脆弱密碼原則 - 鎖定臨界值

HIGH

說明

針對暴力密碼破解攻擊的一種常見保護措施是: 在登入失敗達到定義次數後,系統將鎖定帳戶。不過,若鎖定臨界值過高,攻擊者就能在遭到封鎖前嘗試更多密碼,導致未經授權存取帳戶和敏感資料的風險增加。

Tenable Identity Exposure 會依下列方式分析密碼原則:

  • 僅在設定已啟用的情況下評估設定值。
  • 對於預設原則,若設定已停用或設定值有風險,便會回報為錯誤設定。這是因為預設原則做為備援機制,應以安全值定義所有相關設定,成為最後一道防線。

Tenable Identity Exposure 僅在對應的曝險指標 (IoE) 參數亦停用時,才會分析已停用的密碼原則。

解決方案

您必須降低回報的密碼原則中設定的鎖定臨界值。

Okta 建議的標準值為 10,這也是此曝險指標中的預設值。Tenable 建議選取的值應符合貴組織的風險承受能力,以及所屬產業和所在地區的相關業界標準和監管要求。請留意對終端使用者體驗的影響,因為使用者有時可能會手誤或混淆密碼。

接下來,在曝險指標 (IoE) 參數中設定最適當的數值。

如需正確設定報告密碼原則的指南,請參閱 Okta 的官方說明文件

指標詳細資料

名稱: 脆弱密碼原則 - 鎖定臨界值

代碼名稱: WEAK-PASSWORD-POLICY-LOCKOUT-THRESHOLD-OKTA

嚴重性: High

類型: Okta Indicator of Exposure

MITRE ATT&CK 資訊: