med minst ett annat konto.
  3. Empty Password (tomt lösenord): Det här felet inkluderar konton som inte har ett lösenord.
  4. Clear Text Password (lösenord i klartext): Det här felet inkluderar lösenord som lagras i klartext i en Active Directory (AD). Det här innebär att användarnas AD-lösenord lagras med reversibel kryptering.
  5. Password Not Required (lösenord krävs inte): Det här felet inkluderar konton med möjligheten att inte ha ett lösenord.
  6. Password Never Expires (lösenord löper aldrig ut): Det här felet indikerar att kontot har ett lösenord med en tidsgräns inställd på noll. Den här inställningen gör att lösenordet aldrig löper ut, även om kryssrutan Password never expires (lösenord löper aldrig ut) i användarens egenskaper inte är markerad. WPT kontrollerar inställningar för tidsgränser för lösenord i din organisations domänpolicyer, detaljerade lösenordspolicyer och användaregenskaper.
  7. LM Hash Password (lösenord med LM-hashvärde): Det här felet indikerar att det påverkade kontot använder ett LAN Manager-hashvärde (Local Area Network), som är en föråldrad metod. Dessa lösenord är sårbara för totalsökningsattacker och kan knäckas snabbt.
  8. AES Encryption Not Set (AES-kryptering inte inställd): Det här felet indikerar att kontot inte använder Advanced Encryption Standard (AES) för att kryptera användarens lösenord. AES krypterar lösenord med en 128-bit- eller 256-bit-nyckel. Lösenord med AES-kryptering är mindre sårbara för angrepp.
  9. DES-Only Encryption (kryptering med endast DES): Det här felet indikerar att de påverkade kontona konfigurerades med den föråldrade DES-mekanismen (Data Encryption Standard). Det här kan vara ett resultat av gammal mjukvara som inte vet hur den ska reagera på AES.

  10. Missing Pre-Authentication (förautentisering saknas): Det här felet indikerar att förautentisering, som är en säkerhetsmekanism, är avstängt för påverkade konton. När det är aktiverat skapar förautentisering en krypterad autentiseringsbegäran, så att försök att autentisera mot kontot loggas.

    Det här kontot löper risk att utsättas för en totalsökningsattack. Totalsökningsattacker kan ske offline och är svåra att upptäcka.

Inställningar

Det finns olika inställningar du kan välja mellan för att anpassa WPT. Läs underavsnitten nedan för att ta reda på mer.

Valfria sårbarheter

Du kan aktivera eller inaktivera två säkerhetssårbarheter för WPT-skanningen: AES Encryption Not Set (AES-kryptering inte inställd) eller Password Never Expires (lösenord löper aldrig ut). Klicka på kugghjulsikonen i det övre högra hörnet i fönstret för att komma åt de här inställningarna.

Anpassade lösenord

WPT använder ett stort lösenordsbibliotek för att avgöra om en användares lösenord är svagt. Om du vill inkludera specifika lösenord i WPT-skanningen kan du importera en textfil med dessa lösenord. Klicka på kugghjulsikonen i det övre högra hörnet i fönstret för att komma åt den här inställningen.

Innan du importerar textfilen ser du till att filen är mindre än 10 MB och att filen endast innehåller ett lösenord per rad.

Språk

Du kan ändra språket i WPT genom att klicka på språkets namn i det nedre högra hörnet i fönstret.

Säkerhet

Din Active Directory (AD) och användarinformation skyddas när du använder WPT. Testresultaten identifierar endast användarkonton som inte klarade testet och anledningarna till det, så att du kan vidta åtgärder.

Nedan finns information om hur din information hanteras i WPT:

  • Ingen information från din AD överförs till KnowBe4 vid någon som helst tidpunkt under testet.
  • Data som hämtas från din AD är krypterad.
  • WPT visar inte lösenorden för något av dina AD-användarkonton.
  • Lösenord i AD är i hashformat och hashformatet är inte synligt under testet.
  • Informationen som hämtas under testet sparas i lokalt minne, inte på hårddisken.

Var den här artikeln till hjälp?

17 av 19 tyckte detta var till hjälp

Hittar du inte det du letar efter?

Kontakta supporten