Amazon:「類似パスワードでもログイン可能」問題
ネバダ州のAmazon倉庫で撮影。Scott Sady/AP.
Amazon.comのパスワード・システムに問題があり、実際のパスワードに近い「類似のパスワード」でもログインできることがわかった。
この問題は、パスワードの大文字と小文字の違いを見ず、また、8番目の文字の後に別の文字を付け足してもログインできるというものだ。たとえば、パスワードが「Password」だったとしたら、"PASSWORD" "password" "passwordpassword" "password12345"等でもログインできる。
この問題は、最初Reddit上で報告された。
Reddit上では、サーバーにパスワードを保存する前に、大文字に変換し、さらにUnixの「crypt()」で暗号化していたのではと推測されていた。crypt()では、8文字より長い部分については無視して暗号化する。
crypt()はクラッキングしやすいという問題もある。Gawker Media社でも最近、crypt()で暗号化したユーザー・パスワードのデータベースをハッカーによってクラックされ、公表されるという事件が起こった。
この問題は、新しいパスワードには影響せず、数年間にわたって変更されていない古いパスワードに影響している。つまりAmazon社は、新しいパスワードに関しては問題を修正したが、既に保存されていた古いパスワードについては更新していなかったようだ。原稿執筆時点でAmazon社からのコメントはなかった。
古いパスワードを使っている人は、Amazon.comにログオンして、パスワードを変更すれば良い。[更新:同じ問題は日本Amazonでも報告されている]
