Okta安全事件:Bcrypt算法的长度限制漏洞
2025-02-05
Okta的安全事件源于其使用的Bcrypt算法对输入长度的处理方式。Bcrypt算法最大支持72个字符,超过部分会被忽略,导致仅需猜测部分用户名和缓存密钥即可登录。文章分析了Go、Java、JavaScript、Python和Rust等语言中Bcrypt库的实现,发现许多库未对输入长度进行有效验证,存在安全风险。作者呼吁改进API设计,明确拒绝无效输入,避免此类安全漏洞。
开发
Bcrypt