【注意勧告】Amazonパスワード問題。古いパスワードは要注意!?
Amazonのパスワードシステムに問題があるそうです。
古いパスワードのままだと・・・
- 9文字目以降は無視される(8文字までしか認識しない)
- 8文字目以内でも大文字小文字区別ない
数年間パスワードを変えていないという方は、早めに対応されたし。
新しいパスワードに関しては対処済み。 ※この記事では何をもって「古いパスワード/新しいパスワード」と言ってるのかはわからないのですが・・・^^;
不安な方は、次の方法で簡単に確認してみてください。
・「前8文字だけでもログイン可能か?」
・「すべてを大文字または小文字にしてもログイン可能か?」
・「9文字目以降を変更してもログイン可能か?」など。
ヤバヤバです^^;
俺流amazonの作り方―Amazon Webサービス最新活用テクニック 著者: 水野 貴明 出版社: アスキー 価格: 2,730円 (単行本 - 2006/3) Amazon Webサービスを使ってカスタマイズすると、かっこよくて、便利で、しかも儲かる、自慢の「オレアマゾン」ができます。 |
似たような話は、2chでも話題に上がっていました。
> おいAmazonがパスワード前方一致でログインできるぞ / (2ch) 2010/05/26(水)
元スレ(2ch): http://tsushima.2ch.net/test/read.cgi/news/1274881603/
unkar: http://unkar.org/r/news/1274881603
アルファルファモザイク: http://alfalfalfa.com/archives/395585.html
8文字問題の話はあるけれど、大文字と小文字の話はない?
>昔のamazonはパス最大8文字までだからセキュリティ的には問題ない
>2008年11月の時点ではパス設定最大8文字
普通の人には難しい話ですたい・・・^^;
---
情報元〜
Amazon:「類似パスワードでもログイン可能」問題 (和訳) / WIRED VISION 2011年1月31日
Amazon.com Security Flaw Accepts Passwords That Are Close, But Not ExactBy Dylan Tweney 原文(English) / WIRED NEWS January 28, 2011 3:56 pm
Amazon.comのパスワード・システムに問題があり、実際のパスワードに近い「類似のパスワード」でもログインできることがわかった。
この問題は、パスワードの大文字と小文字の違いを見ず、また、8番目の文字の後に別の文字を付け足してもログインできるというものだ。たとえば、パスワードが「Password」だったとしたら、"PASSWORD" "password" "passwordpassword" "password12345"等でもログインできる。
この問題は、最初Reddit上で報告された。
Reddit上では、サーバーにパスワードを保存する前に、大文字に変換し、さらにUnixの「crypt()」で暗号化していたのではと推測されていた。crypt()では、8文字より長い部分については無視して暗号化する。
crypt()はクラッキングしやすいという問題もある。Gawker Media社でも最近、crypt()で暗号化したユーザー・パスワードのデータベースをハッカーによってクラックされ、公表されるという事件が起こった。
この問題は、新しいパスワードには影響せず、数年間にわたって変更されていない古いパスワードに影響している。つまりAmazon社は、新しいパスワードに関しては問題を修正したが、既に保存されていた古いパスワードについては更新していなかったようだ。原稿執筆時点でAmazon社からのコメントはなかった。
古いパスワードを使っている人は、Amazon.comにログオンして、パスワードを変更すれば良い。