Notebookcheck Logo

Luka w zabezpieczeniach logowania Okta pomijała sprawdzanie haseł

Źródło obrazu: Wygenerowano przez AI
Źródło obrazu: Wygenerowano przez AI
Okta, jeden z najczęściej używanych dostawców usługi jednokrotnego logowania (SSO), ujawnił niedawno poważną lukę w zabezpieczeniach, która została naprawiona pod koniec października. Luka dotyczyła każdego konta z nazwą użytkownika składającą się z 52 znaków lub dłuższą. Przy takiej długości, usługa po prostu pomijała sprawdzanie hasła.
Security

Okta, jeden z wiodących na świecie dostawców usług pojedynczego logowania i zarządzania tożsamością, ujawnił pod koniec października, że firma naprawiła błąd w swojej usłudze, który powodował potencjalnie poważne zagrożenie bezpieczeństwa poważne zagrożenie bezpieczeństwa. Zasadniczo błąd pomijał sprawdzanie hasła dla każdego konta z nazwą użytkownika dłuższą niż 52 znaki. Źli aktorzy mogli potencjalnie dostać się na te konta po prostu wpisując poprawną nazwę użytkownika, nawet jeśli podane przez nich hasło było błędne lub nawet nie istniało. Zakłada to oczywiście, że hasło jest jedynym zabezpieczeniem danego konta.

Błąd został wprowadzony w aktualizacji, która pojawiła się pod koniec lipca 2024 roku, a został zauważony i naprawiony około trzy miesiące później. Błąd nie był powszechnie zgłaszany, a jego zauważenie i usunięcie zajęło trochę czasu. Zdecydowana większość nazw użytkowników dla dowolnego portalu logowania ma zwykle mniej niż 52 znaki, chociaż niektóre, takie jak te, które zawierają czyjeś imię i nazwisko, a także firmową domenę e-mail, mogą przekroczyć ten limit. Luka polegała na tym, że uwierzytelnianie wieloskładnikowe nie było włączone i na szczęściu w losowaniu; logowania w tym przypadku były uwierzytelniane przez pamięć podręczną zaszyfrowanego klucza z poprzedniego udanego logowania. Oznaczało to, że jeśli próba logowania trafiła na główny serwer uwierzytelniania Okta przed załadowaniem pamięci podręcznej, miała szansę zostać przechwycona i zatrzymana.

Stosunkowo wąski zestaw okoliczności, które pozwoliłyby na wykorzystanie tego exploita, oznaczał, że jego potencjał do wywołania chaosu nie był duży, ale fakt, że przytrafiło się to firmie takiej jak Okta, jest wymowny. Zagrożenia bezpieczeństwa w wielu formach w dzisiejszym cyfrowym świecie i w związku z tym firma ostrzegła wszystkich użytkowników, dotkniętych lub nie, aby skonfigurowali uwierzytelnianie wieloskładnikowe wraz z wszelkimi istniejącymi zabezpieczeniami. Wiele usług logowania wymaga od użytkowników skonfigurowania pewnego rodzaju dodatkowej autoryzacji jako warunku utworzenia i weryfikacji nowego konta, co sprawia, że potencjalnie katastrofalny exploit, taki jak ten, jest czymś więcej niż tylko przestrogą dla przeciętnego użytkownika.

Źródło(a)

Please share our article, every link counts!
Mail Logo
> laptopy testy i recenzje notebooki > Nowinki > Archiwum v2 > Archiwum 2024 11 > Luka w zabezpieczeniach logowania Okta pomijała sprawdzanie haseł
Daniel Fuller, 2024-11- 8 (Update: 2024-11- 8)