2024/11/03

Falha da Okta permita logins sem password em nomes com mais de 52 caracteres

Em mais uma "inimaginável" falha de segurança, a Okta alertou para um problema no seu sistema de autenticação, que permitia fazer login sem passwords em contas em que o nome de utilizador tivesse 52 ou mais caracteres.

Empresas que utilizem o sistema de autenticação da Okta poderão ser surpreendidas ao descobrir que, um utilizador com um nome longo (52 caracteres ou mais), poderá entrar na conta sem necessitar de password.

A falha parece estar relacionada com o facto da função bcrypt hash ignorar valores a partir de certa dimensão, pelo no caso de quem a aplicar directamente a um conjunto "nome + password" corre o risco da parte da password ser completamente ignorada se a parte do nome for demasiado longa.
A única atenuante neste caso é que isto não permitia ultrapassar a autenticação 2FA, caso estivesse activada, o que vem relembrar a necessidade de recorrer a esse método de validação adicional sempre que possível - pois está visto que uma única e simples password, por mais segura que seja, não é elemento suficiente nos dias de hoje.

Sem comentários:

Enviar um comentário (problemas a comentar?)