Weak Password Test (WPT)

แบ่งปัน

บทความนี้มีประโยชน์ไหม

ปรับปรุงล่าสุด :

คู่มือผลิตภัณฑ์ Weak Password Test (WPT)

หากต้องการเรียนรู้เกี่ยวกับ Weak Password Test (WPT) โปรดอ่านส่วนต่างๆ ด้านล่างนี้หรือชมวิดีโอสั้นๆ เกี่ยวกับ Weak Password Test (WPT)

ข้อมูลเบื้องต้นเกี่ยวกับ WPT

WPT คือเครื่องมือฟรีที่จะตรวจสอบไดเร็กทอรี่ที่ใช้งานอยู่ (AD) ของคุณเพื่อตรวจหารหัสผ่านผู้ใช้ที่อาจเสี่ยงต่อการถูกโจมตีที่เกี่ยวข้องกับรหัสผ่าน

WPT เชื่อมต่อกับ AD ของคุณเพื่อเรียกดูตารางรหัสผ่านโดยใช้รหัสผ่านแบบแฮชและอัลกอริทึมการเข้ารหัสลับ จากนั้นเครื่องมือจะวิเคราะห์รหัสผ่านเทียบกับช่องโหว่ด้านรหัสผ่านที่อาจเกิดขึ้นได้ 10 รายการ

ผลลัพธ์จะแสดงให้เห็นว่าบัญชีผู้ใช้ใดไม่ผ่านการทดสอบและเพราะเหตุใด ข้อมูลนี้สามารถช่วยให้คุณเพิ่มข้อกำหนดให้รหัสผ่านขององค์กรซับซ้อนยิ่งขึ้น ฝึกอบรมผู้ใช้เกี่ยวกับวิธีการใช้รหัสผ่านอย่างปลอดภัย หรือดำเนินการอื่นๆ เพื่อเสริมสร้างการรักษาความปลอดภัยให้กับองค์กรของคุณได้

ข้อกำหนดของระบบและข้อมูลที่ต้องเตรียมล่วงหน้า

หากต้องการเรียกใช้ WPT ระบบของคุณจะต้องมีคุณสมบัติตรงตามข้อกำหนดต่อไปนี้

  • Windows 10 ขึ้นไป (32 หรือ 64 บิต), Windows Server 2016 ขึ้นไป
  • ไดเร็กทอรี่ที่ใช้งานอยู่ (AD) ที่ทำงานบน Windows Server 2008 R2 ขึ้นไป
  • ความสามารถในการเข้าถึงตัวควบคุมโดเมน (DC)
  • การเข้าถึงอินเทอร์เน็ต
  • .NET Framework 4.7.2 ซึ่งจะมีการติดตั้งหากจำเป็น
  • โปรเซสเซอร์อย่างน้อยสองตัว
  • RAM อย่างน้อย 2 GB
  • พื้นที่ฮาร์ดดิสก์ไดรฟ์ (HDD) ว่างอย่างน้อย 1 GB ในไดรฟ์ระบบของคุณ
  • การควบคุมบัญชีผู้ใช้ (UAC) เปิดใช้งานอยู่

เราขอแนะนำให้เรียกใช้การทดสอบนี้ในระบบอื่นที่ไม่ใช่ DC ของคุณ เนื่องจากกระบวนการสแกนอาจทำให้เกิดการรับส่งข้อมูลเครือข่ายและการใช้งานหน่วยประมวลผลกลาง (CPU) ในปริมาณมากเป็นการชั่วคราวได้

