పొడవాటి పేరు ఎందుకు? Okta 52-అక్షరాల వినియోగదారు పేర్లను ప్రభావితం చేసే ప్రమాణీకరణ బైపాస్ బగ్ని వెల్లడిస్తుంది
పొడవాటి పేర్లు ఉన్నవారికి మరియు/లేదా వెర్బోస్ డొమైన్ పేర్లతో ఉన్న యజమానులకు చెడు వార్తల్లో, Okta ఒక భద్రతా లోపాన్ని గుర్తించింది, ఇది నేరస్థులు Okta యొక్క AD/LDAP డెలిగేటెడ్ అథెంటికేషన్ (DelAuth)ని కేవలం వినియోగదారు పేరును ఉపయోగించి దాటవేయడానికి అనుమతించింది.
అయితే పొడవైన వినియోగదారు పేర్లతో ఉన్నవారికి ఇది ఎందుకు చెడ్డ వార్త? సరే, ఎందుకంటే షరతుల శ్రేణిని కలుసుకున్నప్పుడు మాత్రమే బగ్ని ఉపయోగించుకోవచ్చు, అందులో ఒకటి 52 అక్షరాలు లేదా అంతకంటే ఎక్కువ ఉన్న వినియోగదారు పేరు.
ఈ పరిస్థితి నిస్సందేహంగా అన్నింటికంటే అసాధారణమైనది, అయితే వినియోగదారు యొక్క కార్యాలయ ఇమెయిల్ చిరునామాను వారి వినియోగదారు పేరుగా ఉపయోగించినట్లయితే పూర్తిగా ప్రశ్న లేదు.
Bcrypt అల్గారిథమ్ ద్వారా రూపొందించబడిన అనుబంధిత కాష్ కీతో సహా లక్ష్య ఖాతా ఇప్పటికే విజయవంతమైన లాగిన్ ప్రయత్నం నిల్వ చేయబడినప్పుడు మాత్రమే దోపిడీ కూడా పని చేస్తుంది. ఈ కీ యూజర్ యొక్క యూజర్ ఐడి, యూజర్ నేమ్ మరియు పాస్వర్డ్ యొక్క హాష్ స్ట్రింగ్ను కలిగి ఉంటుందని Okta తెలిపింది.
ఈ కాష్ని కూడా ముందుగా ఉపయోగించాల్సి ఉంటుంది, “AD/LDAP ఏజెంట్ డౌన్లో ఉంటే లేదా చేరుకోలేకపోతే సంభవించవచ్చు, ఉదాహరణకు అధిక నెట్వర్క్ ట్రాఫిక్ కారణంగా సంభవించవచ్చు” అని Okta తన సలహాలో పేర్కొంది. మరియు ఇంకొక హెచ్చరిక ఏమిటంటే, బగ్ సక్రియంగా ఉండటానికి బహుళ-కారకాల ప్రమాణీకరణ (MFA) కూడా నిలిపివేయబడాలి/ఎప్పటికీ అమలు చేయకూడదు.
Okta అక్టోబర్ 30న సమస్యను కనుగొంది మరియు అదే రోజున దాన్ని పరిష్కరించింది, అయితే ఆ సమయంలో సమస్య కేవలం మూడు నెలలకు పైగా కొనసాగుతోంది.
జూలై 23 నుండి 52 లేదా అంతకంటే ఎక్కువ అక్షరాలతో వినియోగదారు పేర్లను ఉపయోగించి ఏదైనా ప్రామాణీకరణ ప్రయత్నాల కోసం వారి రికార్డులను తనిఖీ చేయాలని భద్రతా సంస్థ వినియోగదారులకు సూచించింది.
“అదనంగా, Okta కస్టమర్లందరూ అమలు చేయాలని Okta సిఫార్సు చేస్తోంది AMF కనిష్టంగా,” కంపెనీ జోడించింది. “ఫిషింగ్-రెసిస్టెంట్ ఆథెంటికేటర్లలో (Okta Verify FastPass, FIDO2 WebAuthn, లేదా PIV/CAC స్మార్ట్ కార్డ్లు వంటివి) వినియోగదారులను నమోదు చేయమని మరియు అమలు చేయమని మేము కస్టమర్లను గట్టిగా ప్రోత్సహిస్తాము. ఫిషింగ్ అన్ని అప్లికేషన్లకు యాక్సెస్ కోసం ప్రతిఘటన.”
ధైర్యవంతుడైన సెక్యూరిటీ ఇంజనీర్ యాన్ ఝూ అన్నాడు bcrypt అల్గోరిథం నిర్దిష్ట పొడవు తర్వాత ఇన్పుట్ను విస్మరిస్తుంది కాబట్టి, వినియోగదారు పేరు మరియు పాస్వర్డ్ జతను హ్యాష్ చేయడానికి bcrypt ఉపయోగించినట్లయితే, తగినంత పొడవు వినియోగదారు పేరు ఏదైనా అర్థం అవుతుంది పాస్వర్డ్ ఆమోదించబడింది.
SHA-256 అల్గారిథమ్ ద్వారా ఇన్పుట్ను పంపడం వల్ల దీనిని తగ్గించవచ్చని ఆమె చెప్పారు. ®
