Okta 登录漏洞跳过了密码检查

Okta 是全球领先的单点登录服务和身份管理提供商之一，该公司在 10 月底透露，公司已经修复了其服务中的一个漏洞，该漏洞可能会造成严重的安全威胁。 严重的安全威胁.从本质上讲，该漏洞跳过了对用户名长度超过 52 个字符的任何账户的密码检查。坏人只要输入正确的用户名，就有可能进入这些账户，即使他们提供的密码是错误的，甚至是不存在的。当然，这是假定密码是相关账户的唯一保护措施。

该漏洞是在 2024 年 7 月底推出的一次更新中引入的，大约三个月后被发现并修复。该漏洞未被广泛报道，需要一段时间才能发现并修复。任何登录门户网站的绝大多数用户名都在 52 个字符以下，但有些用户名，如包含某人的名和姓及其公司电子邮件域的用户名，可能会突破这一限制。该漏洞依赖于多因素身份验证未启用和运气；在这种情况下，登录是通过缓存上一次成功登录的加密密钥来验证的。这就意味着，如果登录尝试在缓存加载之前击中了 Okta 的主身份验证服务器，就有机会被捕获并阻止。

允许使用这种漏洞的情况相对较少，这意味着它造成混乱的可能性并不大，但这种情况发生在像 Okta 这样的公司身上就很说明问题了。 安全风险比比皆是因此，该公司警告所有用户，无论是否受到影响，都要在设置现有保护措施的同时设置多因素身份验证。许多登录服务都要求用户设置某种二次授权，作为创建和验证新账户的条件，因此像这样可能造成灾难性后果的漏洞对普通用户来说只是一个警示。