Amazon авторизует по "похожим" паролям

Несколько дней назад один из пользователей Reddit обнаружил, что система входа на сайт Amazon ведёт себя странно. Оказалось, что ей можно было с равным успехом скормить как правильный пароль, так и схожую с ним строку символов.

Эксперименты выявили, что проблема затрагивает только пароли, которые были заведены достаточно давно (точное время установить не удалось). Если длина такого пароля составляет 8 или больше символов, то его может заменить любая строка, состоящая из первых восьми символов правильного пароля. В дополнение к этому символы могут быть введены в любом регистре.

Например, если пользователь когда-то завёл себе пароль "webplanet", то вместо него можно вводить "webplaneta", "webplane","webplane123", "WebPLaneT", "wEBplanE54" и т.п. Такое, во всяком случае, следует из описания на Reddit (нам удалось убедиться в том, что имеет место регистронезависимость, однако обрезание 10-символьного пароля до 8 литер почему-то не привело к обещанному результату).

Выяснилось также, что "новые" пароли не страдают данным недостатком. Это означает, что пользователи могут изменить свой пароль на точно такой же, и тогда в их учётную запись нельзя будет войти, введя "схожий" пароль. Эксперты "Вебпланеты" так и рекомендуют сделать всем, кто зарегистрирован на "Амазоне" (конечно, речь идёт только об "устойчивых" паролях, потому что если у вас пароль типа "qwerty", то вряд ли имеет смысл заморачиваться).

В Amazon пока никак не прокомментировали ситуацию. В обсуждении на reddit высказываются предположения о том, что устаревшая система хранения и сверки паролей основывается на Unix-функции crypt(), обрезающей длинные пароли, совместно с предварительным их преобразованием в верхний или нижний регистр. Похоже, что некоторое время назад на "Амазоне" усилили защиту для новых паролей, сохранив поддержку старой схемы.