Amazon авторизует по "похожим" паролям

комментировать
версия для печати

Несколько дней назад один из пользователей Reddit обнаружил, что система входа на сайт Amazon ведёт себя странно. Оказалось, что ей можно было с равным успехом скормить как правильный пароль, так и схожую с ним строку символов.

Эксперименты выявили, что проблема затрагивает только пароли, которые были заведены достаточно давно (точное время установить не удалось). Если длина такого пароля составляет 8 или больше символов, то его может заменить любая строка, состоящая из первых восьми символов правильного пароля. В дополнение к этому символы могут быть введены в любом регистре.

Например, если пользователь когда-то завёл себе пароль "webplanet", то вместо него можно вводить "webplaneta", "webplane","webplane123", "WebPLaneT", "wEBplanE54" и т.п. Такое, во всяком случае, следует из описания на Reddit (нам удалось убедиться в том, что имеет место регистронезависимость, однако обрезание 10-символьного пароля до 8 литер почему-то не привело к обещанному результату).

Выяснилось также, что "новые" пароли не страдают данным недостатком. Это означает, что пользователи могут изменить свой пароль на точно такой же, и тогда в их учётную запись нельзя будет войти, введя "схожий" пароль. Эксперты "Вебпланеты" так и рекомендуют сделать всем, кто зарегистрирован на "Амазоне" (конечно, речь идёт только об "устойчивых" паролях, потому что если у вас пароль типа "qwerty", то вряд ли имеет смысл заморачиваться).

В Amazon пока никак не прокомментировали ситуацию. В обсуждении на reddit высказываются предположения о том, что устаревшая система хранения и сверки паролей основывается на Unix-функции crypt(), обрезающей длинные пароли, совместно с предварительным их преобразованием в верхний или нижний регистр. Похоже, что некоторое время назад на "Амазоне" усилили защиту для новых паролей, сохранив поддержку старой схемы.

Другие новости