Несколько дней назад один из пользователей Reddit обнаружил, что система входа на сайт Amazon ведёт себя странно. Оказалось, что ей можно было с равным успехом скормить как правильный пароль, так и схожую с ним строку символов.
Эксперименты выявили, что проблема затрагивает только пароли, которые были заведены достаточно давно (точное время установить не удалось). Если длина такого пароля составляет 8 или больше символов, то его может заменить любая строка, состоящая из первых восьми символов правильного пароля. В дополнение к этому символы могут быть введены в любом регистре.
Например, если пользователь когда-то завёл себе пароль «webplanet», то вместо него можно вводить «webplaneta», «webplane»,«webplane123», «WebPLaneT», «wEBplanE54» и т.п. Такое, во всяком случае, следует из описания на Reddit (нам удалось убедиться в том, что имеет место регистронезависимость, однако обрезание 10-символьного пароля до 8 литер почему-то не привело к обещанному результату).
Выяснилось также, что «новые» пароли не страдают данным недостатком. Это означает, что пользователи могут изменить свой пароль на точно такой же, и тогда в их учётную запись нельзя будет войти, введя «схожий» пароль. Эксперты «Вебпланеты» так и рекомендуют сделать всем, кто зарегистрирован на «Амазоне» (конечно, речь идёт только об «устойчивых» паролях, потому что если у вас пароль типа «qwerty», то вряд ли имеет смысл заморачиваться).
В Amazon пока никак не прокомментировали ситуацию. В обсуждении на reddit высказываются предположения о том, что устаревшая система хранения и сверки паролей основывается на Unix-функции crypt(), обрезающей длинные пароли, совместно с предварительным их преобразованием в верхний или нижний регистр. Похоже, что некоторое время назад на «Амазоне» усилили защиту для новых паролей, сохранив поддержку старой схемы.
©
Эксперименты выявили, что проблема затрагивает только пароли, которые были заведены достаточно давно (точное время установить не удалось). Если длина такого пароля составляет 8 или больше символов, то его может заменить любая строка, состоящая из первых восьми символов правильного пароля. В дополнение к этому символы могут быть введены в любом регистре.
Например, если пользователь когда-то завёл себе пароль «webplanet», то вместо него можно вводить «webplaneta», «webplane»,«webplane123», «WebPLaneT», «wEBplanE54» и т.п. Такое, во всяком случае, следует из описания на Reddit (нам удалось убедиться в том, что имеет место регистронезависимость, однако обрезание 10-символьного пароля до 8 литер почему-то не привело к обещанному результату).
Выяснилось также, что «новые» пароли не страдают данным недостатком. Это означает, что пользователи могут изменить свой пароль на точно такой же, и тогда в их учётную запись нельзя будет войти, введя «схожий» пароль. Эксперты «Вебпланеты» так и рекомендуют сделать всем, кто зарегистрирован на «Амазоне» (конечно, речь идёт только об «устойчивых» паролях, потому что если у вас пароль типа «qwerty», то вряд ли имеет смысл заморачиваться).
В Amazon пока никак не прокомментировали ситуацию. В обсуждении на reddit высказываются предположения о том, что устаревшая система хранения и сверки паролей основывается на Unix-функции crypt(), обрезающей длинные пароли, совместно с предварительным их преобразованием в верхний или нижний регистр. Похоже, что некоторое время назад на «Амазоне» усилили защиту для новых паролей, сохранив поддержку старой схемы.
©
