Connexion suspecte utilisant un mot de passe divulgué
Cette détection indique qu‘un utilisateur s‘est connecté avec succès à Okta en utilisant un mot de passe qui a été identifié lors d‘une campagne de pulvérisation de mot de passe.
Niveau de risque de détection : moyen
Cette détection signifie que soit une personne malveillante a pu saisir un mot de passe falsifié pour se connecter, soit qu‘un utilisateur valide s‘est connecté avec un mot de passe identifié lors d‘une campagne de pulvérisation de mot de passe.
Stratégie MITRE
technique MITRE
Force brute : pulvérisation de mots de passe
Configuration de la politique
Dans votre politique de risques pour l'entité, définissez ces conditions :
- Détection : connexion suspecte utilisant un mot de passe divulgué
- Effectuer cette action : Universal Logout, et exécutez un Workflow pour faire expirer le mot de passe de l‘utilisateur.
Interrogation du journal système
eventType eq "user.risk.detect" and debugContext.debugData.risk co
"detectionName=Suspicious Login Using A Sprayed Password"
Politique de remédiation
- Action automatisée de votre politique de risque pour l‘entité : le mot de passe de l‘utilisateur expire immédiatement, et il doit en définir un nouveau lors de sa prochaine connexion. Si l‘utilisateur ne se connecte pas (et ne réinitialise donc pas son mot de passe), son mot de passe reste exposé.
- Action supplémentaire : configurez la Règle d‘Expiration du mot de passe pour la politique de gestion de compte Okta afin d‘appliquer une MFA lors des réinitialisations de mot de passe .