สำหรับการติดตั้ง คุณจะต้องมีข้อมูลต่อไปนี้

  1. รหัสสิทธิ์การใช้งานที่คุณได้รับทางอีเมลตอนที่สมัครรับการทดสอบ
  2. ชื่อโดเมนของ AD ของคุณ ตัวอย่างเช่น MyDomain.com หรือ MyDomain.local
  3. ชื่อ DC ของคุณ
  4. ข้อมูลประจำตัวในการเชื่อมต่อกับ AD ของคุณ
ข้อสำคัญ: เพื่อให้ดำเนินการทดสอบได้สำเร็จ ข้อมูลประจำตัวที่คุณใช้ในการเชื่อมต่อกับ AD ของคุณผ่าน WPT จะต้องได้รับการเปิดใช้งานสิทธิ์ “การจำลองการเปลี่ยนแปลงไดเร็กทอรี่” และ “การจำลองการเปลี่ยนแปลงไดเร็กทอรี่ทั้งหมด” สิทธิ์เหล่านี้จะทำให้คุณสามารถรับสำเนาตารางรหัสผ่านเพื่อใช้ในการวิเคราะห์ได้

การติดตั้งและการตั้งค่า

เมื่อคุณจัดเตรียมตามข้อกำหนดของระบบและข้อมูลที่ต้องเตรียมล่วงหน้าแล้ว คุณก็สามารถติดตั้งและตั้งค่า WPT ได้ โดยทำตามขั้นตอนด้านล่างเพื่อเริ่มต้นใช้งาน

  1. สมัครเพื่อดาวน์โหลดเครื่องมือ WPT ในหน้า WPT ของเรา และดาวน์โหลดไฟล์สำหรับติดตั้ง WPT
  2. ตรวจสอบอีเมลของคุณเพื่อรับรหัสสิทธิ์การใช้งาน WPT ที่จะไม่ซ้ำกับคนอื่น คุณจะต้องใช้รหัสนี้ในขั้นตอนการตั้งค่า
  3. เรียกใช้ไฟล์สำหรับติดตั้ง WPT
  4. อ่านและยอมรับข้อตกลงสิทธิ์การใช้งาน จากนั้นคลิก “Install” (ติดตั้ง) เพื่อติดตั้งให้เสร็จสิ้น
  5. คลิก “Finish” (เสร็จสิ้น) เพื่อเปิดใช้งาน WPT
  6. ป้อนรหัสสิทธิ์การใช้งานของคุณจากขั้นตอนที่ 1 แล้วคลิก “OK” (ตกลง)
  7. ใต้หัวข้อ “Active Directory Details” (รายละเอียดไดเร็กทอรี่ที่ใช้งานอยู่) ให้ป้อนรายละเอียดที่กำหนดจากไดเร็กทอรี่ที่ใช้งานอยู่ (AD) ของคุณ ซึ่งได้แก่
    • ชื่อโดเมนของ AD ของคุณ
    • ชื่อตัวควบคุมโดเมน (DC) ของคุณ
  8. ใต้หัวข้อ “Credentials” (ข้อมูลประจำตัว) ให้ป้อนชื่อผู้ใช้และรหัสผ่านของบัญชีที่คุณสร้างขึ้นที่ได้รับการเปิดใช้งานสิทธิ์ “การจำลองการเปลี่ยนแปลงไดเร็กทอรี่” และ “การจำลองการเปลี่ยนแปลงไดเร็กทอรี่ทั้งหมด” แล้ว
  9. คลิก “Start Test” (เริ่มการทดสอบ) เพื่อเริ่มการทดสอบของคุณ
  10. การทดสอบจะวิเคราะห์บัญชี AD ของคุณว่ามีรหัสผ่านที่คาดเดาง่ายหรือไม่ ขั้นตอนนี้อาจใช้เวลาหนึ่งนาทีหรือนานกว่านั้น ขึ้นอยู่กับขนาดของ AD และประสิทธิภาพของเวิร์กสเตชัน
  11. ผลลัพธ์ของคุณจะแสดงบนหน้าจอทันทีที่ทดสอบเสร็จสิ้น โปรดอ่านหัวข้อถัดไปเพื่อทำความเข้าใจช่องโหว่แต่ละประเภท

ทำความเข้าใจผลลัพธ์ของคุณ

ผลลัพธ์จาก WPT จะระบุว่ามีบัญชีจำนวนกี่บัญชีที่พบช่องโหว่ และแต่ละบัญชีพบช่องโหว่ประเภทใดบ้าง ข้อมูลด้านล่างนี้จะช่วยแนะนำวิธีอ่านผลลัพธ์และทำความเข้าใจประเภทของช่องโหว่ด้านรหัสผ่านที่พบ

