Amazon авторизує по схожих паролях

admin Новини ІТ-безпеки

Amazon авторизує по схожих пароляхКілька днів тому один з користувачів Reddit виявив, що система входу на сайт Amazon веде себе дивно. Виявилося, що їй можна було з рівним успіхом згодувати як правильний пароль, так і схожий з ним рядок символів.

Експерименти виявили, що проблема зачіпає тільки паролі, які були заведені досить давно (точний час встановити не вдалося). Якщо довжина такого пароля становить 8 або більше символів, то його може замінити будь-який рядок, що складається з перших восьми символів правильного пароля. На додаток до цього символи можуть бути введені в будь-якому регістрі.

Наприклад, якщо користувач колись завів собі пароль "webplanet", то замість нього можна вводити "webplaneta", "webplane", "webplane123", "WebPLaneT", "wEBplanE54" і т.п. Таке, в усякому разі, випливає з опису на Reddit (нам вдалося переконатися в тому, що має місце регістронзалежність, проте обрізання 10-символьного пароля до 8 літер чомусь не призвело до обіцяного результату).(Раджу також почитати - Trojan.Winlock достукався до ЖЖ)

З'ясувалося також, що "нові" паролі не страждають даним недоліком. Це означає, що користувачі можуть змінити свій пароль на точно такий же, і тоді в їх обліковий запис не можна буде увійти, ввівши "схожий" пароль. Експерти рекомендують зробити так всім, хто зареєстрований на "Амазон" (звичайно, мова йде тільки про "стійкі" паролі, тому що якщо у вас пароль типу "qwerty", то навряд чи має сенс морочитися).

У Amazon поки ніяк не прокоментували ситуацію. В обговоренні на reddit висловлюються припущення про те, що застаріла система зберігання та звірки паролів грунтується на Unix-функції crypt (), що обрізає довгі паролі, спільно з попереднім їх перетворенням у верхній або нижній регістр. Схоже, що деякий час тому на "Амазон" підсилили захист для нових паролів, зберігши підтримку старої схеми.