Connexion suspecte utilisant un mot de passe divulgué

Cette détection indique qu‘un utilisateur s‘est connecté avec succès à Okta en utilisant un mot de passe qui a été identifié lors d‘une campagne de pulvérisation de mot de passe.

Niveau de risque de détection : moyen

Cette détection signifie que soit une personne malveillante a pu saisir un mot de passe falsifié pour se connecter, soit qu‘un utilisateur valide s‘est connecté avec un mot de passe identifié lors d‘une campagne de pulvérisation de mot de passe.

Stratégie MITRE

Accès aux identifiants

technique MITRE

Force brute : pulvérisation de mots de passe

Configuration de la politique

Dans votre politique de risques pour l'entité, définissez ces conditions :

  • Détection : connexion suspecte utilisant un mot de passe divulgué
  • Effectuer cette action : Universal Logout, et exécutez un Workflow pour faire expirer le mot de passe de l‘utilisateur.

Interrogation du journal système

eventType eq "user.risk.detect" and debugContext.debugData.risk co
          "detectionName=Suspicious Login Using A Sprayed Password"
Politique de remédiation
  • Action automatisée de votre politique de risque pour l‘entité : le mot de passe de l‘utilisateur expire immédiatement, et il doit en définir un nouveau lors de sa prochaine connexion. Si l‘utilisateur ne se connecte pas (et ne réinitialise donc pas son mot de passe), son mot de passe reste exposé.
  • Action supplémentaire : configurez la Règle d‘Expiration du mot de passe pour la politique de gestion de compte Okta afin d‘appliquer une MFA lors des réinitialisations de mot de passe .