Empresas que utilizem o sistema de autenticação da Okta poderão ser surpreendidas ao descobrir que, um utilizador com um nome longo (52 caracteres ou mais), poderá entrar na conta sem necessitar de password.
A falha parece estar relacionada com o facto da função bcrypt hash ignorar valores a partir de certa dimensão, pelo no caso de quem a aplicar directamente a um conjunto "nome + password" corre o risco da parte da password ser completamente ignorada se a parte do nome for demasiado longa.
A única atenuante neste caso é que isto não permitia ultrapassar a autenticação 2FA, caso estivesse activada, o que vem relembrar a necessidade de recorrer a esse método de validação adicional sempre que possível - pois está visto que uma única e simples password, por mais segura que seja, não é elemento suficiente nos dias de hoje.reminder that the bcrypt hash function ignores input above a certain length! so if you do bcrypt(username || password) for some reason, a sufficiently long username will make it accept any password. to fix this you can sha256 the input first. https://t.co/UqqSFsT2kh
— yan (@bcrypt) November 2, 2024
Sem comentários:
Enviar um comentário