Een kwetsbaarheid bij inlogdienst Okta zorgde ervoor dat bij lange gebruikersnamen van 52 karakters of meer elk wachtwoord werd geaccepteerd. Dat heeft de dienst zelf bekendgemaakt. Het probleem is inmiddels verholpen. Okta biedt een platform waar wereldwijd duizenden bedrijven gebruik van maken om werknemers toegang tot systemen en applicaties te geven.
In de berichtgeving aan klanten laat Okta weten dat de kwetsbaarheid zich bevond in 'AD/LDAP DelAuth'. Delegated authentication (DelAuth) laat gebruikers inloggen bij Okta door de inloggegevens in te voeren van de Lightweight Directory Access Protocol (LDAP) user store van hun organisatie. Het laat gebruikers ook inloggen door de inloggegevens te gebruiken van de Active Directory (AD) of Windows networked single sign-on (SSO) van hun organisatie.
"Voor Okta orgs zonder MFA sign-on policies, gebruikmakend van gebruikersnamen van 52 karakters of meer, konden gebruikers inloggen door alleen de gebruiksnaam op te geven, ongeacht het ingevoerde wachtwoord", aldus het bericht aan klanten. Het beveiligingslek was sinds 23 juli in de betreffende inlogdienst aanwezig en klanten worden opgeroepen om te controleren of hier de afgelopen maanden geen misbruik van is gemaakt.
In een beveiligingsbulletin laat Okta weten dat het probleem ontstond bij het genereren van de cache key voor AD/LDAP DelAuth. "Het Bcrypt-algoritme werd gebruikt voor het genereren van de cache key, waarbij we een gecombineerde string van userid + gebruikersnaam + wachtwoord hashen. In bepaalde gevallen zorgde dit ervoor dat gebruikers konden inloggen door alleen de gebruikersnaam met de opgeslagen cache key van een vorige succesvolle authenticatie aan te bieden." Als oplossing voor het probleem is Okta overgestapt van het Bcrypt-algoritme naar PBKDF2.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.