Inlogdienst Okta accepteerde elk wachtwoord in bepaalde situaties

Toegevoegd door - Ariën -, 1 maand geleden

Inlogdienst Okta accepteerde elk wachtwoord in bepaalde situatiesEen recent beveiligingslek bij de inlogdienst Okta stelde gebruikers in staat om zonder correct wachtwoord toegang te krijgen, zolang hun gebruikersnaam uit 52 tekens of meer bestond. Dit probleem is inmiddels verholpen, maar Okta heeft het incident zelf bekendgemaakt om transparantie naar haar klanten te tonen. De kwetsbaarheid trof een groot aantal bedrijven wereldwijd die Okta gebruiken om werknemers toegang te verlenen tot bedrijfsapplicaties en -systemen. Het probleem deed zich voor in een specifieke Okta-authenticatiemodule genaamd 'AD/LDAP DelAuth'. Deze module maakt het mogelijk om gebruikers te laten inloggen met inloggegevens uit hun eigen LDAP-user store, Active Directory (AD) of een Windows SSO-netwerk. Met DelAuth kunnen gebruikers Okta inloggen met de bestaande inloggegevens van hun eigen organisatie, wat zorgt voor een naadloze integratie tussen Okta en bedrijfsnetwerken.

Volgens Okta konden gebruikers zonder multi-factor authenticatie (MFA) en met lange gebruikersnamen inloggen, zelfs als het ingevoerde wachtwoord onjuist was. Dit beveiligingslek was actief sinds 23 juli en Okta heeft klanten opgeroepen om te controleren of er geen ongeautoriseerde toegang heeft plaatsgevonden tijdens deze periode. Het probleem lag specifiek bij gebruikersnamen van 52 karakters of langer en betrof alleen organisaties zonder MFA.

Okta verklaarde dat het probleem te wijten was aan het gebruik van het Bcrypt-algoritme voor het genereren van cache keys in AD/LDAP DelAuth. Hierbij werd een combinatie van userid, gebruikersnaam en wachtwoord gehasht, wat leidde tot een kwetsbare cache key voor eerdere succesvolle authenticaties. Om deze kwetsbaarheid op te lossen, heeft Okta het Bcrypt-algoritme vervangen door PBKDF2, wat meer veiligheid biedt bij het genereren van de cache key en toekomstige risico's moet minimaliseren.

Bron: Security.nl

Gerelateerde nieuwsberichten

16/01/2020 130.000 WordPress-sites kwetsbaar door lek in plug-in
31/12/2017 Magento-webwinkels vatbaar voor lek in Helpdesk-software
12/04/2014 Beveiligingsonderzoekers verkregen toegang tot servers Google

 

Er zijn geen reacties op 'Inlogdienst okta accepteerde elk wachtwoord in bepaalde situaties'

Om te reageren heb je een account nodig en je moet ingelogd zijn.

Labels

PHP nieuws opties

 
 

Om de gebruiksvriendelijkheid van onze website en diensten te optimaliseren maken wij gebruik van cookies. Deze cookies gebruiken wij voor functionaliteiten, analytische gegevens en marketing doeleinden. U vindt meer informatie in onze privacy statement.