Okta 密码泄露风险：研究揭示攻击方法

关键要点

• 研究表明，Okta 的审计日志中存储用户密码的风险。
• 用户在用户名字段输入密码时，可能导致密码泄露。
• Okta 声明审计日志仅供管理员访问，但实际情况可能不同。
• 建议使用多因素认证增强安全性。

根据研究人员的说法，Okta 的一种后期利用攻击方法使对手能够在 Okta 审计日志中读取用户的密码。

开发了一种后期利用技术，说明如果用户在用户名字段输入其密码，Okta用户的密码可能会被暴露。此次暴露的风险源于 Okta 记录失败登录尝试的方式，它以明文形式存储用户名于 Okta审计日志中。若用户成功输入凭据，那么其用户名和密码都可能被潜在攻击者利用，研究在周四发布时指出。

是一家受欢迎的身份和访问管理公司，网站显示它拥有超过 17,600个客户，包括美国职业棒球大联盟、Zoom 和惠普等。

Mitiga 的研究中包括了 Okta 的回应，Okta 确认了失败登录尝试确实会记录在日志中，但表示审计日志仅对 Okta 管理员可用。

不过，指出，Okta审计日志通常会转发到集中式安全解决方案，例如安全信息和事件管理（SIEM）解决方案，这使得其他非管理员用户也能读取这些日志。

除了 SIEM，集成了 Okta 的云安全态势管理（CSPM）软件可能请求“只读”管理员角色，从而具备读取审计日志的能力。如果这些服务被攻击，Mitiga的研究人员 Doron Karmi 和 Or Aspir 解释说，攻击者有可能窃取 Okta 用户的凭据。

组织可以使用 SIEM 或分析平台来查找它们的日志存储位置，而 Mitiga 还创建了一个 SQL 查询，以帮助公司识别潜在的风险暴露点。

Karmi 和 Aspir 指出，多因素认证是增强抵御此类攻击的有效方式，但也指出，MFA 并不是万无一失的。

Delinia 的 Tony Goulding 表示，任何以明文形式泄露的信息都是一个需要关注的问题。

但 Keeper Security 的 Zane Bond 认为 Mitiga 揭示的后期利用方法不会达到需要中断当前流程或迫使安全团队解决问题的水平。

Bond 还提到，消费者如果意外将密码输入到用户名字段，可以立即更改密码，而密码管理器将有效保护用户避免第一次发生这一错误。