วิธีอ่านผลลัพธ์ของคุณ

บัญชีไดเร็กทอรี่ที่ใช้งานอยู่ (AD) ของคุณจะแสดงเรียงกันเป็นแถว แถวละหนึ่งบัญชี ซึ่งเมื่อในแต่ละแถวมีเครื่องหมายติ๊กถูกหนึ่งรายการหรือมากกว่า แสดงว่าพบช่องโหว่ประเภทนั้นๆ ในบัญชีดังกล่าว คุณยังสามารถค้นหาบัญชีอย่างเจาะจงได้โดยการป้อนอักขระลงในช่องค้นหา

แผนภูมิวงกลมจะเปรียบเทียบจำนวนและประเภทของช่องโหว่ที่พบ ซึ่งสามารถใช้ระบุให้เห็นช่องโหว่ด้านรหัสผ่านที่พบบ่อยที่สุดในองค์กรของคุณได้

คุณสามารถกรองผลลัพธ์ตามประเภทความล้มเหลวได้หากต้องการวิเคราะห์ช่องโหว่ประเภทใดประเภทหนึ่ง โดยคลิกที่ประเภทความล้มเหลวที่ต้องการทางด้านซ้ายของหน้าต่าง ซึ่งจะทำให้แถวบัญชีเหลือแต่บัญชีที่มีประเภทความล้มเหลวตามที่เลือกเท่านั้น

ด้านล่างนี้เป็นข้อมูลเพิ่มเติมเกี่ยวกับอินเทอร์เฟซผู้ใช้ของ WPT

  1. คุณสามารถกรองผลลัพธ์ตามประเภทความล้มเหลวได้โดยคลิกที่แถบด้านข้างทางซ้ายของหน้า
  2. คุณสามารถค้นหาบัญชี AD อย่างเจาะจงได้ในแถบค้นหา
  3. เครื่องหมายติ๊กถูกในแต่ละแถวบ่งบอกถึงประเภทของช่องโหว่ด้านรหัสผ่านที่พบสำหรับแต่ละบัญชี
  4. คุณสามารถส่งออกผลลัพธ์เป็นไฟล์สเปรดชีต Excel หรือไฟล์ PDF ได้
  5. คลิก “Rerun Test” (เรียกใช้การทดสอบอีกครั้ง) เพื่อเรียกใช้ WPT อีกครั้ง เราขอแนะนำให้คุณบันทึกผลลัพธ์ปัจจุบันของคุณก่อนที่จะคลิกปุ่มนี้

ประเภทความล้มเหลว

WPT วิเคราะห์ข้อมูลของคุณเพื่อตรวจหาความล้มเหลว 10 ประเภทที่อาจทำให้องค์กรของคุณมีช่องโหว่ให้โจมตี โดยมีรายละเอียดดังต่อไปนี้

