LifehackerでAmazonのパスワードにセキュリティ上の問題が見つかったとの記事が掲載されています。何年も利用されている方で、パスワードの文字数が特定以上の場合に該当するようです。
例えば、パスワードが「password1234567890」でも「passwordpizza」でも、最初の8文字が「password」で同じなので、同じものと認証されてしまうとのこと。
とのことなので、WindowsのLM認証のように文字数が特定数を超過すると以降の文字列が切り捨てられて、最終的に生成されるパスワードのデータ(ハッシュ値など)も同じものになるのではないかと想像できます。
ということで試してみた。
幸いなのかはわかりませんが、自分のパスワードも今回記事になっているケースに該当したので試してみました。試すといっても行ったことは9文字目以降を別の文字列に変更して認証を行ってみるという簡単なものです。そして、結果としては9文字目以降は何を入力しても同じものが認証されるということが分かりました。
では、どのような人が対象になるのでしょうか。
ただし、この問題はパスワードを何年も変えていない場合にのみ起こるようなので、新しいパスワードに変更すれば大丈夫です。とりあえず、気になる方は今すぐパスワードを変えましょう。
と記事では記載されています。この「何年も変えていない場合」というのが曖昧で、いつからなのかが分かりません。私の場合、記憶に残っている限りではAmazonを利用してからパスワードを変更した記憶がありません。そこで発注履歴から初めて利用した時期を確認してみたところ、私の初めて利用した時期は2005年4月でした。
つまり、次のような条件に該当する人は今回の問題に必ず該当すると考えます。
・パスワードを9文字以上設定している。
・2005年4月以前にAmazonを利用している。
・Amazonの利用を始めてからパスワードの変更を行っていない。
尚、単に私が利用したことがあるのが2005年4月であって、それ以降に利用したから今回の問題に該当しないというわけではありません。気になる方は実際試されてみるのが一番効率的だと思います。
今はどうなっているのか。
現在、パスワードの扱いについての対応はどうなっているのかも検証するため、別のアカウントを新規に発行して、現在のAmazonの最大文字数でもある128文字を設定してみました。8文字だけでの認証と127文字目だけの認証などを試してみましたが、少なくとも現在登録や変更を行う限りではこの問題は発生しないことが確認できました。
どう対応すべきか。
ここで気になるのは「パスワードを新しいものにすべきかどうか」という点です。今回問題になったのは、Amazon側のパスワードの保存方法であり、皆さんがAmazonで利用されているパスワード自体に問題が見つかったものではありません。
パスワードの変更でもこの問題は解決されるとは思いますが、十分な強度のパスワードを既に利用されているのであれば、この問題解決のためにわざわざ新しいパスワードを発行する必要はないと考えます。逆に新しくパスワードを作るとそれが新しいリスクにもなりかねません。
Amazonのパスワード変更の仕様では、旧パスワードと新しく変更するパスワードが同一であったとしても問題なく変更出来ます。少なくとも今回の問題を解決するだけであればこの方法で十分ではないかと考えます。そして、この手段でのパスワード変更であっても変更後にこの問題は確認されません。
