てきとうなメモ

本の感想とか技術メモとか

amazonのパスワード

自分は再現できなかった。

  • 再現できたと主張している人のほとんどが8文字以上
  • 8文字以上でも再現できない人もいる
  • 以前は4〜8文字を推奨していた

643 : グローライトテトラ(岡山県):2010/05/27(木) 01:35:10.58 id:i1dGojqf
2008年11月の時点でパス設定最大8文字だな
http://web.archive.org/web/20080111083049/www.amazon.co.jp/gp/help/customer/display.html?nodeId=200135880

>>621のとおりセキュリティ的には何も問題なし>>1全saku

ということから推測するに、

  • ある時期(A)までは、パスワード登録時に8文字に切り詰めてハッシュ値を計算し、DBに保存していた。
  • ログイン時も8文字に切り詰めてハッシュ値を計算して比較する
    • よって、8文字目以降が異なっていたり、文字が追加されていてもログインできていた
  • A以降、登録時に入力された全文字列でハッシュ値を計算し、DBに保存するようにした。
  • A以降にパスワードを登録した人はログイン時に全文字列でハッシュ値を計算して比較する
    • ので、8文字目以降も考慮され再現しない
  • A以降にパスワードを変更していない人がログインする場合、全文字列でハッシュ値を計算して比較しては同じ値にならないので、8文字に切り詰めてハッシュ値を計算する以前の方法を用いている
    • ので、再現する

てな感じじゃなかろうか。だいたいスレの流れもそのような感じだったし。

あと、こちらの607氏の意見なんだが

593 名前: アストロノータス(熊本県)[sage] 投稿日:2010/05/27(木) 00:55:53.52 ID:N+PK6CAe
よくわからないけど、ユーザのパスワードはそのままで
amazon側で別の暗号方式で再暗号化すれば解決することじゃないの?
今のユーザのパスワードが暗号化されて分からないからできないってことなのかな。

594 名前: トラザメ(岐阜県) 投稿日:2010/05/27(木) 00:56:46.56 ID:/M+WL9u7
途中で書いてしまった
面倒なのは、他の古いシステムも同じパスワード使ってたりすると
他のも統一して変更しろとかって話になるし
あとは、PCもロクに触れない場合だと担当者や秘書が代理で設定しなけりゃ
いけなくてパスワード再設定する訳にもいかないしって場合とか・・・

ここまで書いたけど、決して生が良いって訳じゃないよ
そういう例も稀にあるってだけ

597 名前: アストロノータス(dion軍) 投稿日:2010/05/27(木) 00:57:56.90 id:lXkWCYCk
>>593
AMAZONは今のパスワードを知りようが無いから
新しい暗号化方式での暗号をしなおせない

607 名前: ゴマフエダイ(アラバマ州)[sage] 投稿日:2010/05/27(木) 01:01:49.56 ID:4sq8tymD
>>597
新旧で暗号化のロジックそのものが違うなら、システムは新旧を見分けて暗号化
ロジックを切り替えてるってことだよね?
だったら、旧システムの人を発見時に受け取ったパスを新システムに流し込んで
切り替えてやればいいのにって思う。

「おいAmazonがパスワード前方一致でログインできるぞ」のその後 - 【えぬ】〜Theme of えぬ〜 にまつわるはてダ

あるユーザがログインに成功した場合に、そのユーザが古い手法でパスワードを登録した人であれば、そのログイン時のパスワードに対して新しい手法でハッシュ値を計算してDBに保存すれば、次回から新しい手法でログインできるということだと思う。

なるほど、と思ったけど、ちょっと難点があった。ユーザが入力をたまたまミスってログインすると、古い手法なのでログインが成功してしまい、上記の切替処理を実行するとミスったパスワードでハッシュ値が保存される。すると、次回ユーザが正しいと思っているパスワードを入力するとログインできなくなる。可能性はかなり小さいけどamazonぐらいの規模だと苦情がでる可能性はあるんじゃないかな。

あと、移行用のコードが毎回ログイン時に動いて全ユーザがログインし終えるまでそのコードを外すことができないというのはなんだか気持ち悪いというのもあるけど。