  1. Weak Password (รหัสผ่านคาดเดาง่าย): ความล้มเหลวประเภทนี้บ่งชี้ว่าบัญชีที่ได้รับผลกระทบมีรหัสผ่านตรงกับที่ระบุอยู่ในพจนานุกรมรหัสผ่านที่คาดเดาง่ายของเรา รหัสผ่านเหล่านี้อาจเป็นรหัสผ่านที่ใช้กันบ่อยมาก คาดเดาได้ง่าย หรือผู้โจมตีล่วงรู้ไปแล้วเนื่องจากการละเมิดข้อมูลในอดีต
  2. Shared Password (รหัสผ่านที่ใช้ร่วมกัน): ความล้มเหลวประเภทนี้บ่งชี้ว่าบัญชีที่ได้รับผลกระทบใช้รหัสผ่านร่วมกับบัญชีอื่นอย่างน้อยหนึ่งบัญชี
  3. Empty Password (รหัสผ่านว่างเปล่า): ความล้มเหลวประเภทนี้ได้แก่บัญชีที่ไม่ได้มีการตั้งรหัสผ่านเอาไว้
  4. Clear Text Password (รหัสผ่านเป็นข้อความธรรมดา): ความล้มเหลวประเภทนี้ได้แก่รหัสผ่านที่จัดเก็บไว้ในรูปแบบข้อความธรรมดาในไดเร็กทอรี่ที่ใช้งานอยู่ (AD) ซึ่งหมายความว่ารหัสผ่าน AD ของผู้ใช้ถูกจัดเก็บโดยใช้การเข้ารหัสลับที่สามารถถอดรหัสกลับมาได้
  5. Password Not Required (ไม่ต้องใช้รหัสผ่าน): ความล้มเหลวประเภทนี้ได้แก่บัญชีที่สามารถใช้แบบไม่มีรหัสผ่านได้
  6. Password Never Expires (รหัสผ่านไม่มีวันหมดอายุ): ความล้มเหลวประเภทนี้บ่งชี้ว่าบัญชีตั้งค่าการหมดเวลาของรหัสผ่านเป็นศูนย์ ซึ่งการตั้งค่านี้จะทำให้รหัสผ่านไม่มีวันหมดอายุ แม้ว่าจะไม่ได้ทำเครื่องหมายในช่องทำเครื่องหมาย “Password never expires” (รหัสผ่านไม่มีวันหมดอายุ) ในคุณสมบัติของผู้ใช้ก็ตาม ทั้งนี้ WPT จะตรวจสอบการตั้งค่าการหมดอายุของรหัสผ่านในนโยบายโดเมนขององค์กร นโยบายรหัสผ่านแบบละเอียด และคุณสมบัติของผู้ใช้
  7. LM Hash Password (รหัสผ่านใช้แฮช LM): ความล้มเหลวประเภทนี้บ่งชี้ว่าบัญชีที่ได้รับผลกระทบใช้แฮชตัวจัดการเครือข่ายเฉพาะที่ (LAN) ซึ่งเป็นวิธีการที่ล้าสมัย รหัสผ่านเหล่านี้เป็นช่องโหว่ให้ถูกโจมตีด้วยการลองรหัสจนกว่าจะถูก ซึ่งจะถูกถอดรหัสได้อย่างรวดเร็ว
  8. AES Encryption Not Set (ไม่ได้ตั้งค่าการเข้ารหัสลับ AES): ความล้มเหลวประเภทนี้บ่งชี้ว่าบัญชีไม่ได้ใช้มาตรฐานการเข้ารหัสลับขั้นสูง (AES) เพื่อเข้ารหัสลับให้กับรหัสผ่านของผู้ใช้ โดย AES จะเข้ารหัสลับให้กับรหัสผ่านด้วยคีย์ 128 บิตหรือ 256 บิต รหัสผ่านที่ใช้การเข้ารหัสลับ AES จะเสี่ยงต่อการถูกโจมตีน้อยกว่า
  9. DES-Only Encryption (การเข้ารหัสลับแบบ DES เท่านั้น): ความล้มเหลวประเภทนี้บ่งชี้ว่าบัญชีที่ได้รับผลกระทบได้รับการตั้งค่าโดยใช้กลไกมาตรฐานการเข้ารหัสลับข้อมูล (DES) ที่เลิกใช้ไปแล้ว ซึ่งอาจเป็นผลมาจากซอฟต์แวร์เก่าที่ไม่รู้ว่าจะต้องตอบสนองต่อ AES อย่างไร

  10. Missing Pre-Authentication (ไม่มีการตรวจสอบสิทธิ์ล่วงหน้า): ความล้มเหลวประเภทนี้บ่งชี้ว่าบัญชีที่ได้รับผลกระทบได้ปิดใช้งานการตรวจสอบสิทธิ์ล่วงหน้าซึ่งเป็นกลไกการรักษาความปลอดภัย เมื่อเปิดใช้งาน การตรวจสอบสิทธิ์ล่วงหน้าจะสร้างคำขอการตรวจสอบสิทธิ์แบบเข้ารหัสลับ เพื่อให้มีการบันทึกความพยายามในการตรวจสอบสิทธิ์ของบัญชี

