脆弱密碼原則 - 鎖定臨界值
HIGH
語言:
說明
針對暴力密碼破解攻擊的一種常見保護措施是: 在登入失敗達到定義次數後,系統將鎖定帳戶。不過,若鎖定臨界值過高,攻擊者就能在遭到封鎖前嘗試更多密碼,導致未經授權存取帳戶和敏感資料的風險增加。
Tenable Identity Exposure 會依下列方式分析密碼原則:
- 僅在設定已啟用的情況下評估設定值。
- 對於預設原則,若設定已停用或設定值有風險,便會回報為錯誤設定。這是因為預設原則做為備援機制,應以安全值定義所有相關設定,成為最後一道防線。
Tenable Identity Exposure 僅在對應的曝險指標 (IoE) 參數亦停用時,才會分析已停用的密碼原則。
解決方案
您必須降低回報的密碼原則中設定的鎖定臨界值。
Okta 建議的標準值為 10,這也是此曝險指標中的預設值。Tenable 建議選取的值應符合貴組織的風險承受能力,以及所屬產業和所在地區的相關業界標準和監管要求。請留意對終端使用者體驗的影響,因為使用者有時可能會手誤或混淆密碼。
接下來,在曝險指標 (IoE) 參數中設定最適當的數值。
如需正確設定報告密碼原則的指南,請參閱 Okta 的官方說明文件。
指標詳細資料
名稱: 脆弱密碼原則 - 鎖定臨界值
代碼名稱: WEAK-PASSWORD-POLICY-LOCKOUT-THRESHOLD-OKTA
嚴重性: High
類型: Okta Indicator of Exposure