In einem der wohl bizarrsten Sicherheitshinweise der letzten Zeit hat der Authentifizierungsanbieter Okta bestätigt, dass Benutzernamen mit 52 oder mehr Zeichen bedeuten, dass jeder auf das „geschützte“ Konto zugreifen kann, ohne das Passwort zu kennen. Ja. Ernsthaft.
Der Okta-Sicherheitshinweis
Da ich einen Job habe, der das Lesen vieler Sicherheitshinweise erfordert, gebe ich gerne zu, dass mich nicht mehr viel schockiert. Aber der am 1. November veröffentlichte Sicherheitshinweis des Authentifizierungskolosses Okta hat genau das und noch mehr getan. Der Titel war langweilig genug“Okta AD/LDAP Delegierte Authentifizierung – Sicherheitshinweis für Benutzernamen mit mehr als 52 Zeichen„Aber, oh Mann, hat der Inhalt geliefert?
Es war nicht die Schwachstelle selbst, die bei der Cache-Schlüsselgenerierung mithilfe eines Crypt-Algorithmus an sich entdeckt wurde. Es waren die „besonderen Bedingungen“, unter denen sich „Benutzer authentifizieren konnten, indem sie nur den Benutzernamen angaben“, wenn ein zwischengespeicherter Schlüssel einer früheren erfolgreichen Authentifizierungssitzung gespeichert war, die mich ganz große Augen und Unruhe erregten.
„Eine Voraussetzung für diese Sicherheitslücke ist, dass der Benutzername mindestens 52 Zeichen lang sein muss, wenn ein Cache-Schlüssel für den Benutzer generiert wird.“
Ja, Sie haben richtig gelesen: Ein Benutzername mit einer Länge von mindestens 52 Zeichen würde bedeuten, dass kein Passwort eingegeben werden muss, um auf das Konto oder die Ressource zuzugreifen, die durch die Okta-Authentifizierung geschützt wird.
Die betroffene Produktversion ist Okta AD/LDAP DelAuth mit Stand vom 23. Juli 2024. Okta gab an, die Schwachstelle am 30. Oktober entdeckt und noch am selben Tag behoben zu haben. „Kunden, die die Voraussetzungen erfüllen, sollten ihr Organisationssystemprotokoll zwischen dem 23. Juli 2024 und dem 30. Oktober 2024 auf dieses Problem untersuchen“, sagte Okta.
Ich habe Okta um eine Stellungnahme gebeten, aber zum Zeitpunkt der Veröffentlichung war keine verfügbar.
Obwohl dies natürlich ein ernstes Problem ist, sollte man bedenken, dass die Anzahl der Personen mit Benutzernamen mit 52 Zeichen oder mehr gelinde gesagt gering sein wird. Wir sollten jedoch nicht die Schwere der Tatsache unterschätzen, dass eine solche Sicherheitslücke in einem Produkt eines Authentifizierungsunternehmens wie Okta vorhanden sein sollte, selbst wenn es nur für ein paar Monate ist.
Bei den meisten Online-Benutzernamengeneratoren, die ich ausprobiert habe, können Sie nicht einmal 52 Zeichen als Länge angeben. Es wäre interessant zu wissen, wie viele Benutzer tatsächlich von Okta betroffen waren.