Spenden

Dieser Artikel ist mehr als 12 Jahre alt.

Amazon: Nachlässigkeiten bei der Kennwortabfrage

Wie heise online heute berichtet gibt es wohl einige Unstimmigkeiten bei Amazons Kennwortabfrage. So können sich manche Benutzer erfolgreich einloggen, indem sie ihr Passwort zweimal zusammenhängend eintippen. Das Phänomen tritt wohl vor allem bei älteren Passwörtern oder Passwörtern auf, die exakt 8 Zeichen lang sind.

  • Jan-Peter Kleinhans
Jan-Peter Kleinhans
6
amazon_gains_cloud_security
Quelle: SecurityProNews

Wie heise online heute berichtet gibt es wohl einige Unstimmigkeiten bei Amazons Kennwortabfrage. So können sich manche Benutzer erfolgreich einloggen, indem sie ihr Passwort zweimal zusammenhängend eintippen. Das Phänomen tritt wohl vor allem bei älteren Passwörtern oder Passwörtern auf, die exakt 8 Zeichen lang sind. So konnten sich manche heise online Redakteure auch einloggen, obwohl sie an ihr Passwort zusätzlich „123“ angehängt hatten. Bisher wurden folgende Szenarien identifiziert:

  • Kennwort mit 8 Zeichen: Testen, ob man sich auch durch anhängen beliebiger zusätzlicher Zeichen (z.B. „123“) einloggen kann.
  • Älteres Passwort mit mehr als 8 Zeichen: Evtl. kann man sich auch durch die Eingabe der ersten 8 Zeichen einloggen.

Betroffene Benutzer sollten umgehend ihr Kennwort ändern. Von Amazon gibt es diesbezüglich bisher noch keine Stellungnahme. Schon in der Vergangenheit gab es Unregelmäßigkeiten bei der Authentifizierung. So hatte heise online schon 2011 aufgedeckt, dass die Kennwortabfrage nicht zwischen Groß- und Kleinschreibung unterschied.

Über die Autor:innen

  • Jan-Peter Kleinhans
    Jan-Peter Kleinhans

    Wirtschaftsinformatiker und Soziologe. 2013 Praktikant bei netzpolitik.org. Seit 2014 bei der stiftung neue verantwortung. An vielem interessiert. Arbeitet vorrangig zu Geheimdienstkontrolle, Schutz von Privatsphäre, Transparenz, Netzneutralität und Frequenzpolitik. Twittert viel zu selten. (@JPKleinhans)

Veröffentlicht

Kategorie

Schlagwörter

, , ,

Weiterlesen

Thema

Datenschutz

Thema

Amazon

Thema

Kennwortabfrage

Ergänzungen

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.

6 Kommentare zu „Amazon: Nachlässigkeiten bei der Kennwortabfrage“

  1. Mirko

    ,

    Wenn ich raten sollte – das ist derselbe Bug wie 2011.

    Alle alte nicht geänderten Passwörter sind betroffen. Alte Passwörter werden auf 8 Zeichen gekürzt und in Kleinbuchstaben konvertiert.

    Jeder, der in den letzten 3 Jahren sein Amazon Passwort geändert hat, sollte davon nicht betroffen sein.

  2. Maximilian

    ,

    Bei alten eBay-Passwörtern (so ca. 2007) wird auch nicht zwischen Groß- und Kleinschreibung unterschieden.

  3. Jakob

    ,

    das heißt doch eigentlich, dass sie die Passwörter im Klartext speichern oder? Ich glaube kaum, dass für alle Kombinationen aus Groß- und Kleinschreibung hashwerte erzeugt werden…
    Passwörter im Klartext zu speichern sollte unter strafe gestellt werden, das ist einfach nur fahrlässig…

    1. Jan

      ,

      Nicht unbedingt. Man kann ja auch vor dem Hashen das eingetippte Passwort in Kleinbuchstaben umwandeln und ggf. auf 8 Zeichen kürzen.

    2. Jan-Peter Kleinhans

      ,

      Nicht unbedingt. Das wäre sicher der worst case, wenn sie die PWs im Klartext abspeichern. Das geringere Übel wäre das von Mirko beschriebene.

  4. f h

    ,

    Naja, von Entdeckung der fehlenden Unterscheidung zwischen Groß- und Kleinschreibung kann man selten reden. so etwas wird dem geübten oder ausgebildetem Auge recht schnell klar.

    Das machen immer noch viele Firmen, z.B., Blizzard. Nicht weniger schlimm ist auch die starke Beschränkung der Passwortlänge oder der Zeichenauswahl, was noch häufiger oder gar Standard ist.

Dieser Artikel ist älter als 12 Jahre, daher sind die Ergänzungen geschlossen.