Okta，一家身份和访问管理软件提供商，最近在其产品中发现了一个重要的安全漏洞。这个漏洞允许任何超过52个字符的用户名绕过登录验证。慢雾首席信息安全官23pds在一篇文章中详细描述了这个问题。
Okta的AD/LDAP DelAuth在生成缓存密钥时存在一个内部错误。这个错误是由于使用了Bcrypt算法，该算法会对userId、用户名和密码的组合字符串进行哈希处理。在某些特定情况下，这可能会导致用户仅通过提供一个先前成功验证过的存储的缓存密钥，就可以进行身份验证。
这个漏洞的存在有一个前提，那就是每次为用户生成缓存密钥时，用户名必须等于或超过52个字符。这意味着，只要用户名足够长，攻击者就有可能绕过正常的登录验证。
然而，Okta已经意识到了这个问题，并在其生产环境中进行了修复。受影响的产品和版本是截至2024年7月23日的Okta AD/LDAP DelAuth。这个漏洞已经被解决，用户无需担心。