Amazon: Nachlässigkeiten bei der Kennwortabfrage

amazon_gains_cloud_security
Quelle: SecurityProNews

Wie heise online heute berichtet gibt es wohl einige Unstimmigkeiten bei Amazons Kennwortabfrage. So können sich manche Benutzer erfolgreich einloggen, indem sie ihr Passwort zweimal zusammenhängend eintippen. Das Phänomen tritt wohl vor allem bei älteren Passwörtern oder Passwörtern auf, die exakt 8 Zeichen lang sind. So konnten sich manche heise online Redakteure auch einloggen, obwohl sie an ihr Passwort zusätzlich „123“ angehängt hatten. Bisher wurden folgende Szenarien identifiziert:

  • Kennwort mit 8 Zeichen: Testen, ob man sich auch durch anhängen beliebiger zusätzlicher Zeichen (z.B. „123“) einloggen kann.
  • Älteres Passwort mit mehr als 8 Zeichen: Evtl. kann man sich auch durch die Eingabe der ersten 8 Zeichen einloggen.

Betroffene Benutzer sollten umgehend ihr Kennwort ändern. Von Amazon gibt es diesbezüglich bisher noch keine Stellungnahme. Schon in der Vergangenheit gab es Unregelmäßigkeiten bei der Authentifizierung. So hatte heise online schon 2011 aufgedeckt, dass die Kennwortabfrage nicht zwischen Groß- und Kleinschreibung unterschied.

6 Ergänzungen

  1. Wenn ich raten sollte – das ist derselbe Bug wie 2011.

    Alle alte nicht geänderten Passwörter sind betroffen. Alte Passwörter werden auf 8 Zeichen gekürzt und in Kleinbuchstaben konvertiert.

    Jeder, der in den letzten 3 Jahren sein Amazon Passwort geändert hat, sollte davon nicht betroffen sein.

  2. Bei alten eBay-Passwörtern (so ca. 2007) wird auch nicht zwischen Groß- und Kleinschreibung unterschieden.

  3. das heißt doch eigentlich, dass sie die Passwörter im Klartext speichern oder? Ich glaube kaum, dass für alle Kombinationen aus Groß- und Kleinschreibung hashwerte erzeugt werden…
    Passwörter im Klartext zu speichern sollte unter strafe gestellt werden, das ist einfach nur fahrlässig…

    1. Nicht unbedingt. Man kann ja auch vor dem Hashen das eingetippte Passwort in Kleinbuchstaben umwandeln und ggf. auf 8 Zeichen kürzen.

    2. Nicht unbedingt. Das wäre sicher der worst case, wenn sie die PWs im Klartext abspeichern. Das geringere Übel wäre das von Mirko beschriebene.

  4. Naja, von Entdeckung der fehlenden Unterscheidung zwischen Groß- und Kleinschreibung kann man selten reden. so etwas wird dem geübten oder ausgebildetem Auge recht schnell klar.

    Das machen immer noch viele Firmen, z.B., Blizzard. Nicht weniger schlimm ist auch die starke Beschränkung der Passwortlänge oder der Zeichenauswahl, was noch häufiger oder gar Standard ist.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.