    บัญชีนี้อาจเสี่ยงจะถูกโจมตีด้วยการลองรหัสจนกว่าจะถูก การโจมตีนี้อาจเกิดขึ้นแบบออฟไลน์ก็ได้และตรวจจับได้ยาก

การตั้งค่า

คุณสามารถปรับแต่ง WPT ได้โดยใช้ตัวเลือกการตั้งค่าต่างๆ อ่านหัวข้อย่อยด้านล่างนี้เพื่อดูข้อมูลเพิ่มเติม

ช่องโหว่ที่จะใช้หรือไม่ก็ได้

คุณสามารถเปิดหรือปิดใช้งานช่องโหว่ด้านรหัสผ่านจากการสแกน WPT ได้สองรายการ คือ “AES Encryption No Set” (ไม่ได้ตั้งค่าการเข้ารหัสลับ AES) หรือ “Password Never Expires” (รหัสผ่านไม่มีวันหมดอายุ) หากต้องการเข้าถึงการตั้งค่าเหล่านี้ ให้คลิกไอคอนเฟืองที่มุมบนขวาของหน้าต่าง

รหัสผ่านที่กำหนดเอง

WPT ใช้ไลบรารีรหัสผ่านขนาดใหญ่เพื่อตรวจสอบว่ารหัสผ่านของผู้ใช้คาดเดาง่ายหรือไม่ หากมีรหัสผ่านเฉพาะที่คุณต้องการให้รวมอยู่ในการสแกน WPT คุณสามารถนำเข้าไฟล์ข้อความที่ระบุรหัสผ่านเหล่านี้ได้ หากต้องการเข้าถึงการตั้งค่านี้ ให้คลิกไอคอนเฟืองที่มุมบนขวาของหน้าต่าง

ก่อนที่จะนำเข้าไฟล์ข้อความ โปรดตรวจสอบให้แน่ใจว่าไฟล์มีขนาดน้อยกว่า 10 MB และคุณใส่รหัสผ่านในไฟล์เพียงบรรทัดละหนึ่งรหัสเท่านั้น

ภาษา

คุณสามารถเปลี่ยนภาษาของ WPT ได้โดยคลิกชื่อภาษาที่มุมล่างขวาของหน้าต่าง

การรักษาความปลอดภัย

ไดเร็กทอรี่ที่ใช้งานอยู่ (AD) และข้อมูลผู้ใช้ของคุณจะได้รับการดูแลอย่างปลอดภัยในขณะที่ใช้ WPT ผลการทดสอบจะระบุเฉพาะบัญชีผู้ใช้ที่ไม่ผ่านการทดสอบและสาเหตุเท่านั้น เพื่อให้คุณสามารถดำเนินการแก้ไขได้

ด้านล่างนี้คือรายละเอียดเกี่ยวกับวิธีการจัดการข้อมูลของคุณในระหว่างการใช้ WPT

  • จะไม่มีข้อมูลใดจาก AD ของคุณถูกส่งไปยัง KnowBe4 ในขั้นตอนใดก็ตามระหว่างการทดสอบนี้
  • ข้อมูลที่ดึงมาจาก AD ของคุณจะได้รับการเข้ารหัสลับ
  • WPT จะไม่แสดงรหัสผ่านของบัญชีผู้ใช้ AD ใดๆ ของคุณ
  • รหัสผ่านใน AD จะอยู่ในรูปแบบแฮช และรูปแบบแฮชนี้จะไม่ปรากฏให้เห็นในระหว่างการทดสอบ
  • ข้อมูลที่ได้รับในระหว่างการทดสอบจะได้รับการบันทึกไว้ในหน่วยความจำภายในเครื่อง ไม่ใช่ในดิสก์

บทความนี้มีประโยชน์ไหม

17 จาก 19 เห็นว่ามีประโยชน์

ไม่พบสิ่งที่กำลังค้นหาใช่ไหม

ติดต่อฝ่ายสนับสนุน