Okta 安全漏洞允许用户绕过密码认证

星阁 财经

Westend61 via Getty Images

Okta 在一项新的安全公告中披露,其系统存在一个漏洞,允许用户无需提供正确密码即可登录帐户。如果帐户的用户名包含 52 个或更多字符,Okta 会绕过密码认证。此外,其系统还必须检测到先前成功认证的“存储缓存密钥”,这意味着该帐户的所有者必须有使用该浏览器登录的历史记录。根据该公司发给用户的通知,该问题不会影响需要多因素认证的组织。

尽管如此,猜测一个 52 个字符的用户名仍然比随机密码容易——它可能就像一个人的电子邮件地址那样简单,其中包含他们的全名和组织的网站域名。该公司承认,该漏洞是作为 2024 年 7 月 23 日发布的标准更新的一部分引入的,并且直到 10 月 30 日才发现(并修复)了该问题。该公司现在建议满足所有漏洞条件的客户在过去几个月内检查他们的访问日志。

Okta 的软件作用

Okta 提供的软件可以帮助企业轻松地将认证服务添加到自己的应用程序中。对于拥有多个应用程序的组织来说,它允许用户访问单一、统一的登录方式,这样他们就不必为每个应用程序验证自己的身份。该公司没有透露是否知悉任何受此特定问题影响的人员,但它承诺在威胁组织 Lapsus$ 访问多个用户帐户后,未来会“与客户更快速地沟通”。

原创文章,作者:星阁,如若转载,请注明出处:http://www.xgrl.net/n/202411040918254705.shtml

(0)
星阁星阁
0
上一篇 1天前
下一篇 1天前

相关推荐

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注

记住昵称、邮箱和网址,下次评论免输入